Tootegrupid
Uudised
home » Eesti Vabariigi digitaalse pettusemaastiku ja ennetusstrateegiate ammendav analüüs osa 2

Eesti Vabariigi digitaalse pettusemaastiku ja ennetusstrateegiate ammendav analüüs osa 2

24.11.2025

3. Internetipettused ja e-kaubanduse turvalisus

Lisaks pangandusele on teine suur pettuste valdkond e-kaubandus. Siin segunevad klassikalised petuskeemid (raha võetakse, kaupa ei saadeta) kaasaegsete tehnoloogiliste lahendustega (võltspoed).

3.1 Tarbijakaitse "Must nimekiri" ja kaupleja taustakontroll

Eesti E-kaubanduse Liit ja TTJA on loonud tugeva raamistiku tarbijate kaitseks. Üks võimsamaid tööriistu on e-kauplejate "Must nimekiri".9 See ei ole lihtsalt nimekiri, vaid indikaator süsteemsetest probleemidest.

3.1.1 Kuidas pood satub musta nimekirja?

Pood lisatakse nimekirja, kui ta ei täida seadusest tulenevaid nõudeid või eirab tarbijate kaebusi. Peamised rikkumised on:

  1. MTR registreeringu puudumine: Iga e-pood peab olema registreeritud Majandustegevuse Registris (MTR) jaekauplejana.9 See on juriidiline alus tegevuseks. Kui poodi MTR-is ei ole, on tegemist kas "piraatpoega" või eraisikuga, kellele ei laiene tarbijakaitseseaduse garantiid.

  2. Puudulik teave: E-pood peab avaldama ettevõtte nime, asukoha, e-posti ja telefoninumbri. Ainult veebivormi olemasolu on suur ohumärk.9

  3. Tarbijaõiguste eiramine: Peab olema selgelt kirjas taganemisõigus (14 päeva), pretensiooni esitamise aeg ja kes kannab tagastuskulud.

3.1.2 Petturliku e-poe anatoomia

Analüüsides TTJA kriteeriume, joonistub välja petturliku poe profiil:

  • Hinnad: Müüb tuntud brände (Nike, Apple) drastiliselt alla turuhinna.

  • Kontakt: Puudub juriidiline nimi ja registrikood. Kontaktiks on vaid @gmail.com aadress.

  • Makse: Nõuab ainult pangaülekannet või kaardiandmete sisestamist kahtlasesse vormi, pakkumata turvalisi pangalinke (BankLink).

3.2 Sotsiaalmeedia turuplatsid ja kulleripettused

Platvormid nagu Facebook Marketplace ja Yaga on populaarsed, kuid seal puudub sageli institutsionaalne kaitse. Siin levib laialdaselt nn kulleripettus.

Skeemi loogika:

  1. Müük: Teie müüte eset.

  2. Kontakt: "Ostja" kirjutab, et elab kaugel, aga saadab kulleri (DPD, Omniva vms) ja maksab "kulleri kaudu".

  3. Õngitsus: Teile saadetakse link, mis näeb välja nagu kullerfirma leht. Seal palutakse sisestada pangakaardi andmed, et "raha vastu võtta".

  4. Tulemus: Pangakaardile raha kandmiseks on vaja ainult kaardi numbrit (pan-koodi), kuid mitte kunagi CVC-koodi ega PIN-koode. Kui neid küsitakse, on tegemist 100% pettusega.

 

4. Ettevõtete vastu suunatud ründed (B2B pettused)

 

Kui eraisikutelt varastatakse sadu või tuhandeid eurosid, siis ettevõtetelt miljoneid. RIA andmetel on kahjud ulatunud 2,4 miljoni euroni aastas ainuüksi tegevjuhi pettuste (CEO Fraud) tõttu.1

4.1 Tegevjuhi pettus (CEO Fraud) ja andmekaeve

See rünnak on suunatud ettevõtte raamatupidajatele või finantsjuhtidele. Ründajad teevad põhjalikku eeltööd (reconnaissance).

  • Infoallikad: LinkedIn, ettevõtte koduleht, äriregister. Sealt saadakse teada juhtkonna nimed, struktuur ja isegi puhkusegraafikud (sotsiaalmeedia postituste kaudu).

  • Rünnak: Raamatupidaja saab kirja "tegevjuhilt" (kelle meiliaadress on visuaalselt sarnane, nt toomas.tamm@ettevotte.ee asemel toomas.tamm@ettev0tte.ee). Kiri on lühike, nõudlik ja konfidentsiaalne: "Olen välismaal, vaja teha kiire makse uuele tarnijale. Ära praegu helista, olen koosolekul."

  • Psühholoogia: Kasutatakse ära alluvussuhet ja hirmu ülemuse korraldust eirata.

4.2 Arvepettused (Invoice Fraud)

Kurjategijad häkivad sisse ettevõtte või tema koostööpartneri meiliserverisse ja jälgivad vestlusi. Kui nad näevad, et arve on saatmisel, sekkuvad nad vestlusesse (või saadavad uue kirja partneri nimel): "Vabandust, meie pangakonto on auditi tõttu muutunud. Palun tasuge see arve uuele kontole." Arve on identne originaaliga, vaid IBAN on muudetud.

