Näin meitä huijataan! Verkossa yleisesti tavattuja huijausmenetelmiä



Samankaltaiset tiedostot
Näin meitä huijataan! Verkossa yleisesti tavattuja huijausmenetelmiä

Vaaranpaikat verkossa. OSJ:n hallitus Kirsti Lehtinen

HUOLTAJAN OHJE TIETOJEN PÄIVITTÄMINEN HUOLTAJAKSI ILMOITTAUTUMINEN REKISTERÖITYMINEN

Postimaksukonepalvelun käyttöohje

Käyttäjän henkilöllisyys varmistetaan HUOVIn käyttäjärekisteröinnissä henkilökohtaisella verkkopankkitunnuksella.

Vaaranpaikat verkko-ostoksilla

Irman käyttöohje Tunturisuunnistajille

TUPAS-palveluiden ohje Päivitetty Sivu 1. Tunnistautuminen TUPAS-palvelun kautta tarvitaan silloin, kun halutaan yliopiston webpalvelun

Tietokoneiden ja mobiililaitteiden tietoturva

Tietoturva. opettaja Pasi Ranne Luksia, Länsi-Uudenmaan koulutuskuntayhtymä Pasi Ranne sivu 1

Maksaminen tulevaisuudessa Turvallisesti kohti murrosta. Talous- ja Palkkahallintopäivät Danske Bank

HUOVIn käyttäjärekisteröinti

Mirva Jääskeläinen Espoon kaupungin työväenopisto

Kennelliiton Omakoira-jäsenpalvelu Ohje eläinlääkäriasemille, Omakoira-palvelun käyttö

Rakenna muuri verkkorosvolle. Antti Nuopponen, Nixu Oy

TIETOTURVAOHJE ANDROID-LAITTEILLE

Tietoturvavinkkejä pilvitallennuspalveluiden

1 Asiakastilin rekisteröiminen Väestörekisterikeskuksen

3. Kirjaudu sisään Pelipaikkaan jo olemassa olevilla tai äsken luoduilla tunnuksillasi

Tämä ohje on tehty MPY:n laajakaista-asiakkaiden käytössä olevien sähköpostipalveluiden hallintatyökalu Omahallinta-sivustoa varten.

F-Secure Mobile Security. Android

Käyttöehdot, videokoulutukset

Wilman pikaopas huoltajille

NÄIN MEITÄ HUIJATAAN! ARKIRIKOLLISUUTTA VERKOSSA

Hoitosuunnitelmaan on kirjattu tärkeimmät hoidon tavoitteet, omahoitoa, lääkityksiä sekä seurantatutkimuksia koskevat asiat.

Pankkiyhteyksien ja palvelujen käyttöönotto; Kanta -reseptit

TERVETULOA. TUTUSTUMAAN SÄÄSTÖPANKIN UUTEEN YRITYSVERKKOPANKKIIN OSOITTEESSA:

SATASERVICEN TIETOSUOJAKÄYTÄNTÖ

Ristijärven metsästysseura tysseura osti lisenssin jahtipaikat.fi verkkopalveluun, jotta seuran

Ohje huoltajille Helmen käytöstä

Tietotekniikkakeskuksen palvelut ja opiskelijan tietoturva

OPAS VERKKO- JA KORTTIMAKSUJEN KÄYTTÖÖNOTTAMISEKSI

EUROOPAN ALH-SIVUSTOJEN TOIMINTAPERIAATE

Energiapeili-raportointipalveluun rekisteröityminen kuluttaja-asiakkaana

Turvallinen netin käyttö

Rekisteröityminen, tilojen varaaminen ja maksaminen WebTimmi varausjärjestelmässä

COMET-MAKSULAITTEEN LATAAMINEN MINIUSB-KAAPELIA KÄYTTÄMÄLLÄ

Sopimus Espoon Omahoitopalvelun käytöstä

Käyttöopas Mobiilipankkiin ja tunnuslukusovellukseen

BEC-HUIJAUS (BUSINESS COMPROMISE)

MPnet ohje HUOMIO! Järjestelmän tarkoitus on helpottaa kaikkien työtä, kun ajoneuvojen tiedot löytyvät yhdestä tietokannasta.

