Neljapäeva pärastlõuna. Kõne tundmatult Eesti mobiilinumbrilt.

- Tere, olen Madis DHL-ist, meil on teile tähitud kiri.
- Mine perse, Madis! Äkki tahad kohe mu PIN-koode?
- Eieiei, see pole pettus, me võime teie kirja vabalt ka postkontorisse viia.
- Mine perse, Madis.

Kõne lõppeb.

Petukõnede epideemia

Ma ei tea, kas see oli päriselt Madis DHL-ist või kas DHL-is üldse mõni Madis töötab. Ei huvita ka. Ma pole oma elu jooksul saanud ühtegi tähitud kirja, mis sisaldaks häid uudiseid ja millega ei kannataks oodata. Viigu postkontorisse, pangu teade postkasti või saatku parem e-kiri. Kui keegi väidab, et ta teab mu mobiilinumbrit ja kodust aadressi, aga et ta ei tea mu meiliaadressi, siis on ta kas loll või valelik – ja kummassegi gruppi kuuluvate tegelastega pole mul vähimatki soovi suhelda. Nii et mine perse, Madis.

Ärileht kirjutas novembris, et paljud inimesed lõpetavad kõne kohe, kui tundmatu helistaja räägib vene keeles. Tõepoolest, miks peaks Eesti politsei või mõni Eesti firma mulle vene keeles helistama? Іді за кораблем, Vova. Lihtne? Kahjuks enam mitte; erinevalt mitmetest Ida-Virumaa koolijuhtidest on kaagid suutnud eesti keele kiiresti selgeks õppida ja/või palgata endale riigikeeles vabalt suhelda suutvaid käsilasi.

Detsembri alguses Ärilehes ilmunud artikkel vahendas Põhja prefektuuri raskete kuritegude talituse grupijuht Marju Toominga sõnumit, et kelmid kasutavad usinasti spoofing-ut. See on tehnoloogia, mis võimaldab helistajal näidata oma päris telefoninumbri asemel kõne vastuvõtjale mingit muud – olgu siis olemasolevat või isegi väljamõeldud – numbrit. Seega on petukõnede tegijate telefoninumbrite internetis jagamine mitte ainult kasutu, vaid võib tekitada kahju reaalsetele ning kuritegevusega mitte kuidagi seotgud inimestele ja firmadele.

Eilses ERR uudises kurtsid Jet Expressi tegevjuht Andreas Suviste, Elektrilevi teenindusüksuse juht Helje Sisask ja Põhja prefektuuri raskete kuritegude talituse juht Elari Haugas, et pettusehirmus inimesed on hakanud ka päris kullerite, elektrikute ja politseinike kõnesid eirama või helistajaid läbi sõimama. Sorry, Madis, kui sa olid päriselt DHL-ist.

Kahes viimati mainitud artiklis avaldatud statistika kohaselt on Eestis 2025. aastal novembri lõpu seisuga toime pandud üle 3000 kelmuskuriteo kogukahjuga ligi 27 miljonit eurot – summa, mille eest võiks Eesti üldhariduskoolide 17 390 õpetajale maksta ühekordse lisatasuna rohkem kui 1100 eurot (bruto) või tõsta ligi 5000 PPA ametniku brutokuupalka keskeltläbi 330 euro võrra. Või maksta Eesti liikluses 2024. aastal vigastatud 1720 inimesele 9500 ja 69 hukkunu omastele 95 000 eurot hüvitist¹.

Need ei ole üksikjuhtumid, see on epideemia.

Mugavus versus turvalisus

Elisa erakliendiüksuse juht Mailiis Ploomann kirjutas üleeile Ärilehes, et kurjategijad on pööranud meie e-riigi ja e-teenuste mugavuse meie suurimaks nõrkuseks. “Kui ligipääs tundlikele toimingutele – olgu selleks sisselogimine olulisse teenusesse, seadme või konto õiguste muutmine, uue maksevahendi lisamine või teatud tüüpi kinnituste andmine – on kujundatud liiga lihtsaks, muutuvad need sammud petturitele kergesti ärakasutatavaks. Sellisel juhul ei ole probleem mitte kasutaja käitumises, vaid süsteemi loogikas, mis vajab ümbervaatamist ja tugevdamist.”

Ma mäletan tänaseni une pealt nii mõnegi oma eelmisest sajandist pärit sõbra mobiilinumbrit. Helistamine võõralt telefonilt (näiteks juhul, kui enda telefoni aku on juhtumisi tühjaks saanud) oma elukaaslasele või pojale oleks aga väikestviisi väljakutse. Miks? Sest pommikindel Nokia 3310 näitas sulle helistaja nime kõrval alati ka tema numbrit ning selle klaviatuurilt oli päheõpitud numbri sisestamine kiirem ja mugavam kui sõbra nime otsimine telefoniraamatust. Tänapäevased telefonid näitavad helistaja nime ja pilti, aga mitte numbrit.

