Skip to main content
Holger Rünkaru logo
🇺🇸 English
/ 10 min lugemine

Miks arvepettus õnnestub — ja kuidas sinu ettevõttes ei õnnestuks

Miks see teema on oluline

2025. aasta esimese üheksa kuuga kaotasid Eesti ettevõtted ärikirja kompromiteerimise (BEC, Business Email Compromise) pettustele üle 2,3 miljoni euro — rohkem kui kogu 2023. aastal kokku. Õngitsus- ja petusaitide arv kahekordistus 2024. aastal võrreldes eelmise aastaga. Ja 2026. aastal pole trend pöördunud — pigem vastupidi. Lähtudes viimasel ajal aset leidnud edukatest rünnetest Eestis ületatakse eelmise aasta üheksa kuu tase juba 6 kuuga, kui mitte varem.

Samal ajal muutuvad rünnakud üha raskemini äratuntavaks. Tehisintellektiga loodud petukirjad on grammatiliselt laitmatud, personaalsed ja ajastatud täpselt õigele hetkele.

Enamik BEC-pettustest ei õnnestu sellepärast, et ründajad on erakordselt nutikad. Need õnnestuvad sellepärast, et ettevõttel puuduvad lihtsad kokkulepped — kes, kuidas ja millal suuri makseid või olulisi muudatusi kinnitab. Tehnoloogial on oma oluline roll, aga ilma selgete protsessideta ei aita alati ka turvalahendused.

Selles artiklis vaatame kolme tasandit, mis koos moodustavad tõhusa kaitse: kokkulepped ja protsessid, tehnilised meetmed ning teadlikkuse tõstmine.

1. Kokkulepped ja protsessid — “inimeste tasand”

Kontonumbri muudatus vajab telefonikontrolli

Tüüpiline juhtum: ettevõtte raamatupidaja saab tarnijalt e-kirja, kus teatatakse uuest pangakonto numbrist. Kiri on veenev — õige saatja nimi, tuttav stiil, viide konkreetsele arvele ja varasemale suhtlusele. Raamatupidaja vahetab numbri ära ja kannab järgmise arve uuele kontole. Alles mitu nädalat hiljem selgub, et tarnija e-post oli kompromiteeritud ja raha läks hoopis ründajatele.

Selliste juhtumitega kaotatakse korraga kümneid ja sadu tuhandeid eurosid. Viga pole raamatupidajas — viga on selles, et protsess lubab sellel juhtuda.

Kehtesta lihtne reegel: iga kord, kui tarnija teatab uuest kontonumbrist, helista tarnijale teadaoleval telefoninumbril (mitte kirjas olevale) ja kinnita muudatus. See võtab kaks minutit ja välistab suurima riski. Eesti partneritega on väga hea alternatiiv digiallkirjaga muudatuste kinnitamine.

CEO-pettus — kiirus on ründaja parim relv

Teine levinud stsenaarium on nn juhtkonnapettus (inglise keeles CEO fraud). Töötaja saab e-kirja, milles juht palub kiireloomuliselt kanda raha teatud kontole — mõnikord lisatakse selgitus, et tegemist on konfidentsiaalse tehinguga, millest teistele rääkida ei tohi.

Kiri võib tulla pealtnäha täpselt juhi e-postiaadressilt. Ründajad kopeerivad sageli juhi kirjastiili, allkirja ja isegi varasemaid kirjavahetuse lõike. Ainus eristav tunnus on kiirusetunne ja palve kontroll vahele jätta.

Räägi oma meeskonnaga selgelt läbi: mitte ükski juhtkonna liige ei palu e-kirja teel teha makset, millele ei järgne tavapärast kinnitusprotsessi — sõltumata sellest, kui kiireloomuline see tundub. Kui meil tuleb sellise palvega, on õige reaktsioon helistada juhile otse ja olukord kinnitada.

Seda reeglit tuleb rõhutada ka töötajatele: kahtlemine ei ole reeglite eiramine. Kahtlemine on täpselt see, mida oodatakse. Terves ettevõttes on “helistan üle” alati õige valik.

2. Tehnilised kaitsemeetmed

Esimeses osas rääkisime kokkulepetest — need peatavad pettuse siis, kui ründaja on juba “sees”. Tehniline kaitse aitab ründaja enne seda peatada ja ründaja tegevust avastada. Mida suurema osa kaitsest saame anda tehnoloogilistele meetmetele, seda lihtsam on kasutajate elu.

