Verkkohuijaukset oppitunti
Videota, tekstiä, kysymyksiä, linkkejä…
Lankeatko ansaan - vai tunnistatko huijarit?
Verkkohuijaukset ovat miljardibisnes. Huijareiden taskuihin katoaa niin rahaa, mainetta kuin patenttejakin. Häpeän ja kuvitellun mainehaitan takia moni yritys nuolee hiljaa haavansa – tai maksaa aiheettomat laskut mukisematta.
Tällä oppitunnilla tutustut muutamaan yrityksiin kohdistuvien verkkohuijausten tyyppeihin ja niiden tunnusmerkkeihin. Huomaathan, että huijaustapoja on myös monia muita, niitä tulee säännöllisesti lisää ja tässäkin esitellyt muuttuvat ja kehittyvät.
Oppitunti koostuu kuudesta osasta. Jokaisessa on lyhyt video, jossa seurataan markkinointipäällikkö Matin päivää huijausyritysten keskellä. Videon teksti on myös luettavissa videon alla. Jokaista huijaustyyppiä avaa syventävä tekstiosio ja muutama linkki lisätietoihin. Omia ajatuksia ja käytännön toimia voi lisäksi pohtia osioissa esitettyjen kysymysten avulla.
Oppitunnin läpikäyminen kestää noin 30 minuuttia. Koska kyseessä on demotunti, joka ei ole koulutusalustalla, oppitunnilla ei ole arvosteltavia tehtäviä eikä lopputenttiä.
Auta Mattia, huomaa huijaukset!
Matti on kiireinen markkinointipäällikkö, joka on lähdössä lomalle. Hänellä on monta rautaa tulessa, eikä aina aikaa käydä kaikkia saamiaan viestejä riittävällä tarkkuudella läpi. Matti joutuu aluksi pakettihuijauksen ja huijauslaskun kohteeksi. Sen jälkeen Microsoftin nimissä soittava Helpdesk-huijarikin yrittää päästä Matin tietoihin käsiksi.
Lopuksi tilanne menee niin pahaksi, että hänen identiteettinsäkin varastetaan. Pääseekö Matti kauan odottamalleen lomalle? Auta Mattia erottamaan huijareiden viestit oikeista ja toimimaan eri tilanteissa oikein.
Verkkohuijaukset ovat yksi järjestäytyneen rikollisuuden muoto. Vuositasolla suomalaisilta huijataan virallisen arvion mukaan yli 30 miljoonaa euroa. Huijauksiin liittyvästä häpeästä johtuen vain osa niistä raportoidaan, eli summa lienee todellisuudessa korkeampi. Maailmanlaajuisesti kyseessä on siis miljardibisnes. Kuulemme tai luemme useimmiten yksityishenkilöistä jotka ovat tulleet huijatuksi – ja sangen usein rakkaushuijauksista, sillä ne ovat mediaseksikkäitä.
Yritykset joutuvat myös usein huijausyritysten kohteiksi. Yritysten nimissä tehdään myös paljon huijauksia – silloin puhutaan yritysten identiteettivarkauksista. Niin yksityisiä kuin yrityksiäkin yritetään huijata pankkien, postin, kuljetuspalveluiden ja jopa polisiin, tullin ja muiden viranomaisten nimissä. Tekoälyä hyödyntäen tehtyjä huijausviestejä voi olla lähes mahdoton erottaa todellisista – siksi nyt ja tulevaisuudessa vaaditaan aina vaan suurempaa valppautta.
Yrityksiin kohdistetuilla huijauksilla on monia tarkoitusperiä. Osa pyrkii suoraan taloudelliseen hyötyyn, joko lähettämällä olemattomia laskuja, tilaamalla tuotteita ilman aikomustakaan maksaa niitä, tai pyrkimällä murtautumaan yrityksen tileille tai kortteihin. Osa puolestaan etsii yrityksistä muuta rahanarvoista tietoa: Asiakasdataa, suunnitelmia, liikesalaisuuksia ja patentteja. Huijausten ja tietomurtojen seuraukset voivat olla myös välillisiä: kilpailuedun menetystä, tietojen vuotamista julkisuuteen, mainehaittaa, asiakaskatoa, juridisia seurauksia, sakkoja tai vahingonkorvauksia.
Verkkohuijauksiin eivät parhaatkaan suojaukset auta, sillä niissä heikoin lenkki on ihminen. Huijaus menee sitä helpommin läpi mitä kiireisempi, kuormittuneempi tai kokemattomampi työntekijä on kyseessä. Huijauksia yritetäänkin eniten kiireisimpinä aikoina – tai sitten loma-aikaan, jolloin sijaisia tai kausityöntekijöitä on paljon.
Oletko joutunut nettihuijauksen kohteeksi tai uhriksi? Tai tiedätkö jonkun joka on? Mitä tapahtui? Minkälaisen taloudellisen tai henkisen jäljen se jätti? Miten se tuli ilmi? Mitä siitä opit?
