Sähköpostiin saapui ohjelmistoyhtiö Microsoftin nimissä hämmentävä viesti. Hyvällä suomen kielellä laaditussa tekstissä urkittiin tietojen menettämisen uhalla muun muassa Microsoft-tilin nimeä ja salasanaa.
Tietokantamme tilien hallintatoimenpiteen aikana huomasimme, että tiliäsi ei ole vahvistettu. Tekninen valvontamme sulkee kaikki vahvistamattomat tilit, joten estääksesi tilisi sulkeutumisen sinun täytyy klikata "vastaa"-painiketta vastataksesi tähän viestiin sekä syöttää alla olevat puuttuvat tiedot uudistaaksesi tilisi.
Viralliseen muotoon laadittu viesti ei kuitenkaan ollut yhdysvaltalaisen ohjelmistotalon vaan ammattirikollisen lähettämä.
Kolme vinkkiä
Näin vältyt haittaohjelmilta
1 Pidä tietokoneen käyttöjärjestelmä ja sovellukset päivitettynä, sillä ohjelmistopäivityksissä paikataan usein tietoturva-aukkoja. Erityisen ongelmallinen sovellus on Flash, jota käytetään esimerkiksi nettivideoiden katselussa. Siitä kannattaa luopua, mikäli se on mahdollista.
2 Käytä maalaisjärkeä. Epäilyttäviltä tahoilta tulevia sähköposteja ei kannata avata, eikä varsinkaan viestien sisältämiä linkkejä tai liitetiedostoja. Älä myöskään vieraile hämärillä verkkosivustoilla. Haittaohjelmia voi saada tietokoneelleen esimerkiksi piraattiohjelmistoja tai pornoa jakelevilta nettisivustoilta.
3 Hanki virustorjuntaohjelmisto ja lataa ohjelmistopäivitykset.
Vinkit antoi F-Securen tietoturva-asiantuntija Mikael Albrecht.
Vedätykseksi viestin paljasti se, etteivät laillisesti toimivat yritykset koskaan kerää käyttäjätunnuksia ja salasanoja sähköpostitse. Myös viestin lähettäjän sähköpostiosoite vaikutti epäluotettavalta.
Kaikki eivät hoksaa tarkistaa lähettäjän tietoja ja haksahtavat lähettämään sähköpostinsa kirjautumistunnukset rikollisille. Sen jälkeen huijari voi lähettää sähköpostitilin omistajan nimissä viestejä, joissa pyydetään esimerkiksi lomamatkalla sattuneen onnettomuuden verukkeella siirtämään rahaa ulkomaille.
Näin kävi tietoturvayhtiö F-Securen tietoturva-asiantuntijan
Mikael Albrechtin ystävälle.
Ystävältä tulleen sähköpostiviestin mukaan häneltä oli varastettu Kyproksella laukku rahoineen, passeineen ja matkapuhelimineen päivineen. Nyt hän tarvitsisi tuhat euroa päästäkseen pälkähästä.
Alan ammattilaisena Albrecht tiesi heti, mistä on kyse, eikä kukaan muukaan viestin saaneista langennut nettihuijarin asettamaan ansaan.
Nettihuijaukset perustuvat suureen volyymiin.
Sähköpostitse huijarit tavoittavat halvalla miljoonia ihmisiä. Vaikka huijausviesteistä on kirjoitettu ja puhuttu paljon, kaikilla hälytyskellot eivät soi sellaisen nähdessään.
Huijausmuodosta riippumatta rikolliset pyytävät usein siirtämään rahaa rahanvälityspalvelu Western Unionin kautta. Sen avulla raha siirtyy osapuolelta toiselle kansainvälisen toimipisteverkoston välityksellä.
Maksaja saa rahansiirrosta koodin, jolla vastaanottaja saa nostettua summan Western Unionin toisesta toimipisteestä.
"Western Union on kätevä ja tehokas tapa siirtää rahaa tuttavalle, mutta valitettavan helppo väärinkäyttää. Vastaanottaja nostaa rahat joko anonyymisti tai väärennetyillä henkilöllisyyspapereilla", Albrecht sanoo.
Rahansiirtoihin Western Unionia käyttävät myös ennakkomaksuhuijarit eli niin sanotut nigerialaiskirjeiden lähettäjät. Niissä pyydetään ennakkomaksua siitä, että viestin saaja voisi vastaanottaa esimerkiksi miljoonien lottovoiton tai suuren perinnön.
Sähköpostiviestien lisäksi huijarit laativat myös haittaohjelmia. Yleisimpiä ovat vakoiluohjelmat sekä pankki- ja kiristystroijalaiset.
