näin meitä huijataan! - kyberturvallisuuskeskus...9 Älä luota sokeasti sähköpostin...

Näin meitä huijataan! Verkossa yleisesti tavattuja huijausmenetelmiä Päivitetty 30.3.2017

Sisällysluettelo

Taustaa .......................................................................................................... 3

Erilaisia huijauksia ......................................................................................... 4

1 Älä usko liian houkuttelevia tarjouksia .................................................... 4

1.1 Romanssihuijaukset: Hän haluaa juuri sinut! ............................................. 4 1.2 Rahanpesuun houkuttelu ........................................................................ 4 1.3 Pyramidihuijaukset ................................................................................ 4 1.4 Nigerialaishuijaus .................................................................................. 5 1.5 Liian hyvät tarjoukset voivat olla tilausansoja ............................................ 6

2 Tietojenkalastelu ...................................................................................... 8

2.1 Sähköpostin ja sosiaalisen median tunnusten kalastelu ............................... 8 2.2 Pankkitunnusten kalastelu ...................................................................... 9 2.3 Luottokorttitietojen kalastelu ................................................................. 10

3 Mobiilimaksu-ominaisuutta on käytetty väärin ....................................... 11

4 Nettikauppapetokset .............................................................................. 11

5 Huijariroskapostia tekstiviestein ............................................................ 12

6 Lahjakortti edellyttää soittoa maksulliseen numeroon ........................... 12

7 Toimitusjohtajahuijaus koskee etenkin yrityksiä ................................... 13

8 Hybridihuijaukset ................................................................................... 14

8.1 Tekniikkahuijaukset ............................................................................. 14 8.2 Muut hybridihuijaukset ......................................................................... 14

Suojautuminen ............................................................................................ 15

9 Älä luota sokeasti sähköpostin lähettäjätietoihin ................................... 15

10 Älä luota kaikkiin verkkosivustoihin .................................................... 15

11 Tarkasta selaimen kohdeosoite ........................................................... 15

12 Tarkasta, onko selaimen tietoliikenteen salaus päällä ......................... 17

13 Ilmoita huijaussivustosta .................................................................... 17

Kyberturvallisuuskeskus - Näin meitä huijataan

3

Taustaa Suomalaisiin käyttäjiin kohdistuvat tie-tojenkalastelukampanjat ja erilaiset huijaussivut jatkavat yleistymistään. Myös huijausviestien ja -sivustojen kie-liasu ja ulkonäkö ovat parantuneet merkittävästi. Viestien lähettäjät ovat myös aiempaa organisoidumpia ja pit-käjänteisempiä.

Aiemmin huijausviestin pystyi erotta-maan tökeröstä suomenkielestä tai epämääräisestä ulkoasusta, mutta nyt käyttäjältä vaaditaan enemmän tark-kaavaisuutta.

Tässä raportissa tarkastellaan yleisim-piä huijausmenetelmiä, joita Viestintä-viraston Kyberturvallisuuskeskus on saanut tietoonsa. Raportissa esitetyt menetelmät ovat esimerkinluontoisia, eivätkä kata kaikki mahdollisia huijauk-sia. Raportissa käydään myös läpi yk-sinkertaisia ohjeita, joilla huijauksia vastaan voi suojautua.


4

Erilaisia huijauksia

1 Älä usko liian houkuttele-via tarjouksia

Verkossa valtaosa käyttäjistä on ihan samanlaisia tavallisia ihmisiä kuten me kaikki muutkin. Mukana on kuitenkin huijareita, jotka haluavat rahasi. Vali-tettavasti juuri nämä huijarit näkevät eniten vaivaa saadakseen syöttinsä juu-ri sinun nähtäväksesi, joten huijauksiin on helppo törmätä.

Huijauksia tulee vastaan sähköpostissa, keskustelu- ja seuranhakupalstoilla, osto- ja myyntipalstoilla, tekstiviesteis-sä, nettimainoksissa, puhelimessa, te-levisiossa, melkein missä vain. Opi tun-nistamaan tavallisimmat huijarit ja hui-jauskeinot, niin vältyt monelta harmilta.

1.1 Romanssihuijaukset: Hän haluaa juuri sinut!

Huijauksen voi rakentaa myös lupaa-vaksi naamioidun ihmissuhteen varaan. Etenkin toiveikasta ihmistä on valitetta-van helppo johtaa harhaan. Jos tarjolla on esimerkiksi eksoottista kaukorakka-utta, moni on valmis auttamaan rakas-taan myös rahallisesti. Kontakti uhriin saadaan usein väärennetyllä profiililla seuranhakupalvelun kautta sopivaa kohdetta hakemalla.