Miten yrityksesi ohjeistaa turvallisuuteen verkossa? Mihin yrityksen laitteilla saa tai ei saa mennä? Mitä laitteille saa asentaa? Tiedätkö miten menetellä jos joudut huijauksen tai vaikka hakkeroinnin kohteeksi? Tiedätkö, keneltä saa neuvoja epäselvissä tilanteissa?
Alla linkkejä lisätietoihin. Emme vastaa niiden sisällön oikeellisuudesta. Linkit aukeavat uuteen välilehteen.
Kyberturvallisuuskeskus: Ohjeet ja oppaat organisaatioille ja yrityksille
Tässä on Matti, kiireinen markkinointipäällikkö. Nyt Matilla on erityisen kiireinen viikko. Loma alkaa perjantaina ja kaikki keskeneräiset työt on saatava valmiiksi ennen sitä.
Oho, tuli tekstiviesti.
Paketti on tulossa, mutta se on jäänyt jumiin varastolle. Matin tarvitsee vain kirjautua kuljetusfirman järjestelmään pankkitunnusten avulla ja antaa toimitusosoite.
Enempää ajattelematta, Matti klikkaa linkkiä ja kirjautuu sisään.
Pakettihuijaus
Aluksi tutustumme uudehkoon riesaan, pakettihuijaukseen. Moni meistä on saanut ilmoituksen paketista, mutta mistä tietää että sellainen on oikeasti tulossa? Tunnistaako Matti huijauksen? Tunnistatko Sinä?
Pakettihuijaukset ovat kalasteluhuijauksia (phishing) joissa yritetään onkia vastaanottajan tunnuksia ja salasanoja. Hänelle ilmoitetaan, että paketti on tulossa mutta toimitus ei ole onnistunut, tullimaksu on maksamatta tai osoite pitäisi varmentaa. Viestissä on linkki, jota pyydetään klikkaamaan. Pakettihuijaukset tulevat lähes pelkästään tekstiviesteinä ja usein näyttävät tulevan Postin tai muun luotettavan jakelijan numerosta. Ne saattavat hyvinkin päätyä jopa samaan viestiketjuun näiden toimijoiden oikeiden viestien kanssa.
Moni tilaa nykyään paljon paketteja ja eri verkkokaupoilla ja kuljetusyhtiöillä on omat tapansa viestittää toimituksen eri vaiheista. EU:n epäselvät ja muuttuvat tullisäännökset myös lisäävät mahdollisuutta sille, että jokin lähetys todella olisi jäänyt odottamaan tulli- tai verosuoritusta. Pakettihuijaukset myös paranevat jatkuvasti, seurantanumero saattaa olla oikea ja jopa seurata todellista pakettia. Lisäksi huijari saattaa tietää nimesi ja lähestyä sinua samoilla lauseilla kuin oikeakin kuljetusyhtiö.
Kun saat ilmoituksen paketista, ensimmäiseksi täytyy tietysti varmistaa, että sellainen on oikeasti tulossa. Ja että verkkokauppa tai kuljetusyhtiö ovat ne, joista tilaus on tehtykin. Kun olet tehnyt tilauksen, olet antanut ja vahvistanut toimitusosoitteen – sitä ei siis koskaan pitäisi joutua kuljetusyhtiölle uudelleen varmentamaan. Älä koskaan klikkaa viestissä olevaa linkkiä, sillä linkin teksti voi kertoa ihan eri osoitteen kuin minne linkki oikeasti vie. Kopioi linkki ja sijoita se selaimeen, silloin näet mihin linkki oikeasti vie. Voit myös mennä verkkokauppaan, josta olet tuotteen tilannut ja katso kuljetuksen seurantatiedot sieltä. Tai mene kuljetusyhtiön sivulle ja seuraa toimitusta siellä. Muista myös, että mikään kuljetusliike tai verkkokauppa ei vaadi pankkitunnuksia kuljetuksen seuraamiseen tai toimitusajan vaihtoon.
Oletko saanut paketti-ilmoituksia, joista et ole varma ovatko ne oikeita? Esimerkiksi kun todella odotat pakettia. Miten varmistut niiden oikeellisuudesta? Miten menettelet?
Miten toimit viesteissä tai sähköposteissa olevien linkkien kanssa? Klikkailetko niitä? Tarkistatko jotenkin niiden oikeellisuuden ennen klikkausta?
Minkälaisiin palveluihin kirjaudut sisään? Mitä tunnuksia käytät? Vaihteletko salasanoja tai käytätkö vaikka nettipalveluihin eri sähköpostiosoitetta kuin normaalisti?
Alla linkkejä lisätietoihin. Emme vastaa niiden sisällön oikeellisuudesta. Linkit aukeavat uuteen välilehteen.