2.1 Identiteedi kaitse — takista ründajal kontole pääsemist

Enamik BEC-pettuseid algab sellest, et ründaja saab ligipääsu kellegi e-posti kontole. Kõige levinum meetod 2025–2026 on AiTM-rünnak (Adversary-in-the-Middle): ründaja loob võltsitud sisselogimislehe, mis vahendab nii parooli kui MFA kinnituse reaalajas edasi. Tulemus — ründaja saab kehtiva seansi, kuigi ohver sisestas õige parooli ja kinnitas MFA.

Mida teha:

  • Lülita MFA sisse kõigile kasutajatele. Tavaline MFA (autentikaatorirakendus, SMS) blokeerib üle 99% automatiseeritud rünnakutest. See on baasnõue ning tuleb rakendada laiemalt, kui ainult e-postile.

  • Keela vanad protokollid. IMAP, POP3 ja SMTP AUTH ei toeta MFA-d — need on ründajatele avatud uks. Microsoft 365 ja Google Workspace lubavad need administraatori paneelist välja lülitada.

  • Kasuta tingimusliku juurdepääsu (Conditional Access) reegleid. Näiteks: luba ligipääs ainult Eestist ja ettevõtte hallatud seadmetest. Kui keegi üritab sisse logida tundmatust riigist, blokeeri see automaatselt.

Kui baasmeetmed on paigas, tasub mõelda ka järgmisele tasandile:

  • Kõrgema riskiga kontodele kaalu FIDO2 võtit. Riistvaravõti (nt YubiKey) on ainus MFA meetod, mis on AiTM rünnaku vastu immuunne — kinnituskood on krüptograafiliselt seotud õige veebiaadressiga ja ei tööta võltsitud lehel.

  • Anna igale kasutajale ainult need õigused, mida ta vajab. See on minimaalse õiguse põhimõte (principle of least privilege) — kui raamatupidaja ei vaja administraatori õigusi, siis ta neid ei saa. Mida vähem õigusi kompromiteeritud kontol on, seda vähem kahju ründaja sellega teha saab. Sama kehtib ka rakendustele ja teenuskontodele: vaata üle, kellel on administraatoriõigused, ja eemalda need, kes neid igapäevaselt ei kasuta.

2.2 E-posti domeenikaitse — takista “sinuna esinemist”

Kui sinu ettevõtte domeenil (nt firma.ee) puudub tänapäevane ja turvaline seadistus, saab ründaja saata kirju esinedes sinuna. Kaitse koosneb kolmest osast, mis töötavad koos:

  • SPF (Sender Policy Framework) — määrab, millised serverid tohivad sinu domeenist kirju saata.

  • DKIM (DomainKeys Identified Mail) — allkirjastab iga väljuva kirja krüptograafiliselt, nii et vastuvõtja saab kontrollida, kas kiri on ehtne.

  • DMARC (Domain-based Message Authentication) — ühendab SPF ja DKIM ning ütleb vastuvõtjale, mida teha, kui kiri autentimisest läbi ei lähe. Eesmärk on jõuda reject-poliitikani, kus võltskirjad blokeeritakse täielikult.

Kontrolli oma domeeni seisu: mine mxtoolbox.com/dmarc ja sisesta oma domeen. Kui tulemuses on “No DMARC record found”, on sinu domeen kaitsmata.

2.3 E-posti turvalahendused — rohkem kui rämpsufilter

Vaikimisi e-posti filter püüab kinni suure osa rämpsust, aga mitte sihitud BEC-rünnakuid. Neis kirjades pole sageli pahatahtlikku linki ega manust — ainult veenev tekst. Seetõttu vajad enamat:

  • Teeskluskaitse (impersonation protection) — tuvastab kirjad, mis imiteerivad teie ettevõtte juhtide või partnerite nimesid ja aadresse.

  • Väliskirjade märgistamine (external email tagging) — iga väljastpoolt organisatsiooni tulev kiri saab silmapaistva märke. Kui “juht” kirjutab, aga kiri on märgitud välisena, on see kohe kahtlane.

  • Masinõppega õngitsuslehtede tuvastamine — tuvastatakse automaatselt sisselogimislehed, mis näivad kui Microsofti, Google’i või muude tuntud teenusepakkujate omad, kuid aadress pole õige.

  • Vastamise hoiatused (reply-to mismatch warning) — kui kirja saatja ja vastamise aadress ei ühti, hoiatatakse kasutajat enne saatmist.

Olenevalt kasutusel olevatest tehnoloogiatest on nende konkreetne nimetus ning rakendusviis erinev, kuid nende lahenduste kasutusele võtmine ei ole midagi keerulist. Kontrolli olukord üle enda turbespetsialisti või partneriga.