Kun uhri löytyy, huijari haluaa rakentaa tähän luottamuksellisen ja syvän suh-teen. Alkuhuuman jälkeen huijari kehit-tää esimerkiksi tarinan, jossa hänen vaikea avioeronsa uhkaa suhteen jat-koa. Uhka poistuu ja ongelmat ratkea-vat, jos uhri vain lainaa kaukorakkaal-leen rahaa.

1.2 Rahanpesuun houkuttelu

Nettimainoksilla houkutellaan ansait-semaan helppoa rahaa vain netissä is-tumalla ja klikkailemalla. Kohteena ovat myös suomalaiset. Helppo rahantulo

kuulostaa houkuttelevalta, mutta ilmai-sia lounaita ei tässäkään ole. Mainokset sisältävät erilaisia todistuksia siitä, mi-ten loistava mahdollisuus on kyseessä. Tämä ei kuitenkaan ole totta. Rikolliset tarjoavat rahaa tilisiirroista, joita teh-dään erisuuruisille rahasummille. Todel-lisuudessa uhri huijataan osaksi laitonta kansainvälistä rahanpesua.

Rahanpesuhuijauksessa uhrille kerro-taan jokin peitetarina. Tarina kertoo vaikkapa sukulaisesta, joka ei jostain syystä voi siirtää rahaa suoraan, vaan uhrin täytyy toimia välikätenä. Siirtoihin käytetään pankkien lisäksi muitakin maksulaitoksia ja maksuvälineitä.

Rahanpesu voidaan naamioida myös valuuttakaupaksi, järjestetyksi vedon-lyönniksi, arpajaisiksi tai muuksi "erin-omaiseksi" mahdollisuudeksi liike- tai sijoitustoimintaan.

1.3 Pyramidihuijaukset

Kaupankäyntimenetelmiä, joissa an-saintamalli perustuu uusien jäsenten rekrytointiin, kutsutaan yleensä pyra-midihuijauksiksi. Menetelmä yritetään naamioida liike- tai sijoitustoiminnaksi, koska Rahankeräyslaki 255/2006 kiel-tää niin kutsutun pyramidipelin.

Pyramidipelin tunnistaa selvimmin siitä, että järjestelmään sisään tuleva kassa-virta muodostuu pääasiassa uusien jä-senten maksamista maksuista. Maksut yritetään monesti verhota erilaisiksi rekrytointimaksuiksi, koulutus- tai kurssimaksuiksi, aloituspaketin hinnaksi tai suoraan jäsenmaksuiksi.

Hälytyskellojen pitäisi soida, kun pyra-midihuijari lupaa uusille jäsenille mer-kittävää voittoa tai tulevaisuuden ar-vonnousua nyt sijoitetulle rahalle. Jopa satojen prosenttien tuoton väitetään syntyvän valuuttakaupasta tai virtuaali-kolikoista tai muusta keksinnöstä, jota muut eivät tiedä. Älä usko!


5

1.4 Nigerialaishuijaus

Tämäkin huijaus perustuu uhrin hyvä-uskoisuuden väärinkäyttöön. Tyypillistä on, että uhrille uskotellaan että hän on voittanut lotossa tai että hänen kaukai-nen sukulaisensa on jättänyt suuren perinnön. Uhrille uskotellaan, että potin voi lunastaa antamalla pankkitiedot ja siirtämällä tietyn rahasumman perinnön käsittelystä aiheutuvia kuluja varten. Rahat siirrettyään huijarit saattavat

pyytää uhrilta vielä uusia rahasiirtoja "ennakoimattomien ylimääräisten kulu-jen kattamiseksi". Kirjeessä luvattua lottopottia tai perintöä ei kuitenkaan koskaan kuulu.

Uhria saatetaan lähestyä sähköpostilla, tekstiviestillä tai perinteisellä postilla. Nigerialaiskirjeistä voi lukea lisää esim. Wikipediasta:

http://fi.wikipedia.org/wiki/Nigerialaiskirjeet

Kuva 1: Esimerkki ns. nigerialaiskirjeestä, jossa uhrin hyväuskoisuutta pyritään vää-rinkäyttämään.




6

1.5 Liian hyvät tarjoukset voivat olla tilausansoja

"Onneksi olkoon - saat uuden iPhone 6s (sisältää 3 päivän kokeilun)"

"Hanki iPhone 6s -puhelin, hinta 1 eu-ro"

Viimeaikoina on yleistynyt huijaus, jos-sa käyttäjälle luvataan esimerkiksi uusi älypuhelin tai jokin muu houkutteleva tuote eurolla. Taustalla saattaa olla joko luottokortti- tai pankkitietojen kalaste-luyritys tai niin sanottu tilausansa.