Tulli: Tietoa huijausviesteistä
Posti: Tietoa huijausviesteistä
Postnord: Huijausviestejä on liikkeellä
Yle: Huijarit keksivät uuden tavan kalastella ihmisten tietoja
IS: Suomessa leviää huijaus, joka tuntee vastaanottajansa nimeltä
Huijauslasku
Yritykset saavat kasapäin laskuja ja välillä sekaan vilahtaa huijarinkin lähettämiä. Mistä huijauslaskun voi tunnistaa ja pitääkö sellainen maksaa? Matin hyväksyttäväksi tulee outo lasku. Perustuuko se tilaukseen vai ei?
Yksi tyypillisiä yrityksiin suunnattuja verkkohuijauksen muotoja on huijauslasku. Yritystä laskutetaan palvelusta jota ei ole koskaan tilattu. Joskus laskua terästetään enemmän tai vähemmän todellisen perintäfirman karhulla, tai uhataan tratalla tai maksuhäiriömerkinnällä. Monissa tapauksissa tuntuu pienemmältä pahalta maksaa kuin ottaa riski julkisesta merkinnästä ja mahdollisista asiakkaiden menetyksistä. Muutaman satasen laskuun ei myöskään haluta käyttää liikaa aikaa ja resursseja. Vielä kun muistetaan, että kuluttajan suoja ei ulotu pieniinkään yrityksiin eikä poliisi halua pikkulaskuja tutkia, huijarit tuntuvat olevan vahvoilla.
Huijauslaskuista voi kuitenkin muodostua pitkäaikainen ja kalliskin riesa. Ja mitä useampi yritys niihin puuttuu, sitä vaikeampi huijareiden on toimia. Huijauslaskujen järjestelmällinen ja tiukka kiistäminen sekä niistä varoittaminen ja raportointi sataa pitkän päälle sekä oman firman että koko yrityskentän laariin.
Mutta miten huijauslaskun sitten tunnistaa? Mitä enemmän teknologia kehittyy, sitä ovelammiksi huijaukset muodostuvat. Käännösvirheet katoavat, laskut henkilökohtaistuvat ja niiden erottaminen oikeista laskuista ulkoasun perusteella käy mahdottomaksi. Lasku voi näyttää ihan aidolta: tilaajan nimi ja yhteystiedot ovat oikein, tilatut tuotteet vaikuttavat päällisin puolin loogisilta ja hinta on oikeassa haarukassa. Joskus lasku on kopioitu näyttämään jonkun hyvämaineisen firman laskulta, ainoastaan tilinumero vie rahat huijarin eikä laskussa näkyvän yrityksen tilille. Tärkein kysymys onkin: ”Onko firmani todella tilannut sen mitä nyt laskutetaan?”
Myös selvästä valelaskusta kannattaa tehdä kirjallinen reklamaatio, jos ja kun laskulla on laskuttajan yhteystieto. Jos mahdollista, älä soita niin kuin tarinamme Matti, sillä puhelusta ei jää todistetta. Kirjallinen reklamaatio ja sen perillemenotodiste on hyvä olla olemassa, jos huijari vaikka laittaa laskun perintään. Kirjallinen reklamaatio on ehdottoman tärkeä tehdä silloin, jos lasku menee perintätoimiston perittäväksi.
Se toki kannattaa muistaa, että reagoimattomuus sinällään ei saata olematonta sopimusta voimaan tai tee laskusta aiheellista. Näin ollen mikään valelaskussa oleva aikaraja ei päde eikä ”hiljaisuus ole myöntymisen merkki”.
Jotkut huijarifirmat soittelevat tai lähettävät laskujaan säännöllisin väliajoin kun ”tilausta ei ole peruttu”. Kannattaa siis pitää kirjaa myös huijauksista ja niiden yrityksistä. Silloin niiden huomaaminen ja kiistäminen on helpompaa. Huijauksia tulee erityisen paljon loma-aikoina, jolloin vastuuhenkilöitä on poissa ja eri tehtävissä toimii kokematonta sesonkityövoimaa.
Valelaskuista voi ja kannattaa tehdä rikosilmoitus, varsinkin jos ne toistuvat tai niitä yritetään voimatoimin periä. Sillä saa sinnikkäimmänkin karhuajan perääntymään. Valelaskua karhuavasta perintätoimistosta taas kannattaa tehdä kantelu aluehallintovirastolle. Sekä rikosilmoituksen että kantelun voi tehdä nopeasti ja vähällä vaivalla verkossa Suomi.fi -palvelussa. Huijauslaskusta kannattaa aina ilmoittaa myös omaan pankkiin.
Matti tajuaa tehneensä luultavasti ison virheen. Tämän täytyy olla huijaus. Hän soittaa pankkiin. Onneksi huijari ei ole ehtinyt tyhjentää pankkitiliä. Hän myös soittaa poliisille ja tekee rikosilmoituksen.