4.3 Ennetusstrateegiad ettevõtetele

RIA ja pankade soovitused ettevõtetele on konkreetsed 1:

  1. Mitme isiku kinnitus: Kõik maksed üle teatud summa peavad olema pangas kinnitatud kahe erineva inimese poolt (nelja silma printsiip).

  2. Protseduuriline kontroll: Pangakonto muudatust ei tohi kunagi aktsepteerida ainult e-kirja põhjal. See tuleb alati üle helistada partneri ametlikule numbrile (mitte kirjas olevale).

  3. Lingid e-kirjades: Arvete maksmiseks ei tohi kasutada e-kirjas olevaid makselinke, vaid siseneda panka otse.

5. Intsidendi haldus ja aruandlus: Mida teha kriisiolukorras?

Kui ennetus ebaõnnestub, on kriitilise tähtsusega kiirus ja õige tegevuste järjekord. Eesti riigil ja pankadel on välja töötatud kindlad protseduurid intsidentide haldamiseks.

5.1 CERT-EE ja küberintsidentide raporteerimine

Riigi Infosüsteemi Ameti osakond CERT-EE tegeleb küberintsidentide käsitlemisega. Nende raportimisvorm 10 on üles ehitatud süstemaatiliselt, mis aitab intsidendi ulatust hinnata.

Raporteerimise põhikomponendid:

  1. Kronoloogia: Intsidendi täpne algus ja lõpp. See on oluline logide analüüsimiseks.

  2. Mõju analüüs (CIA Triad): Vorm küsib, kuidas intsident mõjutas süsteeme kolmes kategoorias:

  • Käideldavus (Availability): Kas süsteem lakkas töötamast (nt DDoS rünnak)?

  • Terviklus (Integrity): Kas andmeid muudeti volitamata (nt kodulehe sisu muutmine)?

  • Konfidentsiaalsus (Confidentiality): Kas andmed lekkisid kolmandatele isikutele?

  1. Põhjus: Kas tegu oli pahaloomulise tegevuse, inimvea või süsteemitõrkega?
    See info ei aita mitte ainult konkreetset ohvrit, vaid võimaldab riigil hoiatada teisi sarnaste rünnakute eest.

5.2 Pangapoolne menetlus ja vaidlustamine

LHV ja teised pangad omavad selgeid juhiseid pettuse kahtluse korral 5:

  1. Kohene sulgemine: Esimene samm on alati finantskanalite sulgemine. Coop Pangal on selleks number 669 0966, LHV-l 6 800 400.

  2. Vaidlustamine (Chargeback): Kaardimaksete puhul on võimalik algatada vaidlustusmenetlus, kui kaupa ei saadud või tehing oli volitamata. Pangaülekannete puhul on võimalused piiratumad, eriti välkmaksete puhul, kuid pank saab saata teisele pangale tagasinõudmise palve (recall request).

  3. Politsei: Kuriteoteade on eelduseks, et pank saaks väljastada infot tehingu vastaspoole kohta uurimisorganitele.

6. Strateegilised soovitused ja tulevikuvaade

Pettused ei kao, vaid muutuvad. Tehisintellekti (AI) areng toob kaasa uued ohud, nagu deepfake (süvavõltsitud) kõned, kus ründaja kasutab tegevjuhi või pereliikme häält.

Kokkuvõtlik tegevuskava:

  1. Üksikisikule:

  • Juuruta "null-usalduse" (Zero Trust) põhimõte sissetulevate kõnede ja sõnumite suhtes.

  • Ära kasuta otsingumootoreid panka sisenemiseks.

  • Kontrolli e-poodide tausta MTR-ist ja TTJA mustast nimekirjast.

  • Hoia pangalimiidid vajaduspõhised.

  1. Ettevõttele:

  • Koolita töötajaid regulaarselt (õngitsustestid).

  • Kehtesta ranged reeglid maksete kinnitamiseks ja kontoandmete muutmiseks.

  • Jälgi RIA ja CERT-EE ohuhinnanguid.

Eesti digiühiskond on tugev vaid siis, kui iga selle liige – nii eraisik kui ettevõtja – toimib teadliku "inimtulemüürina". Tehnoloogia kaitseb meid teatud maani, kuid viimane kaitseliin on alati inimene ise.

Viidatud allikad

  1. Be IT-conscious! - ITVaatlik, juurdepääs november 24, 2025, https://www.itvaatlik.ee/en/

  2. Internet bank | SEB, juurdepääs november 24, 2025, https://www.seb.ee/en/private/daily-banking/tools-and-online-services/internet-bank

  3. Payments · LHV, juurdepääs november 24, 2025, https://www.lhv.ee/en/payments

  4. About · LHV, juurdepääs november 24, 2025, https://www.lhv.ee/en/about

  5. Filing a complaint against AS LHV Pank, juurdepääs november 24, 2025, https://www.lhv.ee/assets/files/applications/Kaebuse-esitamine-AS-LHV-pank-vastu-EN.pdf

  6. Pangakaardid. Deebetkaart ja krediitkaart - Coop Pank, juurdepääs november 24, 2025, https://www.cooppank.ee/eraklient/igapaevapangandus/kaardid

  7. Pangakaardid. Deebetkaart ja krediitkaart - Coop Pank, juurdepääs november 24, 2025, https://www.cooppank.ee/ariklient/igapaevapangandus/kaardid

  8. Üldkontaktid - Coop Pank, juurdepääs november 24, 2025, https://www.cooppank.ee/info/uldkontaktid