WWW-PALVELUN KÄYTTÖÖNOTTO LOUNEA OY

Fi-verkkotunnus yksilöllinen ja suomalainen

SUOMISPORT PIKAOHJE Versio Pikaohje lisenssin ja vakuutusten ostoon.

SOPPARI. Sopimustoimittajan käyttöohje versio IS-Hankinta Oy

IRMAN OHJEET. Laatija: Marja Erkkilä. Sisällysluettelo

Nuoret verkkokauppaostoksilla

Wilman käyttöohjeet. 1. Kirjaantuminen ja turvallisuus

Arena-koulutus Sisäänkirjautuminen ja omat sivut. Noora Muurimäki Outi Syväniemi Leila Virta

Timmi järjestelmään rekisteröityminen ja verkkokaupasta ostaminen

VERKKOPANKKILINKKI. Turvallinen linkki verkkopankista pankin ulkopuoliseen palveluun. Palvelun kuvaus ja palveluntarjoajan

VETUMA rekisteröityminen

eshop manuaali Atea Finland Oy

Paypal tilin avaaminen, ohjeita ja neuvoja suomenkielellä.

Verkkopankkilinkki SUOMEN PANKKIYHDISTYS. Turvallinen linkki verkkopankista pankin ulkopuoliseen palveluun

KAUPAN LIITON EU-DIREKTIIVIAAMU

Siirto Yritysasiakkaille. Palvelukuvaus: Siirto-vastaanotto

Näin rakennat mielenkiintoiset nettisivut

Norvell & Associates certified public accountants USA Singapore Alabama: Vältä vaarallisia ja "riistojärjestelmiä" lainat näitä vinkkejä

Pankissa. Oikeesti aikuisten 1 tekstejä ja harjoituksia suomen kielen opetukseen

Maatalouden Laskentakeskus Oy Minun Maatilani - ohjelmiston palvelusopimus

Romlab.com myy tuotteita myös alle 18-vuotiaille asiakkaille sillä ehdolla, että holhooja antaa suostumuksen ostosten tekemiseen.

Viestintäviraston Kyberturval lisuuskeskuksen vuosiraportti Tietotur

Internet-harjoituksia

KYSYMYKSIÄ JA VASTAUKSIA S MOBIILIN VAKUUTUKSET OSIOSTA YLEISTÄ

Sonera ID. huippukätevä sähköinen henkilötodistus omassa matkapuhelimessasi

Saako lääkkeitä turvallisesti verkosta?

Maaseutu.fi uudistuu - tule mukaan! Riika Isola ja Hanna Lilja

Energiapeili-raportointipalveluun rekisteröityminen yritysasiakkaana

SÄHKÖPOSTIOHJE. Opiskelijoiden Office 365 for Education -palveluun

Toimittajaportaalin rekisteröityminen Toimittajaportaalin sisäänkirjautuminen Laskun luonti Liitteen lisääminen laskulle Asiakkaiden hallinta Uuden

Tietoturva. Luento yhteistyössä Enter Ry:n kanssa Mitä tietoturva on?

Kajaanin kaupungin joukkoliikenteen Waltti- nettilatauspalvelun käyttöehdot

Kulttuuriympäristön tietojärjestelmän käyttöohje Extranet - palvelu

Tilastotietoja pankkien maksujärjestelmistä Suomessa

YRITTÄJÄ, NÄIN TUNNISTAT JA TORJUT HUIJAUKSET

Turvapaketti Omahallinta.fi ka ytto ohje

Wilman huoltajatunnus. Tunnuksen tekeminen

Esi-LEI-hakemusten rekisteröintiohje NordLEI-verkkoportaalissa

MOT-PALVELU OHJE MOT-SANAKIRJAN KÄYTTÖÖN

Tietosuojakäytäntö Affordia Oy:ssä v

Energiapeili-raportointipalveluun rekisteröityminen kuluttaja-asiakkaana

OHJEITA POP AVAIN. -tunnuslukusovelluksen käyttöön LATAA OMASI SOVELLUSKAUPASTA!