”Läheltä piti”, Matti miettii. ”Mutta minua ei kukaan huijaa. Loma alkaa kohta…”
[Musiikkia]
Mutta unelmoinnin katkaisee Tiina taloushallinnosta.
”Matti, me saatiin maksuvaatimus Puistolan Perinnästä. Olet näköjään hankkinut näkyyvyyttä “444Haku” nettihakemistosta. Vuosimaksu 150 euroa, plus 50 euroa korkoa ja perintäkuluja. Jos tätä ei ole maksettu perjantaina, he laittavat sen ulosottoon. Ulosotosta tulee maksuhäiriömerkintä. Toikkaria ei varmasti naurata. Pistänkö maksuun?”
”444 mikä? En kyllä muista ostaneeni näkyvyyttä mistään. Maksuvaatimus? En ole saanut laskuja mistään 444:stä tai edes 555:stä. Ellei postinkantajan koira syönyt niitä. Mitä ihm…”
”Voitko tsekata? Viimeinen mitä tarvitaan on pikkulasku ulosotossa. Mitä jos minä vaan maksan sen?”
Matti päättää selvittää mistä laskussa on kyse. Hän soittaa perintäfirmaan.
”Puistolan perintä, H. Uijari puhelimessa. Kuinka voin auttaa?”
”Kuules, me saimme laskun “444Haku” palvelusta. Mutta minä en ole tilannut mitään sellaista. Kerrotko milloin palvelu on tilattu ja miksi siitä tuli maksuvaatimus?”
”Voi Matti hyvä, te olette olleet meidän asiakkaamme jo vuosia ja Sinä uusit tilauksen puhelimitse viime marraskuussa. Ja meillä on nauhoitus tilauspuhelusta.
Se on validi lasku ja te ette ole maksaneet sitä ajallaan, joten teidän täytyy maksaa myös perintäkulut. Jos haluatte perua tilauksen, se pitää tehdä kolme kuukautta ennen uuden kauden alkua.”
Huijauslasku, osa 2
Huijausfirmoilla on usein myös oma perintätoimisto. Yrittäjää voi huolestuttaa maksuhäiriömerkintä, ja valelaskun maksaminen tuntuu pienemmältä pahalta. Matti ottaa härkää sarvista ja soittaa Puistolan perintään.
Tässä videossa on otettu hieman taiteellisia vapauksia. Perintätoimistojen kanssa asiointi kannattaa aina tehdä kirjallisesti, jotta siitä jää todistusaineistoa mahdollisiin jatkotoimiin.
Oletko saanut huijauslaskuja tai onko Sinua vaikkapa puhelimessa pyydetty ”jatkamaan” tilausta jota ei ole koskaan tehty? Tunnistitko huijauksen? Miten menettelit? Mitä opit?
Onko yritykselläsi ohjeistus laskujen oikeellisuuden tarkastamiseen? Entä huijauslaskuihin? Tiedätkö kehen ottaa yhteyttä ja miten toimia? Tehdäänkö huijauslaskuista rikosilmoitus tai sellaisten perinnästä kantelu? Miksi tai miksi ei? Varoitatteko muita huijausyrityksistä sisäisesti tai ulkoisesti?
Alla linkkejä lisätietoihin. Emme vastaa niiden sisällön oikeellisuudesta. Linkit aukeavat uuteen välilehteen.
Yrittäjät: Harhaanjohtava markkinointi ja valelaskut
Kauppakamari: Miten tunnistan huijauslaskun?
Kauppa: Yrityksiin kohdistuvat huijausyritykset kasvussa kesälomien aikaan
ATK-tukihuijaus eli teknisen tuen huijaus
ATK-tukihuijauksessa oman yrityksesi, Microsoftin, Amazonin tai vaikka Applen edustajaksi itsensä esittelevä henkilö kertoo koneessasi olevan haittaohjelman tai kirjautumistietojesi joutuneen vääriin käsiin. Jossain tapauksessa hän vaatii sinua asentamaan koneellesi etäkäyttöohjelman, jotta hän ”pystyy puhdistamaan koneen”. Tai sitten hän pyytää sinulta käyttäjätunnustasi ja salasanaa ”tarkistusmielessä”, jotta ”henkilöllisyytesi pystytään todentamaan”. Lähes poikkeuksetta asialla on hirveä kiire eikä sinulla ole sekuntiakaan hukattavana.
Saaduilla yhteyksillä ja/tai kirjautumistiedoilla huijari pystyy tunkeutumaan organisaatiosi järjestelmiin. Sinun ei tarvitse edes olla korkealla yrityksen hierarkiassa – usein huijari tarvitsee vain pääsyn tunnistautumisen ohi päästäkseen tekemään pahojaan.
ATK-tukihuijaus on ovela tapa luoda painetta ja saada kokeneempikin kettu hetkeksi unohtamaan tarpeellisen varovaisuuden. Hyvinkin suojatusta organisaatiosta löytyy usein jo muutamassa minuutissa joku, joka antaa paniikissa omat tunnuksensa häntä puhelimessa lähestyvälle ”tietoturvaosaston päivystäjälle”.