Tilausansalla tarkoitetaan yritystä, joka saa kuluttajan tilaamaan mainoksen tai viestin pohjalta jotain, mitä ei ymmär-tänyt tilaavansa. Erehdyttäminen voi olla joko tahatonta tai tahallista. Olen-naista kuitenkin on, että viestin tai tar-jouksen vastaanottaja ei saa viestin sisällöstä todenmukaista kuvaa ja tämä vaikuttaa hänen ostopäätökseensä.1

1 http://www.ecc.fi/Ajankohtaista/Tiedotteet/2015/6.5.2015-tunnistatko-tilausansan-esimerkkeja-ja-ohjeet-ansojen-valttamiseen/


7

Kuva 2: Tilausansa saa kuluttajan tilaamaan jotakin, mitä hän ei ole ymmärtä-nyt tilaavansa. Kuvan sivustolle tietonsa syöttämällä ei saa uutta iPhonea eu-rolla, vaan sitoutuu 79 euroa kuussa maksavan suoratoistopalvelun asiak-kaaksi.

Esimerkiksi uutta älypuhelinta tarjoa-vissa huijauksissa käyttäjä saattaa huomaamattaan sitoutua suoratoisto-palvelun asiakkaaksi kalliilla kuukausi-maksulla. Sopimuksesta voi olla vaikea päästä irti. Tilausansan houkuttimena toimivaa älypuhelinta ei koskaan lähe-

tetä, vaan se saatetaan esimerkiksi ar-poa yhdelle asiakkaalle tai korvata jol-lain toisella tuotteella.


8

Kyberturvallisuuskeskus, suomalaiset teleyritykset ja Kilpailu- ja kuluttajavi-rasto ovat saaneet lukuisia yhteydenot-toja halpaa älypuhelinta mainostaviin tilausansoihin liittyen.

Kuluttajan täytyy olla valppaana ver-kossa eikä uskoa kaikkea mitä verkko-sivu lupaa. Lisätietoa tilausansoista löytyy Euroopan kuluttajakeskuksen sivuilta:

http://www.ecc.fi/Ajankohtaista/Tiedotteet/2015/6.5.2015-tunnistatko-tilausansan-esimerkkeja-ja-ohjeet-ansojen-valttamiseen/

2 Tietojenkalastelu Tietojenkalastelua tehdään mm. pank-kitunnusten, luottokorttinumeroiden, sähköpostitunnusten ja sosiaalisen me-dian tunnusten saamiseksi. Tietojenka-lastelu alkaa tyypillisesti sähköpostilla, jonka avulla käyttäjä ohjataan tietojen-kalastelusivulle.

Tietojenkalastelusivujen ulkoasu ja teema vaihtelee melkoisesti, mutta parhaimmillaan ne on toteutettu hyvällä suomen kielellä. Lisäksi niiden erotta-minen alkuperäisestä sivusta, johon huijaussivusto perustuu, voi olla vaike-aa.

2.1 Sähköpostin ja sosiaalisen median tunnusten kalastelu

Sähköpostin ja sosiaalisen median käyt-täjätunnusten kalastelu on lisääntynyt.

Mitä luultavimmin taustalla on näiden käyttäjätietojen kasvanut merkitys. Suuri osa ihmisen viestinnästä välittyy nykyisin sosiaalisen median tai sähkö-postin kautta.

Samoja sähköpostin ja sosiaalisen me-dian tunnuksia käytetään useisiin eri palveluihin kirjautumisissa. Ominaisuus helpottaa elämää, koska näin jokaiseen palveluun ei tarvitse keksiä uutta käyt-täjätunnusta ja salasanaa. Haittapuole-na on kuitenkin, että jos tunnukset jou-tuvat vääriin käsiin, esimerkiksi huijari voi kaapata uhrinsa muidenkin palvelu-jen tilejä.

Vaikka samaa sähköpostiosoitetta ei käytettäisi muihin palveluihin kirjautu-misessa, henkilö on saattanut hyödyn-tää sähköpostiosoitettaan muiden pal-velujen käyttäjätilien rekisteröinnissä. Useiden palvelujen sinänsä hyödyllinen "unohdin salasanani" -toiminto lähettää yleensä uuden salasanan luontilinkin henkilön sähköpostiosoitteeseen. Jos esimerkiksi huijari pääsee hallitsemaan juuri tätä sähköpostitiliä, hänen on mahdollista ottaa haltuun muutkin uh-rinsa käyttäjätilit.