ORGANISAATION KIRJAUTUMINEN TURVASIRU.FI-PALVELUUN

Näkymä kun olet kirjautuneena ajanvarausjärjestelmään ja sen ajanvarausnäkymässä

Valtion yhteisen viestintäratkaisun (Vyvi) Työtila- ja Ryhmä-palvelun kirjautumisohje

SÄHKÖPOSTIN SALAUSPALVELU

Ohje. ipadia käytetään sormella napauttamalla, kaksoisnapsauttamalla, pyyhkäisemällä ja nipistämällä kosketusnäytön

MTK:n esitteet ja materiaalit verkkokaupassa

Internetin hyödyt ja vaarat. Miten nettiä käytetään tehokkaasti hyväksi?

opiskelijan ohje - kirjautuminen

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

Nettiposti. Nettiposti käyttöohje


Navigator ja Siemens ID

Timanttiset-verkkokauppa, ohje

Vauvakuva Käyttöehdot alkaen voimassa toistaiseksi

Tietokoneiden ja mobiililaitteiden suojaus

Transkriptio:

Näin meitä huijataan! Verkossa yleisesti tavattuja huijausmenetelmiä Päivitetty: 17.12.2015

Sisällysluettelo Taustaa... 3 Erilaisia huijauksia... 4 1 Nigerialaishuijaus... 4 2 Tietojenkalastelu... 5 2.1 Sähköpostin ja sosiaalisen median tunnusten kalastelu... 5 2.2 Pankkitunnusten kalastelu... 6 2.3 Luottokorttitietojen kalastelu... 7 3 Mobiilimaksu-ominaisuutta on käytetty väärin... 8 4 Liian hyvät tarjoukset saattavat olla tilausansoja... 8 5 Lahjakortti edellyttää soittoa maksulliseen numeroon... 10 6 Toimitusjohtajahuijaus koskee etenkin yrityksiä... 10 Suojautuminen... 12 7 Älä luota sokeasti sähköpostin lähettäjätietoihin... 12 8 Älä luota kaikkiin verkkosivustoihin... 12 9 Tarkasta selaimen kohdeosoite... 12 10 Tarkasta onko selaimen tietoliikenteen salaus päällä... 13 11 Ilmoita huijaussivustosta... 14

Taustaa Suomalaisiin käyttäjiin kohdistuvat tietojenkalastelukampanjat ja erilaiset huijaussivut jatkavat yleistymistään. Myös huijausviestien ja -sivustojen kieliasu ja ulkonäkö ovat parantuneet merkittävästi. Viestien lähettäjät ovat myös aiempaa organisoidumpia ja pitkäjänteisempiä. Aiemmin huijausviestin pystyi erottamaan tökeröstä suomenkielestä tai epämääräisestä ulkoasusta, mutta nyt käyttäjältä vaaditaan enemmän tarkkaavaisuutta. Tässä raportissa tarkastellaan yleisimpiä huijausmenetelmiä, joita Viestintäviraston Kyberturvallisuuskeskus on saanut tietoonsa. Raportissa esitetyt menetelmät ovat esimerkinluontoisia, eivätkä kata kaikki mahdollisia huijauksia. Raportissa käydään myös läpi yksinkertaisia ohjeita, joilla huijauksia vastaan voi suojautua. 3

Erilaisia huijauksia 1 Nigerialaishuijaus Huijaus perustuu uhrin hyväuskoisuuden väärinkäyttöön. Nigerialaishuijaukselle tyypillistä on, että uhrille uskotellaan että hän on voittanut lotossa, tai että hänen kaukainen sukulaisensa on jättänyt suuren perinnön. Uhrille uskotellaan, että potin voi lunastaa antamalla pankkitiedot ja siirtämällä tietyn rahasumman perinnön käsittelystä aiheutuvia kuluja varten. Rahat siirrettyään huijarit saattavat pyytää uhrilta vielä uusia rahasiirtoja "ennakoimattomien ylimääräisten kulujen kattamiseksi". Kirjeessä luvattua lottopottia tai perintöä ei kuitenkaan koskaan kuulu. Uhria saatetaan lähestyä sähköpostilla, tekstiviestillä tai perinteisellä postilla. Nigerialaiskirjeistä voi lukea lisää esim. Wikipediasta: http://fi.wikipedia.org/wiki/nigerialaiski rjeet. Kuva 1 Esimerkki ns. nigerialaiskirjeestä, jossa uhrin hyväuskoisuutta pyritään väärinkäyttämään. 4