Niin kuin hätätilanteessa yleensäkin, myös oletetussa tietoturvauhan tilanteessa maltti on valttia. Aloita selvittämällä minkä niminen henkilö kertoo soittavansa, mistä hän kertoo soittavansa ja miksi hän soittaa juuri Sinulle. Muista, että niin sähköpostiosoitteen kuin soittavan numeron tunnisteenkin pystyy väärentämään. Kiitä varoituksesta ja kerro soittavasi takaisin. Soita sitten yrityksesi ATK-tuen tai tietoturvaosaston numeroon ja kerro saamastasi puhelusta. Jos puhelu oli aiheellinen, saat tarvittavan avun parin minuutin viiveellä. Jos kyseessä oli huijaus, olet sankarillisesti pelastanut yrityksesi huijarin kynsistä.
Älä koskaan anna käyttäjätunnuksiasi puhelimessa kenellekään. Viranomainen ei niitä kysy eikä ATK-tuki tarvitse. Äläkä asenna koneellesi mitään ohjelmistoa, jonka tarpeellisuudesta tai aitoudesta et ole sataprosenttisen varma. Pidä tietoturvaohjelmistosi ajan tasalla ja vaihda salasanoja säännöllisesti. Ja jos saat huijausviestin tai -puhelun vaikkapa Microsoftin nimissä, raportoi siitä myös (tässä tapauksessa) Microsoftille. Isojen tietotekniikkayritysten, pankkien ja laitosten edun mukaista on jahdata nimissään liikkuvia huijareita – ja niillä on hyvät resurssit siihen.
Tiesithän muuten, että turvallisin tapa säilyttää salasanoja on ihan ”old school” kirjoittaa ne kynällä paperivihkoon – jota pidät ja kuljetat sitten eri paikassa kuin tietokonetta ja puhelinta.
Näitä tietojen kalasteluyrityksiä, englanniksi ”phishing”, on mitä moninaisempia. ATK-tukihuijaus on niistä vain yksi. Joskus sinua pyydetään osallistumaan tutkimuksiin tai arvontoihin, joskus auttamaan kaveria kilpailuissa tai rankingeissa. Joskus soittaja kertoo olevansa poliisi tai muu viranomainen joka tarvitsee tietoja rikostutkintaan tai muuhun viralliseen toimeen. Viesti voi tulla myös Suomi.fi -palvelun nimissä. Joskus taas saat sähköpostin, tekstiviestin tai vaikka viestin sosiaalisessa mediassa, jossa pyydetään vahvistamaan sisäänkirjautuminen tai salasanan vaihto.
Älä koskaan klikkaa mitään linkkiä tai lähetä vahvistusta, jos et ole sataprosenttisen varma että linkki tai pyyntö on aito ja koskee sinun juuri nyt tekemääsi kirjautumista tai vaihtamaasi salasanaa. Äläkä koskaan, ikinä, milloinkaan anna kirjautumistietojasi puhelimessa kenellekään.
Muista, että se mitä vaikkapa linkissä tekstinä lukee ei välttämättä ole se, mihin linkki oikeasti vie. Samoin viestin lähettäjätiedot voi olla väärennetty, myös tekstiviestin lähettäjänä näkyvä puhelinnumero tai yhteystieto.
Onko yritykselläsi ohjeistus sille, miten menetellä yllättäviin ATK-tuelta, turvallisuushenkilöstöltä tai viranomaisilta tulleisiin puheluihin tai viesteihin? Tiedätkö miten toimia?
Oletko Sinä tai tuttavasi joutunut tällaisen huijauksen kohteeksi? Mitä tapahtui? Onnistuiko huijaus? Mikä yrityksessä oli uskottavaa, mikä sai hälytyskellot soimaan? Mitä opit?
Alla linkkejä lisätietoihin. Emme vastaa niiden sisällön oikeellisuudesta. Linkit aukeavat uuteen välilehteen.
Kyberturvallisuuskeskus: Teknisen tuen huijauspuheluita jälleen liikkeellä
”No sitten, lähettäisitkö kopion nauhoituksesta minun sähköpostiini. Osoite teillä on, jos kerran olen tehnyt tilauksenkin. Muussa tapauksessa me emme maksa. Ja minä teen tästä huijauksesta rikosilmoituksen. Tämmöiseen hommaan pitää tulla stoppi.”
[Klik]
Matti käy vielä kuumana puhelusta, kun puhelin alkaa piristä. Huolestuneen kuuloinen nuori mies, jolla on paksu aksentti, kertoo soittavansa Microsoftin asiakastuesta.