Sosiaalisen median tunnusten avulla voi myös turmella henkilön tai yrityksen imagoa luvattomien tilapäivitysten tai tviittien avulla. Lisäksi rikolliset voivat kiristää kohdettaan pyytämällä lunnaita tunnusten palauttamiseksi.






9

Kuva 3: Esimerkki sähköpostitunnusten kalastelusivusta. Tietojenkalastelusivustoa saattaa olla pelkän sisällön perusteella vaikea erottaa aidoista sivuista. Selaimen osoitekentän verkkotunnus kuitenkin yleensä paljastaa huijauksen.

2.2 Pankkitunnusten kalastelu

Verkkopankkitunnusten kalastelu alkoi lisääntyä keväällä 2014 huija-uskampanjan seurauksena. Kampanjan avulla nostettiin 400 000 eurolla pika-luottoja ja tehtiin 50 000 euron edestä rahasiirtoja heinäkuun 2014 puoliväliin mennessä. Rikolliset kirjautuivat kalas-tettujen tunnusten avulla käyttäjien pankkitileille, joista rahoja siirrettiin ulkomaisille tileille. Verkkopankkitun-nusten avulla myös tunnistauduttiin pikalainoja tarjoavien yritysten verk-kosivuille, josta lainoja nostettiin uhrin nimissä.

Sähköpostiviestien lisäksi pankkitieto-jen kalastelussa käytetään tekstivieste-jä ja verkkopankkien sisäänkirjautumis-sivuja muistuttavia www-sivustoja. Tekstiviestejä on hyödynnetty erityises-ti kertakäyttöisten tunnuslukujen kalas-

teluun, laadukkaasti toteutetut www-sivustot puolestaan vakuuttavat uhrin uskomaan, että kyseessä ovat luotetta-vat verkkopankkisivut, vaikka kyseessä on puhdas huijaus.

Verkkopankkitunnuksia on kalasteltu esimerkiksi tekaistujen myöhästyneiden maksujen varjolla. Myös uhrille saapu-neiksi väitettyjä tavaralähetyksiä käyte-tään usein peitetarinana. Yhteistä kai-kille peitetarinoille on, että uhri uskotel-laan luulemaan, että hänelle seuraa vaikeuksia tai häneltä jää jotakin hyvää saamatta, jos hän ei toimi nopeasti. Hyvin tyypillisesti eräpäivän uskotel-laan, olevan aivan kohta ovella. Huijarit uskottelevat uhrin pääsevän tarkaste-lemaan tai korjaamaan häntä koskevia tietoja verkkopankkitunnuksillaan. Hui-jarit käyttävät tätä taktiikkaa myös muiden tietojen kalasteluun.


10

Kuva 4: Esimerkki pankkitunnusten kalastelusivusta. Sivusto on laadukkaasti toteutettu, mutta osoiterivin väärä osoite paljastaa huijauksen. Myös tietoliikenne-yhteyden salausta kuvaava lukittu lukkoikoni puuttuu osoiteriviltä. Kuvan tietojen-kalastelusivu on irtikytketty verkosta 10.7.2014.

2.3 Luottokorttitietojen kalaste-lu

Myös luottokorttitietojen huijaaminen on rikollisten suosima keino päästä kä-siksi ihmisten varoihin on. Tyypillisesti luottokorttitietojen kalastelu alkaa vää-rennetyllä sähköpostiviestillä, joka en-sisilmäyksellä vaikuttaa tulevan luotto-korttiyhtiöltä. Viestissä pyydetään päi-vittämään tai tarkistamaan luottokortin tiedot. Tiedot pyydetään syöttämään

tarkastusta tai aktivointia varten verk-kosivustolla, johon on linkki sähköpos-tiviestissä. Linkin teksti ei silmämääräi-sesti paljasta sivuston todellista osoitet-ta. Kalastelusivustolla olevaan lomak-keeseen pyydetään syöttämään luotto-kortin numeron ja voimassaoloajan li-säksi myös suojakoodi. Usein Lomak-keessa kysytään myös verkkomaksami-seen liittyviä "Verified by Visa" tai "Mastercard Securecode" todentamis-tunnuksia.


11

Kuva 5: Esimerkki luottokorttitietojen kalastelusivusta.

3 Mobiilimaksu-ominaisuutta on käytetty väärin

Monet teleyritykset tarjoavat verk-kosivujen ylläpitäjille ratkaisua, jossa verkkosivu voi laskuttaa tarjoamansa palvelun sivulla vierailevan käyttäjän normaalin matkapuhelinlaskun yhtey-dessä. Tämä palveluiden tilaamista ja maksavista sujuvoittava toiminto on valitettavasti aiheuttanut myös vahin-gossa klikattuja maksuja.