2 Tietojenkalastelu Tietojenkalastelua tehdään mm. pankkitunnusten, luottokorttinumeroiden, sähköpostitunnusten ja sosiaalisen median tunnusten saamiseksi. Tietojenkalastelu alkaa tyypillisesti sähköpostilla, jossa käyttäjä jonkin verukkeen nojalla ohjataan tietojenkalastelusivulle. Tietojenkalastelusivujen ulkoasun toteutus ja teema vaihtelee melkoisesti, mutta parhaimmillaan ne on toteutettu hyvällä suomella ja niitä on vaikea erottaa alkuperäisestä sivusta. 2.1 Sähköpostin ja sosiaalisen median tunnusten kalastelu Sähköpostin ja sosiaalisen median käyttäjätunnuksen kalastelu on viimeaikoina lisääntynyt. Kasvaneen kiinnostuksen taustalla on luultavasti sähköpostitunnusten ja sosiaalisen median tunnusten kasvanut merkitys. Iso osa käyttäjien viestintää tehdään nykyään sähköpostin tai sosiaalisen median välityksellä. Sähköpostin ja sosiaalisen median tunnuksia käytetään varsinaiseen palveluun sisäänkirjautumisen lisäksi usein myös muihin palveluihin kirjautumisen apuvälineenä. Ominaisuus helpottaa käyttäjän elämää, koska jokaiseen palveluun ei tarvitse keksiä uutta käyttäjätunnusta ja salasanaa. Ominaisuuden haittapuolena on kuitenkin, että tunnukset haltuun saamalla voi kaapata käyttäjän muidenkin palvelujen tilejä. Vaikka sähköpostitunnusta ei suoraan käyttäisi muihin palveluihin sisäänkirjautumisessa, on käyttäjä saattanut hyödyntää sähköpostiosoitetta muiden palvelujen käyttäjätilien rekisteröinnissä. Useiden palvelujen sinänsä hyödyllinen "unohdin salasanani" -toiminto lähettää yleensä uuden salasanan luontilinkin käyttäjän sähköpostiosoitteeseen, joten käyttäjän sähköpostitiliä hallitsemalla voi ottaa haltuun muidenkin sivustojen käyttäjätilit. Sosiaalisen median tunnusten avulla voi lisäksi turmella käyttäjän tai yrityksen imagoa luvattomien tilapäivitysten tai tviittien avulla. Käyttäjiä voidaan myös kiristää pyytämällä lunnaita tunnusten palauttamiseksi. 5

Kuva 2 Esimerkki sähköpostitunnusten kalastelusivusta. Tietojenkalastelusivustoa saattaa olla pelkän sisällön perusteella vaikea erottaa aidoista sivuista. Selaimen osoitekentän verkkotunnus kuitenkin yleensä paljastaa huijauksen. 2.2 Pankkitunnusten kalastelu Verkkopankkitunnusten kalastelu on lisääntynyt erityisesti keväällä 2014 alkaneen kampanjan seurauksena. Kampanjan avulla on heinäkuun 2014 puoliväliin mennessä nostettu 400 000 euron edestä pikaluottoja ja 50 000 euron edestä rahasiirtoja. Rikolliset ovat kirjautuneet kalastettujen tunnusten avulla käyttäjien pankkitileille, joista rahoja on siirretty ulkomaisille tileille. Verkkopankkitunnusten avulla on myös tunnistauduttu pikalainoja tarjoavien yritysten verkkosivuille, josta lainoja on nostettu uhrin nimissä. Pankkitietojen kalastelun apuna on ollut sähköpostiviestien lisäksi verkkopankkien sisäänkirjautumissivua muistuttavat www-sivustot ja tekstiviestit. Tekstiviestejä on hyödynnetty erityisesti kertakäyttöisten tunnuslukujen kalasteluun. Huijauksessa hyödynnetty wwwsivusto on laadukkaasti toteutettu, ja ulkoasultaan muistuttaa erittäin paljon pankkien omia verkkopankkisivuja. Verkkopankkitunnuksia on kalasteltu esimerkiksi tekaistujen myöhästyneiden maksujen varjolla. Myös uhrille saapuneiksi väitettyjä tavaralähetyksiä käytetään usein peitetarinana. Yhteistä kaikille peitetarinoille on, että uhri uskotellaan luulemaan, että hänelle seuraa vaikeuksia tai häneltä jää jotakin hyvää saamatta, jos hän ei toimi nopeasti. Hyvin tyypillisesti eräpäivän uskotellaan, olevan aivan kohta ovella. Huijarit uskottelevat uhrin pääsevän tarkastelemaan tai korjaamaan häntä koskevia tietoja verkkopankkitunnuksillaan. Huijarit käyttävät tätä taktiikkaa myös muiden tietojen kalasteluun. 6

