Verkkopetosten kirjo on suuri – pankit mukana ehkäisytoimissa

24.11.2021 8.39
Pankkien tunnistustiedot ovat haluttua tavaraa rikollisille. 2020-luvun huijari ei enää vaani vanhusta pankkiautomaatilla vaan esiintyy esimerkiksi poliisina tai pankkivirkailijana ja yrittää tavalla tai toisella saada kalastettua uhrin pankkitunnukset. Uhrit ovat kaikenikäisiä. Erilaisilla nettihuijauksilla on tänä vuonna viety jo kymmeniä miljoonia euroja.

Poliisin mukaan lokakuun 2021 loppuun mennessä sijoitushuijauksilla on viety jo noin 13 miljoonaa euroa. IT-tukihuijauksilla, toimitusjohtajahuijauksilla sekä rakkaus- ja nigerialaishuijauksilla rikolliset ovat onnistuneet saamaan yhteensä yli 13 miljoonaa euroa ja pankkien nimissä tehdyillä huijauksilla yli 9 miljoonaa euroa. Pelkästään näiden tilastoitujen huijausten yhteenlaskettu menetys on yli 35 miljoonaa euroa. Poliisille on tehty yli 2200 ilmoitusta näistä huijauksista. Lisäksi on paljon huijauksia, joiden määrästä ja taloudellisista menetyksistä ei ole tarkkaa tietoa.

Huijaustilanteissa nopeus on valttia. Jos huomaa tulleensa huijatuksi, kannattaa ottaa heti yhteys omaan pankkiin ja sen jälkeen poliisiin. Pankkien ja viranomaisten toimin onkin tänä vuonna pystytty estämään tai palauttamaan noin 20 miljoonaa euroa rikollisille siirtymässä ollutta rahaa.

Ei vain vanhusten ongelma

Verkkorikoksen uhriksi voi päätyä kuka tahansa meistä. Kiire, huomiokyvyn herpaantuminen, herkkä elämäntilanne tai riittämättömät digitaidot lisäävät riskiä. Esimerkiksi sijoitushuijauksien uhreista noin 40 prosenttia on 30–50-vuotiaita. Yli 60 prosenttia IT-tukihuijausten ja yli 50 prosenttia tietojenkalastelun uhreista on yli 60-vuotiaita.

Pankit käyttävät kymmeniä miljoonia euroja vuodessa huijausten torjumiseen, ihmisten valistamiseen ja erilaisten tietoturva-aukkojen ja muiden porsaanreikien tukkimiseen. Tämän seurauksena huijarit joutuvat jatkuvasti muuttamaan toimintatapojaan ja keksimään uusia. Haluan ainakin ajatella, että valistuksella – tai joku voisi sanoa jankutuksella – on sittenkin ollut merkitystä.

Tänä vuonna ovat yleistyneet niin sanotut hakukonehuijaukset. Rikolliset saivat algoritmeja manipuloimalla ujutettua huijaussivujaan Googlen ja Bingin kaltaisten hakukoneiden tuloksiin. Huijaussivut ponnahtavat kärkeen, jos pyrkii haun avulla verkkopankkiin.

Klassinen huijareiden metodi on lähettää pankin tai viranomaisen nimissä sähköposti tai tekstiviesti. Viestissä kehotetaan kirjautumaan verkkopankkiin linkin kautta, mutta linkki viekin rikollisten tehtailemalle huijaussivulle. Valesivut ovat usein erittäin hyvin tehtyjä ja ammattilaisenkin on vaikea erottaa niitä aidosta.

Tällaisen netissä tapahtuvan rikollisuuden torjuminen tai ehkäisy ei ole helppoa. Kuten todettua, uhrit ovat usein iäkkäitä, eivätkä todellakaan lue Finanssiala ry:n verkkosivuja tai seuraa omaa pankkiaan Twitterissä. Usein paras torjuntatapa huijausrikoksille on kuitenkin valistus: Älä kirjoita Googlen tai Bingin hakukenttään pankkisi nimeä ja klikkaa hakutulosta. Näin saatat joutua huijaussivulle. Pankki tai viranomainen ei koskaan pyydä puhelimessa tai sähköpostilla verkkopankkitunnuksia.

Kiire vie rahat

Yhteinen tekijä nettihuijauksissa on usein kiire. Näin uhri ei ehdi pysähtyä pohtimaan, josko pyynnössä on jotain mätää. Jo klassisissa nigerialaiskirjeissä miljoonat huonosti kirjoitetut dollarit katoavat, ellei viestin saaja ota heti pikaisesti yhteyttä.

Samaa logiikkaa käyttävät myös pankkitunnusten kalastelijat. Yleinen toimintatapa ainakin pari vuotta sitten oli soittaa iäkkäälle uhrille ja poliisina esiintyen kertoa, että rikolliset ovat päässeet tämän pankkitilille ja rahat voidaan pelastaa, jos uhri antaa nopeasti soittajalle verkkopankkitunnukset. Tällaisen pyynnön pitäisi heti soittaa hälytyskelloja, sillä ei pankki tai viranomainen tarvitse asiakkaan tunnuksia, jos oikeasti on hätätilanne. Pankilla ja viranomaisilla on kyllä keinot päästä tilille ilman mitään kiireellisiä puheluitakin.

Pitääkö pomon viestejä epäillä?

Ikääntynyt on nettihuijarille luonteva kohde, mutta todella isot rahat liikkuvat yritysmaailmassa. Toimitusjohtajapetoksissa rikolliset lähettävät esimerkiksi maksuliikenteestä vastaavalle työntekijälle väärennetyn sähköpostiviestin, joka näyttää tulleen organisaation ylimmästä johdosta. Tyypillistä toimitusjohtajahuijauksissa – kuten monissa muissakin huijauksissa – on tulenpalava kiire, jolloin vastaanottaja ei välttämättä ehdi kyseenalaistaa käskyä. Tätä tuetaan urkkimalla esimerkiksi sosiaalisesta mediasta, milloin väitetty lähettäjä on vaikkapa missäkin matkoilla.

Rikolliset ovat voineet saada tietoa kohteestaan esimerkiksi kaapatun sähköpostitilin kautta. Tietoa saa hankittua myös avoimista lähteistä, kuten yhteisön omien verkkosivujen tai vastuuhenkilöiden – jopa vastuuhenkilöiden puolisoiden tai tuttavien – somejulkaisujen kautta.

Kaikissa organisaatioissa tulisi käydä ajatuksella lävitse tämän kaltaisten rikosten mahdollisuus ja sopia suojautumiskeinot. Niitä ovat muun muassa laskutuskäytännöistä sopiminen: miten tarkastetaan laskutuksen tai niihin liittyvien tietojen muuttumisen oikeellisuus. Saatuihin viesteihin ei saa vastata niiden kautta, vaan tarkastukset tulee tehdä henkilökohtaisesti tapaamalla, tuttujen sähköpostiosoitteiden tai puhelinnumeroiden kautta. Eli ei toimita viesteissä olevien ohjeiden ja yhteystietojen mukaan eikä avata viesteissä olevia linkkejä tai liitetiedostoja.

Niko Saxholm

Kirjoittaja on vahingontorjunnasta vastaava johtaja Finanssiala ry:ssä.
 

Kuva: Rodeo

 

Haaste 4/2021