Joissain tapauksissa sivusto ei ole sel-keästi viestinyt, että mobiilimaksunap-pia painamalla syntyy maksutapahtu-ma, joka veloitetaan käyttäjän normaa-lin matkapuhelinlaskun yhteydessä. Palveluntarjoajasta riippuen mobiili-maksunapin toiminnallisuus saattaa johtua tahattomasta heikosta sivusto-jen suunnittelusta, mutta sen taustalla voi olla myös tahallista kuluttajan ereh-dyttämistä.

Langattomalla laajakaistalla tai älypu-helimella nettiä surffatessa tulee olla tietoinen, että tietyt sivustot voivat las-kuttaa palveluistaan myös matkapuhe-linlaskulla. Jos jokin sivusto ei selkeästi viesti, että palvelusta aiheutuva maksu veloitetaan matkapuhelinlaskulta, kan-

nattaa tällainen sivusto ilmoittaa omalle teleyritykselle.

4 Nettikauppapetokset Netin osto- ja myyntipalstat ovat mai-nioita paikkoja löytää käytettyjä hyö-dykkeitä, mutta ne ovat myös huijarei-den suosiossa. Sielläkin kannattaa va-roa epäilyttävän hyviä tarjouksia.

Huijari voi myydä tuotetta, jota ei ole olemassa. Rahat menevät, mutta tuo-tetta ei näy tai ostos on jotakin ihan muuta kuin sovittiin. Jos kauppa ei on-nistu kasvotusten, pyydä myyjältä ha-vainnolliset kuvat myytävästä tuottees-ta. Kysy, kuka nimimerkin takana on ja voisitko saada tuotteen samaan kuvaan päivän lehden kanssa ennen kuin mak-sat tuntemattoman tilille rahaa.

Kuvien aitoutta voi yrittää tarkastaa esimerkiksi Googlen kuvahaulla, jonka löytää esimerkiksi Chrome-selaimesta hiiren oikean napin valikosta. Jos ident-tinen kuva löytyykin netistä, todennä-köisesti se ei ole myyjän itsensä ottama kuva. Tällaisessa tilanteessa on syytä epäillä, onko myyjällä koko tuotetta ollenkaan.

Myyjän hyvä mainekaan ei aina takaa luotettavuutta, sillä myyjän käyttäjätili on voitu kaapata. Huijarit seuraavat


12

ahkerasti salasanavuotoja, joiden avulla kaappauksia toteutetaan. Luotettavalta näyttävä myyjä tai ostaja ei ehkä edes tiedä, että huijari on kaapannut hänen tilinsä ja lokaa hänen maineensa tehtai-lemalla petoksia toisensa perään. Yritä aina varmistaa myyjän henkilöys ennen kauppaa.

Käytä postiennakkoa, jos et voi olla varma myytävästä tuotteesta. Yksityis-henkilöiden välisissä postilähetyksissä lähettäjä saa antaa luvan postipaketin sisällön tarkastamiseen ennen kuittaa-mista ja maksamista.

Kun tehdään kauppaa kasvotusten, kä-teisellä rahalla maksaminen on helppo todentaa omin silmin. Jos summa on liian suuri käteisellä kuljetettavaksi tai se tuntuu muuten turvallisemmalta maksaa sähköisesti, kannattaa varmis-taa maksun perille meno aina omalla päätelaitteella. Älypuhelimessa toimi-valla pikamaksusovelluksella voi var-mistaa itselleen kuittauksen heti, kun maksu on varmennettu.

5 Huijariroskapostia teksti-viestein

Moni on jo tottunut ohittamaan sähkö-postitse tulevat roskapostit ja huijauk-

set. Tekstiviestit ovat Suomessa vielä vähän käytetty mainoskanava, jota ei osata varoa yhtä hyvin. Tekstiviestinkin lähettäjätiedot on helppo väärentää ja uskotella, että viesti tulee pankista, pi-kavippiyritykseltä tai viranomaiselta. Nykyälypuhelimissa tekstiviestistä voi suoraan klikata linkkiä, joka ohjaa net-tisivulle, jossa odottaa joko huijaus tai haittaohjelma.

Suomessa tekstiviestihuijaukset (smishing) ovat vielä harvinaisia. Muu-alla Euroopassa ja Yhdysvalloissa ne ovat yleistyneet viime vuosina. Viran-omaiset odottavat ilmiön rantautuvan Suomeenkin ennemmin tai myöhem-min.