Kuva 3 Esimerkki pankkitunnusten kalastelusivusta. Sivusto on laadukkaasti toteutettu, mutta osoiterivin väärä osoite paljastaa huijauksen. Myös tietoliikenneyhteyden salausta kuvaava lukittu lukkoikoni puuttuu osoiteriviltä. Kuvan tietojenkalastelusivu on irtikytketty verkosta 10.7.2014. 2.3 Luottokorttitietojen kalastelu Verkkopankkitunnusten lisäksi toinen rikollisten suosima keino päästä käsiksi ihmisten varoihin on luottokorttitietojen huijaaminen. Tyypillisesti tietojenkalastelu alkaa väärennetyllä sähköpostiviestillä, joka ensisilmäyksellä saattaa vaikuttaa tulevan luottokorttiyhtiöltä. Viestissä pyydetään päivittämään tai tarkistamaan luottokortin tiedot. Tiedot pyydetään syöttämään tarkastusta tai aktivointia varten verkkosivustolla, johon on linkki sähköpostiviestissä. Linkin teksti ei silmämääräisesti paljasta sivuston todellista osoitetta. Kalastelusivustolla olevaan lomakkeeseen pyydetään syöttämään luottokortin numeron ja voimassaoloajan lisäksi myös suojakoodi. Usein Lomakkeessa kysytään myös verkkomaksamiseen liittyviä "Verified by Visa" tai "Mastercard Securecode" todentamistunnuksia. 7

Kuva 4 Esimerkki luottokorttitietojen kalastelusivusta. 3 Mobiilimaksuominaisuutta on käytetty väärin Monet teleyritykset tarjoavat verkkosivujen ylläpitäjille ratkaisua, jossa verkkosivu voi laskuttaa tarjoamansa palvelun sivulla vierailevan käyttäjän normaalin matkapuhelinlaskun yhteydessä. Tämä palveluiden tilaamista ja maksavista kätevöittävä toiminto on valitettavasti aiheuttanut myös vahingossa klikattuja maksuja. Joissain tapauksissa sivusto ei ole selkeästi viestinyt, että mobiilimaksunappia painamalla syntyy maksutapahtuma, joka veloitetaan käyttäjän normaalin matkapuhelinlaskun yhteydessä. Palveluntarjoajasta riippuen mobiilimaksunapin toiminnallisuus saattaa johtua tahattomasta heikosta sivustojen suunnittelusta, mutta sen taustalla voi olla myös tahallista kuluttajan erehdyttämistä. Langattomalla laajakaistalla tai älypuhelimella nettiä surffatessa tulee olla tietoinen, että tietyt sivustot voivat laskuttaa palveluistaan myös matkapuhelinlaskulla. Jos jokin sivusto ei selkeästi viesti, että palvelusta aiheutuva maksu veloitetaan matkapuhelinlaskulta, kannattaa tällainen sivusto ilmoittaa omalle teleyritykselle. 4 Liian hyvät tarjoukset saattavat olla tilausansoja "Onneksi olkoon - saat uuden iphone 6s (sisältää 3 päivän kokeilun)" "Hanki iphone 6s -puhelin, hinta 1 euro" Viimeaikoina on yleistynyt huijaus, jossa käyttäjälle luvataan esimerkiksi uusi älypuhelin tai jokin muu houkutteleva tuote eurolla. Taustalla saattaa olla joko luottokortti- tai pankkitietojen kalasteluyritys tai niin sanottu tilausansa. Tilausansalla tarkoitetaan yritystä, joka saa kuluttajan tilaamaan mainoksen tai viestin pohjalta jotain, mitä ei ymmärtänyt tilaavansa. Erehdyttäminen voi olla joko tahatonta tai tahallista; olennaista kuitenkin on, että viestin tai tarjouksen vastaanottaja ei saa viestin sisällöstä todenmukaista kuvaa ja tämä vaikuttaa hänen ostopäätökseensä. 1 1 http://www.ecc.fi/ajankohtaista/tiedotteet/ 2015/6.5.2015-tunnistatko-tilausansanesimerkkeja-ja-ohjeet-ansojenvalttamiseen/ 8