Hän kertoo, että Matin käyttäjätunnukset on varastettu ja tietokone kenties hakkeroitu. Matin järjestelmä täytyy puhdistaa ja asiakastuki voi auttaa siinä. Matin tarvitsee asentaa tietokoneeseen etäkäyttöohjelma asiakastukea varten ja jättää loput Microsoftin ammattilaisille.
Henkilöllisyytensä todistaakseen, Matin pitää meilata kopio kuvallisesta henkilötodistuksesta. Koskaanhan ei voi olla varma kuka puhelimen toisessa päässä on.
Matti nauraa feikki asiakastuelle. ”Kuules jätkä, tämä on vähän liian paksua. Ihan tiedoksesi, minulla on Mäkki.”
Matti sulkee luurin tuskastuneena. ”Mikä päivä”, hän kertoo pomolleen Tepolle. ”Et usko kuinka monta kertaa minua on tänään yritetty huijata.”
Teppo kuuntelee tarkkaavaisena ja ehdottaa että Matti tekee käänteisen kuvahaun profiilikuvastaan, ihan varmuuden vuoksi.
Matti tekee käänteisen haun ja käyttää siihen Facebook-profiilikuvaansa. Kauhukseen hän huomaa, että hänen kuvillaan on tehty valeprofiili Facebookiin, joka esittää amerikkalaista everstiä.
Hän raportoi profiilin Facebookille ja kiittää Teppoa siitä, että pelasti tämän – ja toivottavasti jonkun epäonnisen rouvashenkilön rahat – siinä sivussa.
Identiteettivarkaus tai -huijaus
Kaikki varmasti tiedämme sosiaalisen median rakkaushuijaukset. Valeprofiilin luomiseen käytetään yleensä oikeista profiileista tai netistä kopioituja kuvia. Mistä Matti tietää, onko hänen kuviaan käytetty toisten huijaamiseen?
Joka viides yritys joutuu identiteettivarkauden tai siihen liittyvän huijausyrityksen kohteeksi joka vuosi. Yritykselle identiteettivarkaus voi tarkoittaa kahta eri asiaa. Ensinnä, yrityksen oma identiteetti voidaan varastaa ja sen nimissä vaikkapa huijata toisia yrityksiä. Pankkien, IT-yritysten Postin ja Poliisin nimissä tehdään lukemattomia huijausyrityksiä, ja osa niistä onnistuu. Toiseksi, yritysten johdon tai työntekijöiden identiteetti voidaan varastaa, ja tehdä heidän nimissään hankintoja, tilisiirtoja tai muihin kohdistuvia huijauksia.
Aiemmin esitellyt huijauslaskut ja teknisen tuen huijaukset pohjaavat nekin identiteettivarkauteen. Huijari esittää olevansa yritys, joka se ei ole, ja käyttää tuon yrityksen ilmettä ja yrityskuvaa oman huijauksensa työkaluna. Suomessa vähemmän harrastettu toimitusjohtajahuijaus on esimerkki yrityksessä toimivan henkilön identiteetin varastamisesta. Siinä huijari esiintyy jonkun yrityksen (yleensä todellisena) toimitusjohtajana ja pyytää esimerkiksi sen työntekijältä salasanaa tai asiakkaalta maksusuoritusta. Huijari voi myös tehdä yrityksen nimissä tilauksia, vaihtaa sen yhteystietoja eri rekistereihin tai pahimmillaan tyhjentää sen pankkitilit.
Yhtenä keinona estää identiteettivarkauksia suositellaan suojelemaan henkilötunnusta tarkoin. Olemme kuitenkin vuosikymmenten kuluessa joutuneet antamaan sen niin moniin eri rekistereihin, että ne on varmasti moneen kertaan vuodettu rikollisiin käsiin. Valppaus ja vahva tunnistautuminen sähköisiin palveluihin ovat hyviä konsteja suojautua, paperisten dokumenttien vähentäminen samoin.
Yrityksen suojaaminen edellyttää myös sen henkilöstön suojaamista. Henkilön identiteettivarkaus on meille kaikille tuttu toimintaelokuvista. Tom Cruise vetää lateksinaamion päähänsä ja muuttuu kuin taikaiskusta kansainväliseksi asekauppiaaksi huijaten muuta koplaa. Suurin osa identiteettivarkauksista tapahtuu kuitenkin ihan tavallisille mattimeikäläisille. Kuvamme päätyvät valeprofiileihin tai meiltä viedään riittävästi tietoa, jotta nimissämme voidaan tehdä hankintoja tai tilisiirtoja, tai allekirjoittaa asiakirjoja.
Edelleenkin iso rikollisuuden muoto, valeprofiilein tehdyt huijaukset, pohjaavat yhä edelleen kopioituihin kuviin ja keksittyihin henkilötietoihin. Tekoälyn myötä todennäköisyys kuviemme käyttöön valeprofiileissa pienenee – uskottavia hahmoja kun voidaan luoda tekoälyllä ilman riskiä niiden paljastumista kopioiduiksi. Samalla siis kykymme huomata huijauksia esimerkiksi käänteisen kuvahaun avulla heikkenee. Jo nyt vähintään joka kymmenes nettiprofiili on valeprofiili.