6 Lahjakortti edellyttää soittoa maksulliseen nu-meroon

"Voita lahjakortti Suomen suurimpaan huonekaluliikkeeseen! Vastaa seuraa-viin 3 kysymykseen selvittääksesi, voimmeko lähettää 700€ lahjakortin sinulle."

"Voita VR- lahjakortti arvoltaan 300 euroa! "


13

Rikolliset mainostavat houkuttelevaa lahjakorttia esimerkiksi huonekaluliikkeeseen tai VR:lle, kunhan vain vastaa muutamaan kysymykseen, kuten kuin-ka usein matkustaa junalla. Kysymys-ten jälkeen uhria pyydetään soittamaan maksulliseen numeroon, jotta hän saa PIN-koodin. Lahjakorttia ei soitosta huolimatta kuitenkaan koskaan tule.

7 Toimitusjohtajahuijaus koskee etenkin yrityksiä

Toimitusjohtajahuijauksessa rikolliset lähestyvät yrityksen taloushallintoa tai henkilöä, jolla on laskunmaksuoikeudet, esimerkiksi yrityksen toimitusjohtajan tai talousjohtajan identiteetillä.

Huijauksessa valejohtaja pyytää mak-samaan laskun tietylle tilille. Usein ti-lanteeseen liittyy painostuskeino, kuten myöhässä olevasta maksusta johtuva kiire. Usein kiireelliset maksupyynnöt lähetetään myöhään perjantai-iltapäivällä, ennen viikonloppua.

Suomalaisetkin yritykset ovat joutuneet toimitusjohtajahuijausten kohteiksi. Esimerkiksi vuonna 2015 menetykset ovat olleet julkisuuteen tulleissa tapa-uksissa yhteensä yli 18 miljoonaa eu-roa.

Tässä huijaustyypissä on sekä Suomes-sa että maailmalla havaittu selkeää pe-rehtyneisyyttä kohteena olevaan orga-nisaatioon. Hyökkääjä saattaa rekiste-röidä huijausviestien lähettämistä var-ten verkkotunnuksen, joka muistuttaa hyvin paljon alkuperäistä kohdeorgani-saation verkkotunnusta. Esimerkiksi jos talousjohtajan oikea osoite on [email protected], saattavat rikolliset lähettää huijausviestejä osoitteesta [email protected]. Eroa oikean ja väärän osoitteen välillä ei välttämättä kiireessä aina huomaa.

Laskuhuijauksia voidaan yrittää tehdä myös johtajan omasta sähköpostilaati-kosta, jos siihen onnistutaan murtau-tumaan esimerkiksi arvaamalla heikko

Kuva 3: Sivuston lupaama 300 euron lahjakortti edellyttää soittoa maksulliseen puhe-linnumeroon.


14

salasana tai ujuttamalla tietokoneeseen haittaohjelma.

Yritysten on syytä varautua toimitus-johtajahuijauksiin kouluttamalla talous-hallinnon henkilöstöä sekä luomalla työ-ilmapiirin, jossa kynnys varmistaa jon-kin laskun oikeellisuus on mahdollisim-man matala. Yrityksissä on myös oltava selkeä prosessi, miten laskut vastaan-otetaan ja pannaan maksuun.

8 Hybridihuijaukset

8.1 Tekniikkahuijaukset

Huijarit yrittävät myös pelotella väittä-mällä, että laitteessasi on jotakin vikaa ja hän auttaa korjaamaan sen. Hän voi ottaa yhteyttä sähköpostitse, puheli-mella, tekstiviestitse tai nettimainoksen välityksellä.

Huijari voi väittää, että koneessasi on virus ja sinun täytyy asentaa torjunta-ohjelma esimerkiksi hänen www-sivustonsa kautta, jotta ongelma pois-tuu. Todellisuudessa mitään virusta ei ole ja huijarin tarjoama torjuntaohjel-makin olisi itse asiassa haitallinen.

Huijarin väittämä vika voi olla video, joka ei näy, tai muu nettisisältö, joka ei aukea, ellet asenna huijarin tarjoamaan apuohjelmaa, videokoodekkia tai katse-lusovellusta. Huijarin apuohjelman mu-kana koneelle kuitenkin livahtaa myös haittaohjelma, joka voi lukita koneesi, varastaa käyttäjätietosi, pankkitunnuk-sesi tai luottokorttiesi numerot.

8.2 Muut hybridihuijaukset

Monenlaisten verkon vaarojen ja haitto-jen yhdistelmää kutsutaan hybridihuija-ukseksi.

Keinoina käytetään kaikkea mahdollista sähköpostista monimutkaiseen haitta-ohjelma-verkkomurto-hyökkäyskuvioon. Vain mielikuvitus on vedätyskeinojen rajana.

Perinteisen yritys- tai toimitusjohtaja-huijauksen kohteelle lähetetään perus-teeton lasku. Huijaus muuttuu hybridik-si, kun huijauslaskun sisään piilotetaan haittaohjelma, joka varastaa työase-malta luottokorttitietoja, salasanoja ja pankkitunnuksia.

Yhdistelmävedätyksen loppusilaukseksi uhrin kone voidaan lukita ja sen kaikki tiedostot salata, ellei hän suostu huija-rin lasku- tai lunnasvaatimuksiin. Mah-dollista on myös, että kohteena olevan yrityksen työasemaverkkoon piiloutuu vakoiluohjelma, joka jää tarkkailemaan tilannetta ja odottamaan huijarin etä-komentoja.


15

Suojautuminen Huijauksilta suojautuminen edellyttää tarkkaavaisuutta. Huijauksiin ei yleensä liity haittaohjelmaa tai muuta teknistä apuvälinettä, vaan huijaus tehdään käyttäjän hyväuskoisuutta hyväksikäyt-täen.

Alle on koottu lista yksinkertaisista va-rotoimenpiteistä, joita noudattamalla suurimman osan huijauksista voi vält-tää.

9 Älä luota sokeasti sähkö-postin lähettäjätietoihin

Sähköpostien lähettäjätiedot on koh-tuullisen helppo väärentää. Vaikka säh-köposti näyttäisi tulevan esimerkiksi omalta pankilta tai toimitusjohtajalta, saattaa se silti olla väärennetty. Voi myös olla, että sähköpostin lähettäjän tietokoneeseen on murtauduttu tai hä-nen sähköpostisalasana on arvattu.

Tulisikin pohtia

• miksi sain kyseisen viestin

• onko lähettäjä minulle entuudes-taan tuttu

• olenko viestissä mainitun palve-lun käyttäjä

• eroaako viestin sisältö tuntemani palvelun tarjoajan tyypillisestä viestinnästä tai viestien ulko-asusta

• onko viestin kirjoitusasu ja kie-lioppi asiallinen

• onko viestin sisältö jotenkin muuten epäilyttävä?

Muistathan, että esimerkiksi pankit tai perintätoimistot eivät lähetä sähköpos-teja, jotka ohjaavat asiakkaat verk-kosivulle kirjautumaan.

Jos sähköpostiviestissä on linkki, tar-kasta, mihin internetosoitteeseen linkki viittaa. Jos linkin takana oleva verkko-tunnus ei liity viestin lähettäjään, ky-seessä on luultavasti tietojenkalastelu-tarkoituksessa lähetetty huijausviesti.

10 Älä luota kaikkiin verk-kosivustoihin

Liian hyvät tarjoukset useimmiten ovat liian hyviä ollakseen totta. Jos tarjous vaikuttaa epäilyttävän hyvältä, kannat-taa käyttää hetki tarjouksen ehtoihin ja tarjouksen tekijän sivustoon tutustumi-seen. Hyvä keino on myös etsiä halpaa tuotetta tarjoavaa yritystä hakukoneella ja katsoa, minkälaista keskustelua yri-tyksestä käydään internetissä.

Ole erityisen tarkkana, jos epäilyttävän oloiselta verkkosivustolta ohjataan esi-merkiksi verkkopankin sisäänkirjautu-missivulle, pyydetään luottokorttitietoja tai pyydetään soittamaan maksulliseen numeroon.

11 Tarkasta selaimen kohde-osoite

Miltä tahansa sivustolta verkkopankin tai muun palvelun sisäänkirjautumissi-vulle siirryttäessä tulee aina tarkastaa selaimen kohdeosoite. Sivustojen väli-set linkit on helppo saada näyttämän aidoilta, vaikka todellisuudessa henkilö onkin ohjattu tietojenkalastelusivulle aidon verkkopankin sijaan.

Esimerkiksi keväällä 2014 toimineessa pankkitunnusten kalastelukampanjassa tietojenkalastelusivut ovat olleet verk-kotunnusten kuten maksumyohas-sa.info tai lindorffonline.net alaisuudes-sa. Ensimmäinen osoite on melko lähel-lä perintätoimisto Lindorff Oy:n ylläpi-tämää maksumyohassa.fi -sivustoa ja jälkimmäinen muistuttaa ulkoasultaan Lindorffin omaa osoitetta lindorff.fi. Ri-


16

kolliset pyrkivät siis harhauttamaan käyttäjiä rekisteröimällä tietojenkalas-telusivuiksi verkkotunnuksia, jotka ovat lähes saman muotoisia ja nimisiä kuin alkuperäisetkin verkkotunnukset.