2.4 Kompromiteeritud konto avastamine

See on tehnilise kaitse kõige alahinnatum osa. Kui ründaja on juba kontole ligi pääsenud, ei hakka ta kohe pettekirju saatma. Kõigepealt uurib ta postkasti — otsib arveid, makseteavet ja kontakte. Seejärel seab ta sisse kirjade edasisuunamise reegli, et kogu sissetulev post jõuaks vaikselt ka temani. Sageli loob ta ka peitmisreeglid, mis kustutavad turvateated või peidavad vastused. Alles siis — mõnikord nädalaid või kuid hiljem — saadab ta teie partnerile vale arve.

Just nende ettevalmistuste avastamine annab sulle võimaluse pettuse enne kahju peatada. Kõige olulisem on jälgida postkastireeglite muudatusi ja edasisuunamise seadistamist — need on esimesed märgid, et keegi on kontol sees. Nii Microsoft 365 kui Google Workspace pakuvad selleks sisseehitatud hoiatusi, mis teavitavad administraatorit automaatselt. Need vajavad seadistamist.

Küsi oma IT-partnerilt: kas edasisuunamise reeglite ja postkastiõiguste muudatuste jälgimine on sisse lülitatud? Kas teavitused jõuavad õigele inimesele? Need kaks küsimust on hea algus.

3. Teadlikkuse tõstmine — “kultuuri tasand”

Esimeses peatükis lõime kokkulepped, teises panime tehnika tööle. Kolmas tasand on kõige raskem, aga ka kõige mõjusam — inimeste teadlikkus ja ettevõtte turvakultuur. Tehnika peatab palju, aga lõpuks on igas ettevõttes inimesed, kes otsustavad, kas klõpsata, helistada või küsida.

3.1 Mida peaks iga töötaja teadma

Töötaja ei pea saama küberturbe eksperdiks. Piisab, kui ta tunneb ära peamised ohumärgid ja teab, mida nende korral teha.

Kõige olulisem oskus on märgata kiireloomulisust. Pea iga petukiri — olgu see vale arve, juhi palve või konto sulgemise hoiatus — kasutab survet: “tee kohe”, “ära räägi kellelegi”, “tähtaeg on täna”. Ründaja teab, et inimene, kes tegutseb paanikast, ei mõtle sügavalt. Kui kiri tekitab tunnet, et reageerida tuleb kohe ja ilma kelleltki küsimata — on see iseenesest punane lipp.

Teine oluline teadmine on see, et petukiri ei pruugi sisaldada vigast eesti keelt ega kahtlast linki. Tänapäevased BEC-kirjad on sageli grammatiliselt korrektsed, isikustatud ja tulevad pealtnäha tuttavalt aadressilt. Töötaja peab teadma, et veenev kiri ei tähenda ohutut kirja.

Ja kolmandaks: töötajal peab olema selge tegevusjuhis. Mitte “ole ettevaatlik”, vaid konkreetne samm — “kui kahtled, helista saatjale” või “saada kahtlane kiri edasi IT-le”. Ebamäärane juhis ei tööta, sest inimene loodab, et tema puhul on kõik korras, ja liigub edasi.

3.2 Simuleeritud õngitsustestid — kas need toimivad?

Simuleeritud õngitsustestid tähendavad seda, et ettevõte saadab oma töötajatele kontrollitud tingimustes testkirju, mis jäljendavad tüüpilisi pettuseid. Eesmärk on mõõta, kui paljud klikivad, ja anda neile kohe tagasiside.

Miks see on oluline? Sest teadmine üksi ei muuda käitumist. Inimene võib koolitusel kuulda, et õngitsuskirjad on ohtlikud, aga päris olukorras — kiire tööpäeva keskel, tuttav nimi saatjareal — reageerib ta ikkagi automaatselt. Simulatsioon annab selle kogemuse turvalises keskkonnas: kogemus jääb paremini meelde kui slaid koolitusel.

Aga siin on üks kriitiline eeldus: test peab olema õppimise, mitte karistamise vahend. Kui töötaja tunneb, et ta “jäi vahele” ja teda karistatakse, siis järgmine kord ta ei raporteeri kahtlast kirja, vaid pigem vaikib. Tulemus on vastupidine sellele, mida soovid. Õige lähenemine on anda testist klõpsanud töötajale kohe lühike selgitus — mida oleks pidanud märkama, kuidas järgmine kord käituda — ja minna edasi. Mitte häbistada, mitte avalikult välja tuua.