Esimerkiksi uutta älypuhelinta tarjoavissa huijauksissa käyttäjä saattaa huomaamattaan sitoutua suoratoistopalvelun asiakkaaksi kalliilla kuukausimaksulla. Sopimuksesta voi olla vaikea päästä irti. Tilausansan houkuttimena toimivaa älypuhelinta ei koskaan lähetetä, vaan se saatetaan esimerkiksi arpoa yhdelle asiakkaalle tai korvata jollain toisella tuotteella. Kyberturvallisuuskeskus, suomalaiset Kuva 5 Tilausansa saa kuluttajan tilaamaan jotakin, mitä hän ei ymmärtänyt tilaavansa. Kuvan sivustolle tietonsa syöttämällä ei saa uutta iphonea eurolla, vaan sitoutuu 79 euroa kuussa maksavan suoratoistopalvelun asiakkaaksi. 9

teleyritykset ja Kilpailu- ja kuluttajavirasto ovat saaneet lukuisia yhteydenottoja halpaa älypuhelinta mainostaviin tilausansoihin liittyen. Kuluttajan täytyy olla valppaana verkossa, eikä uskoa kaikkea mitä verkkosivu lupaa. Lisätietoa tilausansoista löytyy Euroopan kuluttajakeskuksen sivuilta: http://www.ecc.fi/ajankohtaista/tiedott eet/2015/6.5.2015-tunnistatkotilausansan-esimerkkeja-ja-ohjeetansojen-valttamiseen/ 5 Lahjakortti edellyttää soittoa maksulliseen numeroon "Voita lahjakortti Suomen suurimpaan huonekaluliikkeeseen! Vastaa seuraaviin 3 kysymykseen selvittääksesi, voimmeko lähettää 700 lahjakortin sinulle." "Voita VR- lahjakortti arvoltaan 300 euroa! " Rikolliset mainostavat houkuttelevaa lahjakorttia esimerkiksi huonekaluliikkseeseen tai VR:lle, kunhan vain vastaa muutamaan kysymykseen, kuten kuinka usein matkustaa junalla. Kysymysten jälkeen uhria pyydetään soittamaan maksulliseen numeroon, jotta hän saa PIN-koodin. Lahjakorttia ei soitosta huolimatta kuitenkaan koskaan tule. 6 Toimitusjohtajahuijaus koskee etenkin yrityksiä Toimitusjohtajahuijauksessa rikolliset lähestyvät yrityksen taloushallintoa tai muuta laskunmaksuoikeudet omaavaa henkilöä esimerkiksi yrityksen toimitusjohtajan tai talousjohtajan identiteetillä. Vuoden 2015 aikana suomalaisia yrityksiä on joutunut tällaisten huijausten uhriksi. Menetykset ovat olleet julkisuuteen tulleissa tapauksissa yhteensä yli 18 miljoonaa euroa. Huijauksessa vale-johtaja pyytää maksamaan jonkin laskun tietylle tilille. Usein tilanteeseen liittyy jokin painostuskeino, kuten myöhässä olevasta maksusta johtuva kiire tai huijausyrityksen tekeminen perjantai-iltapäivän Kuva 6 Sivuston lupaama 300 euron lahjakortti edellyttää soittoa maksulliseen puhelinnumeroon 10

päätteeksi. Suomessa ja maailmalla on havaittu laskuhuijauksissa selkeää perehtyneisyyttä kohteena olevaan organisaatioon. Hyökkääjä saattaa rekisteröidä viestien lähettämistä varten verkkotunnuksen, mikä muistuttaa hyvin paljon alkuperäistä kohdeorganisaation verkkotunnusta. Esimerkiksi jos talousjohtajan oikea osoite on matti@yritys.fi, saattavat rikolliset lähettää huijausviestejä osoitteesta matti@yyritys.fi. Eroa oikean ja väärän osoitteen välillä ei välttämättä kiireessä aina huomaa. Laskuhuijauksia voidaan yrittää tehdä myös johtajan omasta sähköpostilaatikosta, mikäli siihen onnistutaan murtautumaan esimerkiksi arvaamalla heikko salasana tai ujuttamalla tietokoneeseen haittaohjelma. Yritysten on syytä varautua toimitusjohtajahuijaukseen kouluttamalla taloushallinnon henkilöstöä sekä luomalla työilmapiirin, jossa kynnys varmistaa jonkin laskun oikeellisuus on mahdollisimman matala. Yrityksissä on myös oltava selkeä prosessi miten laskut vastaanotetaan ja pannaan maksuun. 11