Opettele erottamaan tietojenkalastelu-sivut tarkkailemalla, esimerkiksi verk-kopankissa tai sosiaalisessa mediassa asioidessasi, miltä oikea verkkotunnus näyttää. Jos olet epävarma verkkotun-nuksen aitoudesta, etsi kyseisestä or-ganisaatiosta tietoa hakukoneella ja katso, mitä verkkotunnusta hakukone ehdottaa kyseiselle yritykselle.

Myös verkkotunnusten rakenteesta on hyvä tietää perusteet. Verkkotunnukset koostuvat pistein erotelluista osista. Jokaisessa verkkotunnuksessa on vä-hintään kaksi osaa. Osia luetaan oike-anpuolimmaisesta vasemmanpuolim-maiseen päin.

Esimerkiksi verkkotunnukset suomi.fi ja asiointitili.suomi.fi kuuluu paitsi pääta-son fi-alueeseen myös toisen tason suomi.fi-alueeseen. Molemmista tun-nuksista ja niissä tapahtuvasta toimin-nasta vastaa sama taho, eli suomi.fi-verkkotunnuksen haltija. Sen sijaan esimerkiksi verkkotunnuksella asiointiti-li.example.com ei ole mitään tekemistä verkkotunnuksen asiointitili.suomi.fi:n kanssa.

Joskus rikolliset hyödyntävät tätä verk-kotunnusten oikealta vasemmalle kul-kevaa luentajärjestystä rekisteröimällä aidon kuuloisia aliverkkotunnuksia. Esimerkiksi verkko-osoitteella www.nordea.fi.example.com ei ole mi-tään tekemistä Nordean www.nordea.fi -sivuston kanssa, vaan sitä ylläpitää example.com-verkkotunnuksen haltija.

Kuva 4: Kuvassa on sisällön puolesta laadukkaasti toteutettu tietojenkalastelusi-vu. Huijauksen voi kuitenkin päätellä osoitekentän väärästä verkkotunnuksesta. Myös tietoliikenneyhteyden salausta kuvaava lukittu lukkoikoni puuttuu osoiteri-viltä. Kuvan tietojenkalastelusivu on irtikytketty verkosta 10.7.2014.


17

12 Tarkasta, onko selaimen tietoliikenteen salaus päällä

Verkkopankkien selainliikenne on aina salattu. Selaimen tietoliikenneyhteyden salauksen voi varmistaa selaimen osoi-terivin lukkoikonista ja https:// -alkuisesta verkko-osoitteesta. Jos osoi-terivillä ei ole lukkoikonia, voi olla var-

ma, ettei kyseessä ole oikea verkko-pankki.

Pelkkä lukkoikoni ei kuitenkaan ole ta-kuu aidosta verkkopankista, siksi myös kohdeosoite tulee tarkistaa selaimen osoiteriviltä. Jos on epävarma oman pankin aidosta verkkotunnuksesta, kannattaa etsiä pankkia hakukoneella.

13 Ilmoita huijaussivustosta Epäilyttävistä viesteistä tai sivustoista kannattaa ilmoittaa Viestintävirastolle. Viraston Kyberturvallisuuskeskus voi välittää tiedon toimivaltaisille tahoille,

jotta huijaussivustot saataisiin kytket-tyä pois internetistä.

Viestintäviraston Kyberturvallisuuskes-kukseen voi lähettää vinkkejä huijaus-viesteistä tai -sivustoista sähköpos-tiosoitteeseen: [email protected]

3. Varmista, että kohdeosoite vastaa oikean verkkopankin verkko-tunnusta. Oikean osoitteen voi tarvittaessa hakea vaikka hakukoneella.

2. Varmista, että verkkopankin kirjautu-missivun osoite alkaa salauksesta kertovalla https:// -tekstillä. Pelkkä http:// tarkoittaa salaamatonta yhteyttä.

1. Varmista, että verkkopankin kirjautumissivun osoiterivillä on lukittu lukkoikoni.

Kuva 5: Kuvassa on oikea S-Pankin sisäänkirjautumissivu. Oikea verkkotunnus S-Pankille on tällä hetkellä s-pankki.fi. Kuvakaappaus on otettu 22.7.2014.

mailto:[email protected]

Yhteystiedot:

Viestintävirasto

PL 313

Itämerenkatu 3 A

00181 Helsinki

Puh: 0295 390 100 (vaihde)

kyberturvallisuuskeskus.fi

viestintävirasto.fi

näin meitä huijataan! - kyberturvallisuuskeskus...9 Älä luota sokeasti sähköpostin...

Documents