Testimise sagedus sõltub ettevõttest, aga kord kvartalis on hea algus. Liiga harva — ununeb ära. Liiga tihti — muutub müraks ja töötajad ei pööra sellele tähelepanu.

3.3 Koolitus: pikk loeng või lühikesed ampsud?

Klassikaline lähenemine on kord aastas tunnipikkune turvakoolitus. See täidab sageli nõuetele vastavuse eesmärki, aga mõju igapäevasele käitumisele on väike. Nädala pärast on suurem osa sisust ununenud.

Alternatiiv on lühikesed koolitusampsud — 3–5-minutilised videod, küsimused või näited, mis tulevad ette regulaarselt, näiteks kord kuus. Need ei nõua eraldi aja planeerimist ja hoiavad teema pidevalt meeles. Lühikese ampsu saab siduda ka päevakajalise teemaga — “seekord vaatame, kuidas ära tunda QR-koodi pettust” — mis teeb sisu olulisemaks ja konkreetsemaks.

Parim tulemus tuleb nende kahte kombineerides: kord aastas põhjalikum ülevaade (uued ohutrendid, ettevõtte reeglite meeldetuletus, arutelu) ja vahepeal regulaarsed lühikesed meeldetuletused. Oluline on, et koolitus ei oleks “linnukese” pärast, vaid et inimene tunneks: see käib minu igapäevatöö kohta.

3.4 Turvakultuuri loomine — keskkond, kus juletakse küsida

Kõige olulisem küsimus ei ole “kas su töötajad teavad, mis on õngitsus?” — vaid “kas su töötaja julgeb öelda, et ta klikis kahtlasel lingil?”

Paljudes ettevõtetes jääb raporteerimine tegemata, sest töötaja kardab tagajärgi. Ta loodab, et midagi ei juhtunud, ja vaikib. Aga just varajane teavitus — isegi kui alarm osutub valeks — annab IT-meeskonnale võimaluse reageerida enne, kui kahju tekib. Iga tund loeb.

Turvakultuuri alus on lihtne: küsimine ja raporteemine on alati õige valik, sõltumata sellest, kas oht osutub reaalseks. Seda tuleb öelda selgelt ja korduvalt — ja kõige paremini toimib see siis, kui juhtkond ise on eeskujuks. Kui juht jagab meeskonnaga, et temagi sai kahtlase kirja ja kontrollis üle, muudab see normi. Turvalisus pole midagi, mida “IT teeb” — see on meie ühine asi.

Praktikas tähendab see kolme asja:

  • Tee raporteemine lihtsaks. Üks nupp meilikliendis, üks aadress kuhu edastada — mida vähem samme, seda tõenäolisemalt inimene seda kasutab.

  • Tunnusta raporteerijat. Isegi kui kiri osutub ohututuks — “aitäh, et kontrollisid” on õige vastus. Mitte kunagi “see oli ju ilmselge, et see on ohutu.”

  • Räägi juhtumitest avatult. Kui ettevõttes juhtub intsident — kas õngitsustest või päris katse —, jaga õppetunde meeskonnaga. Mitte “keegi tegi lolluse”, vaid “meie kogemus, meie õppetund.”

Kokkuvõte

Ükski üksik meede ei kaitse ettevõtet BEC-pettuste eest. Kokkulepped ilma tehnilise pooleta jätavad ründajale ukse lahti. Tehnilised kaitsemeetmed ilma teadlikkuseta ei aita, kui inimene usub veenvat kirja. Ja teadlikkus ilma protsessideta tähendab, et isegi ettevaatlik töötaja ei tea, mida konkreetselt teha.

Kolm tasandit koos — kokkulepped, tehnilised kaitsemeetmed ja turvakultuur — moodustavad kaitse, mille murdmine nõuab ründajalt oluliselt rohkem vaeva. Ja kuna ründajad otsivad alati lihtsaimat teed, liiguvad nad edasi järgmise sihtmärgi juurde.

Hea uudis on see, et alustamiseks ei ole vaja suurt eelarvet ega IT-meeskonda. Telefonikontrolli reegel kontonumbri muudatuste jaoks, MFA sisselülitamine, DMARC-kirje lisamine ja avatud vestlus meeskonnaga — need neli sammu vähendavad riski juba oluliselt.

Kui soovid oma ettevõtte valmisolekut kaardistada või vajad abi esimeste sammude tegemisel — võta ühendust. Vaatame koos üle, kus sinu ettevõte täna seisab — olgu alles alguses või juba poolel teel — ja mis on mõistlik järgmine samm.

Share: Bluesky X/Twitter Facebook LinkedIn

Read Next