"Haittaohjelmat toimivat taustalla ja ovat usein huomaamattomia", Albrecht varoittaa.
Haittaohjelmien aiheuttamat vahingot voi välttää ajan tasalla olevalla virustorjuntaohjelmalla. Se löytää ja poistaa haittaohjelmat koneesta, ennen kuin ne ehtivät aiheuttaa vahinkoa.
Pankkitroijalainen muokkaa pankin ja asiakkaan välistä tietoliikennettä niin, että suuria summia siirtyy väärälle tilille nettipankki-istunnon aikana.
Vakoiluohjelmat nuuskivat esimerkiksi luottokorttitietoja tai sähköpostitunnuksia, joita huijarit käyttävät rikollisiin tarkoituksiin.
Ensin kannattaa selvittää, voiko koneen avata tai tiedostojen salakirjoituksen purkaa jollain muulla tavalla kuin kiristäjien ehtoihin suostumalla.
Vuoden aikana ovat yleistyneet erilaiset kiristystroijalaiset. Ne lukitsevat käyttäjän tietokoneen tai tiedostot. Lukitsemisen jälkeen kiristäjät lähettävät koneen omistajalle viestin, jossa he maksua vastaan lupaavat avata koneen tai sen sisältämät tiedostot.
Aina se ei ole mahdollista. Joissain tapauksissa tiedostojen salaus on tehty niin taiten, että tiedostot pitää palauttaa varmuuskopioista.
Jos varmuuskopiointia ei ole tehty, ainoaksi vaihtoehdoksi voi jäädä kiristäjien vaatimien lunnaiden maksu. Albrechtin mukaan sitä kannattaa välttää viimeiseen asti.
"Tällöin tuet rikollista toimintaa", hän muistuttaa.
Rikoskomisario
Pentti Kangasniemi Itä-Uudenmaan poliisista varoittaa, ettei uhri välttämättä saa tiedostojaan takaisin, vaikka maksaisikin kiristäjille.
Kiristyksen kohteeksi joutuneiden kannattaa ilmoittaa asiasta poliisille. Näin viranomaiset saavat tietoa siitä, kuinka laajasta ongelmasta on kyse.
"Piilorikollisuuteen on viranomaisen huomattavasti vaikeampaa puuttua ilman kansalaisilta saatavaa tietoa", Kangasniemi sanoo.
HS esittelee viisi tyypillistä petkutuskeinoa.
Ilmaisen näytteen sijaan tuli maksullinen jäsenyys
Facebook-mainoksessa tarjotaan merkkituotetta ilmaiseksi toimituskulujen hinnalla, kunhan vastaa nettikyselyyn. Kyselyyn päästäkseen joutuu hyväksymään sopimusehdot.
Ehdoissa lukee pienellä, että lahjan tilaamalla sitoutuu maksulliseen jäsenyyteen.
Huijarit luottavat siihen, että kaikki eivät lue sopimusehtoja riittävän tarkasti tai ollenkaan. Jäsenyys saattaa maksaa joitain kymmeniä euroja kuukaudessa.
Maksamalla näytetuotteen toimitusmaksun rikolliset saavat käsiinsä luottokortin tiedot ja voivat tehdä sopimusehtojen mukaisia kuukausiveloituksia. Veloituksia voidaan tehdä myös puhelinlaskussa, joten omaa puhelinnumeroa ei kannata luovuttaa epämääräiselle taholle.
Huijarit eivät myöskään toimita lupaamaansa merkkituotetta, kuten lenkkareita tai aurinkolaseja. Mikäli lankesit ansaan, katkaise jäsenyys kirjallisesti ja ole yhteydessä pankkiin tai puhelinoperaattoriin veloituksen katkaisemiseksi.
Luottamuksellisia tietoja ei kysellä sähköpostitse
Kalasteluviestissä (phishing) huijarit pyrkivät saamaan verkkopankkitunnuksen, henkilötunnuksen, luottokorttitiedot tai sähköpostin käyttäjätunnukset. Huijari voi esiintyä yrityksen, oppilaitoksen tai viranomaisen edustajana.
Esimerkiksi teknologiayhtiö Applen nimissä on lähetetty ihmisille pyyntöjä päivittää musiikkipalvelu iTunesin maksu- eli luottokorttitiedot ja ohjelmistoyhtiö Microsoftin edustajina kyselty sähköpostitunnuksia. Pankin lukuun lähetetyillä viesteillä rikolliset ovat onnistuneet kalastamaan jopa pankkitunnuksia.
Rikolliset kysyvät salaisia tietoja joko suoraan sähköpostin viestikentässä tai yrityksen sivuja apinoivalla sisäänkirjautumissivulla.
Viestissä varoitetaan usein tietoturvauhasta tai teknisestä viasta, jotka edellyttävät nopeaa toimintaa. Pelko esimerkiksi pilvipalveluun tallennettujen tiedostojen menettämisestä saa jotkut toimimaan ajattelemattomasti.
Laillisesti toimivat yritykset eivät kuitenkaan koskaan kerää luottamuksellisia tietoja sähköpostitse tai pyydä kirjautumaan palveluun sähköpostiviestissä olevasta linkistä.
Kalasteluviestit kannattaa tuhota. Jos erehdyit antamaan pankkitunnuksesi tai luottokorttitietosi vääriin käsiin, soita heti pankkiin tai luottokorttiyhtiöön.
Ystävä hädässä pyytää rahaa
Lomamatkalla vaikeuksiin joutunut ystävä lähettää sähköpostilla avunpyynnön. Selvitäkseen pulasta hän tarvitsee rahaa äkkiä.
Kukapa ei haluaisi auttaa, mutta jäitä hattuun! Avunpyynnön on nimittäin todennäköisesti laatinut nettihuijari eikä ystäväsi, jonka sähköpostin käyttäjätunnus ja salasana ovat päätyneet rikollisten käsiin esimerkiksi tietomurron tai kalasteluviestin seurauksena.
Rahan lähettämisen sijaan soita kaverille ja kerro, että hänen sähköpostiaan käytetään väärin. Näin hän osaa vaihtaa sähköpostitilinsä käyttäjätunnuksen ja salasanan.
Mailiosoitteen perusteella ei arvota miljoonia
Sähköpostiviestissä kerrotaan sinua kohdanneesta onnenpotkusta. Olet voittanut ulkomaisessa lotossa miljoonia euroja. Voittaja on seulottu arvonnassa, johon osallistujat on valittu sähköpostien perusteella.
Kuulostaa liian hyvältä ollakseen totta – ja niin se onkin. Voittosumman saamiseksi sinun pitäisi nimittäin pulittaa pieni summa rahaa lottoarvonnan järjestäjille.
Huijauksen kaava on sama kuin niin sanotuissa nigerialaiskirjeissä, joiden lähettäjät lupaavat viesteissään osuutta esimerkiksi perinnöstä tai liiketoiminnan tuotoista, kunhan ensin suoritat etumaksun esimerkiksi kuljetuksista, veroista tai pankki- tai oikeuskuluista.
Huijarin lähettämään tilinumeroon rahaa ei kannata siirtää, eikä omia henkilöllisyys- tai luottokorttitietoja luovuttaa. Suhtaudu tällaisiin viesteihin kuten mihin tahansa roskapostiin: jätä vastaamatta, älä klikkaa linkkejä tai avaa liitteitä ja siirrä viesti roskakoriin.
Merkkituotteet ovatkin väärennöksiä
Jos tuntematon nettikauppa myy merkkiaurinkolaseja, -käsilaukkuja tai -untuvatakkeja pilkkahintaan, tuotteet voivat olla väärennettyjä. Epäuskottavan verkkokaupan tuotteet kannattaakin jättää tilaamatta. Kalliita luksustuotteita tuskin myydään sivustoilla, jotka näyttävät halvoilta.
Joissain tapauksissa väärennökset saapuvat postitse, mutta asiakas voi jäädä nuolemaan näppejään esimerkiksi siksi, että huijarit jättävät tuotteen kokonaan lähettämättä tai väärennökset jäävät tullin haaviin.
Selvitä joka tapauksessa ennen tilausta, mihin osoitteeseen ja millaisin ehdoin voit halutessasi palauttaa tuotteet. Kirjaa tiedot ja nettikaupan osoite ylös.
Verkko-ostoksilla kannattaa suosia kauppoja, jotka tukevat vahvaa tunnistautumista. Ne tunnistaa esimerkiksi Verified by Visa- tai Mastercard Secure Code -tunnuksesta ja ostaja tunnistetaan luottokorttitietojen lisäksi myös verkkopankkitunnuksilla.
Aina se ei ole mahdollista. Silloin kannattaa varmistaa, että annat luottokorttitietosi vain salatulla internet-sivustolla.
Salauksen tunnistaa nettisivun osoitteen alkuosan https-päätteestä. Lisäksi selainikkunaan tulee näkyville salauksesta kertova kuvaikoni eli ehjä avain tai lukittu lukko.
Lähteet: Maksukorttiturvallisuuden asiantuntija Vesa Hietanen, tietoturva-asiantuntija Mikael Albrecht ja KKV.fi