Tekoälyn avulla huijaukset muutenkin paranevat, samoin paranee huijareiden kyky onkia ja yhdistellä tietoja eri lähteistä. Meille täysin henkilökohtaistetut huijausviestit ovat jo todellisuutta. Videokuvan ja äänen muokkaaminen tekoälyn avulla, ns deep fake-videot, puhelut ja viestit, tekee huijausten erottamisesta lähes mahdotonta. Kun silmiä ja korvia ei voi välttämättä uskoa, onkin osattava maalaisjärjellä erottaa todellinen valheesta. ”Voiko tämä olla mahdollista tässä ja nyt, onko tämä uskottavaa?”
Sosiaalisen median rakkaushuijaukset eivät muodosta yrityksille suoraan suurta riskiä, vaikka ovatkin taloudellisesti iso rikollisuuden muoto. Toki velkakierteeseen ajautuva nettihuijattu voi osoittautua työnantajalleen riskiksi moninkin eri tavoin. Erilaiset riippuvuudet ja haavoittuvuudet selviävät nettirikollisille helposti ja niitä voi tarvittaessa käyttää vaikkapa kiristykseen. Lähitulevaisuudessa tekoälyllä tehdyt huijaukset, videot ja dokumentit lisäävät tarvetta kohottaa jokaisen työntekijän digi- ja medianlukutaitoja. Tietoturvaohjelmat kun eivät suojaa väärältä tiedolta.
Oletko joutunut tekemisiin identiteettivarkauden kanssa? Onko Sinun tai tuttavasi tietojen pohjalta tehty valeprofiileja tai oletko ollut yhteydessä sellaisen kanssa? Mitä teit? Miltä se tuntui?
Onko Sinulla joku rutiini, jolla varmistaa ettei Sinun tiedoillasi ole valeprofiileja? Tai varmistaa että ne joiden kanssa olet tekemisissä ovat varmasti keitä sanovatkin olevansa?
Minkälaisiin palveluihin jätät henkilötietojasi? Annatko aina oikean koko nimen ja syntymäajan? Onko Sinulla eri sähköpostit tai puhelinnumerot tärkeille asioille ja nettipalveluille tai -kaupoille?
Minkälaisiin palveluihin annat tietoja työstäsi tai yrityksestäsi?
Fyysinen varkaus
Suurin osa identiteettivarkauksista tapahtuu ihan fyysisessä maailmassa. Taskuvaras iskee, vie sinulta lompakon, käsilaukun tai puhelimen. Siinä menee helposti passi, ajokortti, henkilökortti, luotokortit ja jos jonkinlaista jäsen- ja bonuskorttia. Kaikki hyviä eväitä identiteettivarkaalle. Monissa maissa ei edelleenkään tarvita kuvallista henkilökorttia, riittävä määrä samalla nimellä olevia kortteja mahdollistaa monenlaista puuhaa. Puhelimen tai tietokoneen mukana voi kadota myös kirjautumistietoja, salasanoja, yhteystietoja ja liikesalaisuuksia.
Passista kannattaa ottaa valokuva ja säilyttää sitä vaikka työsähköpostissa tai turvallisessa pilvipalvelussa. Passikopiolla voi olla helpompi todistaa henkilöllisyys vaikkapa suurlähetystössä jos varkaan tai onnettomuuden jäljiltä itse passi on kateissa. Ulkomaille matkustettaessa kannatta myös tehdä matkustusilmoitus ulkoministeriön nettisivulla – ja tarkistaa ettei luottokorteissa ole maarajoitusta päällä kohdemaan osalta. Lento- ja muut matkaliput kannattaa olla tallennettuna lentoyhtiön sovellukseen – ja matkavaraus pdf-kopiona vaikka työsähköpostiin.
Ja vaikka asia ei tähän suoraan liitykään, tallenna kriittiset terveystiedot ja hätäkontaktit ICE-tunnuksella puhelimeen – ja vaikka lapulla lompakkoon. Varkauksia isompi todennäköisyys on sittenkin sairastua tai joutua onnettomuuteen.
Jos et muista luottokorttiesi tunnuslukuja, pidä ne aina eri paikassa kuin kortit. Suojaa laitteesi sellaisilla tunnusluvuilla, että niiden keksiminen vie edes hetken aikaa. Tunne ympäristösi ja elä sen ehdoilla: Jos alueella on tunnetusti ryöstöjä tai varkauksia, pidä lompakko mieluummin povitaskussa kuin takataskussa, käsilaukussa tai varsinkaan selkärepussa. Matkaillessasi pidä arvoesineet hotellihuoneen tallelokerossa ja ota mukaan vain ne laitteet ja kortit joita todella tarvitset. Äläkä jätä omaisuuttasi (tai juomiasi) valvomatta kahviloissa tai hotellin uima-altaalla.