Suojautuminen Huijauksilta suojautuminen edellyttää käyttäjältä tarkkaavaisuutta. Huijauksiin ei yleensä liity haittaohjelmaa tai muuta teknistä apuvälinettä, vaan huijaus tehdään käyttäjän hyväuskoisuutta hyväksikäyttäen. Alle on koottu lista yksinkertaisista varotoimenpiteistä, joita noudattamalla suurimman osan huijauksista voi välttää. 7 Älä luota sokeasti sähköpostin lähettäjätietoihin Sähköpostien lähettäjätiedot on kohtuullisen helppo väärentää. Vaikka sähköposti näyttää tulevan esimerkiksi omalta pankilta tai muulta luotettavalta taholta, saattaa se silti olla väärennetty. Voi myös olla, että sähköpostin lähettäjän tietokoneeseen on murtauduttu tai hänen sähköpostisalasana on arvattu. Sen sijaan käyttäjän tulisi pohtia miksi hän sai kyseisen viestin. Onko lähettäjä käyttäjälle entuudestaan tuttu? Onko käyttäjä kyseisen palvelun asiakas? Eroaako viestin sisältö lähettävän tahon tyypillisestä viestinnästä tai viestien ulkoasusta? Onko viestin kirjoitusasu ja kielioppi asiallinen? Onko viestin sisältö jotenkin muuten epäilyttävä? Esimerkiksi pankit tai perintätoimistot eivät lähetä sähköposteja, jotka ohjaavat asiakkaat verkkosivulle kirjautumaan. Jos sähköpostiviestissä on linkki, tulee tarkastaa mihin internetosoitteeseen linkki viittaa. Jos linkin takana oleva verkkotunnus ei liity viestin lähettäneeseen tahoon, on kyseessä luultavasti tietojenkalastelutarkoituksessa lähetetty huijausviesti. 8 Älä luota kaikkiin verkkosivustoihin Liian hyvät tarjoukset useimmiten ovat liian hyviä ollakseen totta. Jos tarjous vaikuttaa epäilyttävän hyvältä, kannattaa käyttää hetki tarjouksen ehtoihin ja tarjouksen tekijän sivustoon tutustumiseen. Hyvä keino on myös etsiä halpaa tuotetta tarjoava yritystä hakukoneella, ja katsoa minkälaista keskustelua yrityksestä käydään internetissä. Käyttäjän tulee olla erityisen tarkkaavainen, jos epäilyttävän oloiselta verkkosivustolta ohjataan esimerkiksi verkkopankin sisäänkirjautumissivulle, pyydetään luottokorttitietoja tai pyydetään soittamaan maksulliseen numeroon. 9 Tarkasta selaimen kohdeosoite Miltä tahansa sivustolta verkkopankin tai muun palvelun sisäänkirjautumissivulle siirryttäessä tulee aina tarkastaa selaimen kohdeosoite. Sivustojen väliset linkit on helppo saada näyttämän aidoilta, vaikka todellisuudessa käyttäjä onkin ohjattu tietojenkalastelusivulle aidon verkkopankin sijasta. Esimerkiksi keväällä 2014 toimineessa pankkitunnusten kalastelukampanjassa tietojenkalastelusivut ovat olleet verkkotunnusten kuten maksumyohassa.info tai lindorffonline.net alaisuudessa. Ensimmäinen osoite on melko lähellä perintätoimisto Lindorff Oy:n ylläpitämää maksumyohassa.fi -sivustoa ja jälkimmäinen muistuttaa ulkoasultaan Lindorffin omaa osoitetta lindorff.fi. Rikolliset pyrkivät siis harhauttamaan käyttäjiä rekisteröimällä tietojenkalastelusivulle samankaltaisia verkkotunnuksia kuin aidotkin sivustot käyttävät. Käyttäjä voi kuitenkin harjaantua erottamaan tietojenkalastelusivut tarkkailemalla esimerkiksi verkkopankissa tai sosiaalisessa mediassa asioidessaan, miltä oikea verkkotunnus näyttää. Jos 12