Proton Mail ja Gmail näitavad e-kirjade saatjate nimede kõrval alati vaikimisi ka nende meiliaadresse. Töises kontekstis enim pruugitud Microsoft Outlooki arendajad aga pidasid vahepeal kohaseks piirduda vaid kasutajate oma määratud nimede näitamisega (tõsi, mu töö-Outlook näitab täna ka aadresse, kuid outlook.office.com seda ei tee). Mugav? Võimalik. Turvaline? Kindlasti mitte, sest iga pätt või lihtsalt pullimees võib vähimagi pingutuseta panna oma nimeks “Maksu- ja Tolliamet”, “Jõuluvana” või “Peeter Mõtsküla”.

Jah, me võime proovida kasutajaid harida, aga… inimene on just nii laisk ja mugav kui tal olla lastakse. Mina võin kõik Madised perse ja kõik Vovad vene sõjalaeva järele saata, kuid sellest ei piisa. Ei piisa ka sellest, kui sedasama teeksid kõik mu 2,4 tuhat jälgijat Facebookis ja sõbrad-tuttavad päris maailmas. Sest meid on liiga vähe. Reaalse mõju saavutamiseks tuleb muudatused teha seal, kus need mõjutavad kümneid ja sadu tuhandeid inimesi korraga.

Kusjuures osa muudatustest on sellised, mis tuleks ära teha petukõnedest sõltumatult. No miks peab kuller mulle helistama pool tundi enne seda, kui ta tahab mu paki mulle koju toimetada? Keset kuramuse tööpäeva? Kes oli see lammas, kes selle teenuse disainis?

“Headel” on reeglid, “pahadel” vabad käed

Ploomannil on tuline õigus, kui ta väidab, et [küber]kuritegevuse vastu võitlemine on paratamatult ebavõrdne, sest ühel pool on reeglid, teisel mitte. Ja et nii tehnoloogiad, teenused kui kasutajaharjumused peavad arenema koos ohupildiga.

Nagu eelpool märgitud, on tuleb riigil, telekomidel, pankadel ja usaldusteenuse osutajatel pead kokku panna ja välja mõelda, millised on tehnilised võimalused sellele pandeemiale piiri panemiseks, millised õiguslikud ja ärilised piirangud takistavad neid tehnilisi võimalusi rakendamast, ning kuidas neist piirangutest üle või ümber pääseda.

Isikuandmete ning panga- ja sõnumisaladuse õiguslik kaitse on õige ja vajalik. Ja kuigi need nõuded tähendavad finants- ja sideettevõtjatele täiendavaid kulutusi ning kuigi justiits- ja siseministeeriumis leidub inimesi, kes väga tahaksid anda jõuametkondadele rohkem õigusi meie magamistubadesse piiluda, ei oleks nende kaitsemehhanismide kaotamine õige tee. Sest need kaitsevad meid muuhulgas nendesamade pankade ja telkode ja riigivõimu esindajate omavoli eest.

Aga mis oleks, kui me lihtsustaksime oluliselt juba tehtud maksete tagasikutsumist, nähes samas ette piisavalt karmid sanktsioonid selle võimaluse pahatahtliku kasutamise puhuks? Või mis oleks, kui keegi (olgu PPA, TTJA, RIA või kasvõi ITL) looks teenuse “teata petukõnest”, kuhu kogunevat teavet kogumis analüüsides oleks võimalik kindlaks teha, milliste teenusepakkujate võrkudest võltsitud numbritega kõned tulevad, et sealtkaudu kaabakateni välja jõuda?

“Heade” kohustus reegleid täita ei tähenda, et neid reegleid ei oleks võimalik vajadusel muuta. Erinevalt loodusseadustest on “tavalised” seadused ju vaid ühiskondlikud kokkulepped.

PSYOP?

Aga ma julgen püstitada veel ühe hüpoteesi ja küsida, kellele on kasulik lõhkuda Eesti inimeste usaldust e-teenuste ja e-riigi vastu ning Eesti riigi vastu üldiselt. “Kuna mobiil-ID ja Smart-ID on ebaturvalised, siis on ju siililegi selge, et e-valimisi ei saa usaldada. Ja on ilmselge, et Eesti politseis töötavad mõttetud lohhid, kes vaatavad niisama pealt, kuidas inimestelt iga kuu miljoneid eurosid välja petetakse.”

Ma loodan, et ma eksin. Aga ma ei julge välistada võimalust, et see küberpättuste epideemia on osa meie vastu suunatud laiemast psühholoogilisest operatsioonist.

1. Arvutuste lähteandmed: Haridussilm, PPA, Transpordiamet.