Jos varas iskee, sekä hän että sinä taistelette aikaa vastaan. Mitä varas ehtii tehdä ennen kuin sinä olet ehtinyt kuolettaa kortit ja etätyhjentää laitteet? Jos varastetulla laitteella ei ole helppoa pääsyä kriittisiin tietoihin, aluksi kannattaa kuolettaa luottokortit. Niitä varkaat yleensä käyttävätkin ensimmäiseksi. Korttien sulkupalvelun numero kannattaa olla tallennettuna puhelimeen. Omaan pankkiin tulee olla heti yhteydessä myös jos pankkitunnukset katoavat tai viedään.
Mikäli varas vie kirjautumistietoja yrityksesi järjestelmiin, ole heti yhteydessä myös yritykseesi tai sen turvallisuudesta vastaavaan yksikköön. Seuraa pankkitiliesi ja korttiesi tapahtumia ja ilmoita mahdollisista väärinkäytöksistä pankkiisi viipymättä – jotkut tapahtumat voivat näkyä pitkänkin ajan kuluttua.
Jos sinulta viedään puhelin tai tietokone, pelkkä salasana ei suojaa niissä olevia tietoja, ellei laitteen kovalevy ole salattu. Jos laite voidaan merkitä kadonneeksi, lukita tai tyhjentää etänä, tee se viipymättä. Voit toki yrittää paikantaa laitteen, mutta todennäköisesti et sitä koskaan löydä. Kirjaa laite heti ulos niistä palveluista, joissa on tallennettuna ja laitteiden kesken jaettuna kirjautumistietoja tai salasanoja. Tällaisia ovat vaikkapa selain- ja pilvipalvelutilit.
Tee aina rikosilmoitus, sillä silloin voit todistaa että vaikkapa nimissäsi otettu pikavippi onkin varkaan ottama. Varastetun passin tai henkilökortin voit ilmoittaa poliisille verkossa. Mikäli passi katoaa ulkomailla, ota yhteys Suomen tai minkä tahansa EU-maan edustustoon. Niiden kautta saat tarvittaessa myös väliaikaisen matkustusasiakirjan.
Ja niin, muistathan tyhjentää laitteesi ja kirjautua ulos kaikista käyttämistäsi palveluista myös, jos myyt sen tai poistat sen käytöstä ja laitat kierrätykseen! Laitteita katoaa myös kierrätyslavalta…
Onko yrityksesi antanut Sinulle ohjeet liikematkoille tai sellaisille lomamatkoille joihin otat mukaan yrityksen laitteita tai yleensä laitteita joilla pääset yrityksen tietojärjestelmiin?
Miten itse toimit matkoilla? Miten säilytät passia, rahoja, kortteja, puhelinta ja tietokonetta?
Oletko joutunut rikoksen uhriksi tai uhkaavaan tilanteeseen? Miten toimit silloin? Muuttiko se Sinua tai tapaasi toimia?
Alla linkkejä lisätietoihin. Emme vastaa niiden sisällön oikeellisuudesta. Linkit aukeavat uuteen välilehteen.
Tietosuojavaltuutettu: Jos sinulta häviää henkilötietoja
Rikosuhripäivystys: Ohjeita taskuvarkaudelta suojautumiseen ja kuinka toimia jos rikos tapahtuu
Rantapallo: Kahdeksan tapaa välttää varkaat
Iltalehti / Elisa: Lähestyykö loma? Muista nämä turvallisuutta lisäävät vinkit reissussa
Rikosuhripäivystys: Ohjeita tyrmäystippoja saaneelle
Microsoft: Kadonneen Windows-laitteen etsiminen ja lukitseminen
Apple: Kadonneen iPhonen tai iPadin etsiminen
Google: Kadonneen Android-laitteen etsiminen, lukitseminen ja tyhjentäminen
Lopulta viikko on ohi ja huijaukset vältetty. Mahtava kahden viikon loma etelän auringossa on enemmän kuin tervetullut. Aikaa nauttia ja rentoutua…
Jos todella haluat rentoutua, jätä puhelin ja arvoesinet hotellihuoneen kassalokeroon. Useimmat identiteettivarkaudet tehdään edelleen vanhan kaavan mukaan – viemällä lompakko tai varastamalla puhelin.
Nauti lomastasi!
Ota yhteyttä ja kysy lisää palveluistamme
Täytä lomake tai ota suoraan yhteyttä:
info@toplinemedia.fi
+358 400 889 677
Voit varata myös ilmaisen 15 min konsultaation
Tilaa uutiskirjeemme
Pysy ajantasalla ajankohtaisista asioista ja tilaa uutiskirjeemme.
Lue lisää esitteestämme!
Lisätietoja palveluistamme selattavassa esitteessämme (Issuussa)