on epävarma verkkotunnuksen aitoudesta, hyvä apukeino on etsiä kyseistä organisaatiota hakukoneella ja katsoa mitä verkkotunnusta hakukone ehdottaa kyseiselle yritykselle. Myös verkkotunnusten rakenteesta on hyvä tietää perusteet. Verkkotunnukset koostuvat pistein erotelluista osista. Jokaisessa verkkotunnuksessa on vähintään kaksi osaa. Osia luetaan oikeanpuolimmaisesta vasemmanpuolimmaiseen päin. Esimerkiksi verkkotunnukset www.suomi.fi ja asiointitili.suomi.fi kuuluu paitsi päätason fi-alueeseen, myös toisen tason suomi.fi-alueeseen. Molemmista tunnuksista ja niissä tapahtuvasta toiminnasta vastaa sama taho, eli suomi.fi-verkkotunnuksen omistaja. Sen sijaan esimerkiksi verkkotunnuksella asiointitili.example.com ei ole mitään tekemistä verkkotunnuksen asiointitili.suomi.fi:n kanssa. Joskus rikolliset hyödyntävät tätä verkkotunnusten oikealta vasemmalle kulkevaa luentajärjestystä rekisteröimällä aidon kuuloisia aliverkkotunnuksia. Esimerkiksi verkko-osoitteella www.nordea.fi.example.com ei ole mitään tekemistä Nordean www.nordea.fi -sivuston kanssa, vaan on ylläpidetty example.com-verkkotunnuksen omistajan toimesta. Kuva 7 Kuvassa on sisällön puolesta laadukkaasti toteutettu tietojenkalastelusivu. Huijauksen voi kuitenkin päätellä osoitekentän väärästä verkkotunnuksesta. Myös tietoliikenneyhteyden salausta kuvaava lukittu lukkoikoni puuttuu osoiteriviltä. Kuvan tietojenkalastelusivu on irtikytketty verkosta 10.7.2014. 10 Tarkasta onko selaimen tietoliikenteen salaus päällä Verkkopankkien selainliikenne on aina salattu. Selaimen tietoliikenneyhteyden salauksen voi varmistaa selaimen osoiterivin lukkoikonista ja https:// - alkuisesta verkko-osoitteesta. Jos osoiterivillä ei ole lukkoikonia, voi olla varma ettei kyseessä ole oikea verkkopankki. Pelkkä lukko-ikoni ei kuitenkaan ole takuu aidosta verkkopankista, vaan myös kohdeosoite tulee tarkistaa selaimen osoiteriviltä. Jos on epävarma oman pankin aidosta verkkotunnuksesta, kannattaa hakea pankkia hakukoneella. 13

1. Varmista, että verkkopankin kirjautumissivun osoiterivillä on lukittu lukkoikoni. 2. Varmista, että verkkopankin kirjautumissivun osoite alkaa salauksesta kertovalla https:// -tekstillä. Pelkkä http:// tarkoittaa salaamatonta yhteyttä. 3. Varmista, että kohdeosoite vastaa oikean verkkopankin verkkotunnusta. Oikean osoitteen voi tarvittaessa hakea vaikka hakukoneella. Kuva 8 Kuvassa on oikea S-Pankin si-säänkirjautumissivu. Oikea verkkotun-nus S- Pankille on tällä hetkellä s-pankki.fi. Kuvakaappaus on otettu 22.7.2014. 11 Ilmoita huijaussivustosta Epäilyttävistä viesteistä tai sivustoista kannattaa ilmoittaa Viestintävirastolle. Viraston Kyberturvallisuuskeskus voi välittää tiedon toimivaltaisille tahoille, jotta huijaussivustot saataisiin kytkettyä pois internetistä. Viestintäviraston Kyberturvallisuuskeskukseen voi lähettää vinkkejä huijausviesteistä tai -sivustoista sähköpostiosoitteeseen: cert@viestintavirasto.fi. 14

Yhteystiedot Viestintävirasto PL 313 Itämerenkatu 3 A 00181 Helsinki Puh: 0295 390 100 (vaihde) kyberturvallisuuskeskus.fi viestintävirasto.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute