Älä mene verkkopankkiin Googlen kautta – salakavala huijaus käyttää hyväksi ihmisen huolimattomuutta

Erilaiset huijausyritykset ovat verkossa arkipäivää. Nyt liikkeellä on harvinaisen salakavala huijaus, joka voi yllättää ikävästi.

Finanssiala ry ei suosittele siirtymään pankkisivuille hakukoneen haun kautta. Kun esimerkiksi Googlessa tai Bingissä hakee pankkinsa nimeä, hakutuloksiin ensimmäiseksi saattaa nousta sivusto, joka näyttää täsmälleen pankin sivustolta, mutta on tosiasiassa huijarisivusto.

Huijauksissa kalastellaan ihmisten pankkitunnuksia.

”Tämä on alkuvuoden 2021 ilmiö. Rikolliset ovat nyt löytäneet keinon haalia verkkopankkitunnuksia hakukonetta hyödyntäen”, Finanssiala ry:n rikos- ja petostorjunnasta vastaava johtaja Niko Saxholm kertoo.

Lue myös: Älä tee näitä virheitä netissä – näin vältät huijatuksi tulemisen

Huijauksia on tapahtunut isojen pankkien nimissä, eikä minkään pankin voida sanoa olevan riskin ulkopuolella. Siksi millekään pankkisivustolle ei ainakaan toistaiseksi kannata siirtyä minkään hakukoneen kautta, vaan kirjoittamalla suoraan selaimen osoitekenttään pankin verkko-osoite. Puhelimessa olevia applikaatioita voi käyttää entiseen tapaan.

Sivustoa ei voi välttämättä tunnistaa väärennetyksi

Salakavalan huijauksesta tekee se, että ”valepankin” sivut voivat näyttää identtisiltä oikeisiin sivuihin verrattuna. Myös hakutuloksissa oleva otsikkoteksti voi olla täsmälleen sama. Eroja voi löytyä sivuston ”urlista” eli osoitteesta, mutta erot ovat yleensä niin pienet, että niitä on vaikea havaita.

Myös itse huijaus tapahtuu huomaamattomasti. Kun sivuston on avannut, pankin asiakas voi täyttää kirjautumiskenttään käyttäjätunnuksensa normaaliin tapaan. Silloin rikollinen siirtää käyttäjätunnuksen kyseisen pankin oikeaan verkkopankkiin, jolloin asiakas saa vahvistuspyynnön mobiilisovellukseensa.

Pankkitunnusten kalastelu hakukoneen hakutuloksiin nousevilla verkkosivuilla on uusi, vuoden 2021 ilmiö.

Pankkitunnusten kalastelu hakukoneen hakutuloksiin nousevilla verkkosivuilla on uusi, vuoden 2021 ilmiö.

Kun huijauksen uhri täyttää vahvistuskoodin puhelimensa sovellukseen, hän luulee kirjautuvansa verkkopankkiin. Tosiasiassa hän vahvistaa rikollisen tekemän toimenpiteen, esimerkiksi maksun rikollisen tilille.

Saxholmin mukaan huijaus on esimerkki siitä, miten kalasteluhuijauksissa heikoin lenkki on yleensä ihminen.

”Pankkien vahvistussovellukset kyllä kertovat tarkkaan, paljonko rahaa on menossa mihin. Mutta ilmeisesti ihmiset eivät katso, mitä he ovat vahvistamassa, koska he toimivat opitun rutiinin mukaan.”

Lue myös: Epäiletkö, että läheistäsi huijataan netissä? Toimi näin!

Sivusto voi olla alun perin mikä tahansa sertifioitu verkkosivu

Rikolliset rakentavat kalastelusivustoja yleensä vanhoille verkkosivuille, jotka ovat kaapanneet käyttöönsä. Kun vanhalla osoitteella on sertifikaatti, eli luotetun sivuston leima, sen päälle rakennettu verkkopankkisivu voi toimia siinä ilman, että sivuston kävijä saa minkäänlaista hälytystä epäluotettavasta sivustosta.

”Oli esimerkiksi sellainen tapaus, jossa rikolliset olivat kaapanneet entisen brasilialaisen autokaupan verkkosivun käyttöönsä ja muuttaneet sivuston ulkoasun verkkopankin kirjautumissivuksi. Vanha autokaupan sivu oli saanut sertifikaatin, ja siten huijaussivu oli täysin laillinen.”

Toinen huijareiden työtä helpottava asia on se, että huijaus perustuu hakukoneiden tapaan toimia. Esimerkiksi Google toimii algoritmilla, joka nostaa hakutuloksiin sivustoja tietyn automaattisen logiikan mukaan, jotta hakutulokset antaisivat mahdollisimman täsmällisen vastauksen haulle.

Monet yritykset hyödyntävät algoritmia rakentamalla verkkosivujensa sisällön niin, että sivusto nousee hakutuloksissa korkealle. Rikolliset tekevät hakukoneoptimointia yhtä lailla kuin muutkin, eikä heitä ole mahdollista sulkea optimoinnin ja algoritmin ulkopuolelle.

Lue myös Seura.fi: Nettikauppa huijaa ostajia suomalaisjulkkisten kuvilla – Etenkin blogikuvien varastaminen yleistyy koko ajan

Kalasteluhuijauksista saadaan vain pieni prosentti kiinni

Kyseisiin huijauksiin syyllistyneitä rikollisia on vaikeata saada kiinni. Pankit reagoivat pankkitunnuksia kalasteleviin sivustoihin nopeasti, ja Google poistaa niitä, mutta myös rikolliset itse poistavat sivustoja sitä mukaa, kun ne paljastuvat.

”Kalasteluhuijauksista ei saada yleensä kuin pieni prosentti kiinni.”

Yksi pankkien keino estää suuria huijauksia on valvonta, joka antaa pankille hälytyksen, jos yleensä ainoastaan Suomesta ostoksia tekevän asiakkaan tililtä ollaan siirtämässä suuria summia rahaa ulkomaille. Tämäkään keino ei ole valitettavasti aukoton. Kansainvälinen verkkokauppa on yleistynyt, ja rikollisetkin ovat oppineet viemään pieniä summia kerralla.

Rikoksien kansainvälisyys hankaloittaa rikosten torjuntaa entisestään. Poliisitoiminta ei ulotu täysin sujuvasti kansallisten rajojen yli.

”Huijauksen uhrit sijaitsevat esimerkiksi Euroopan maissa, Pan-Amerikassa ja Kanadassa, joissa viranomaistoiminta on tehokasta. Rikolliset sijaitsevat pääsääntöisesti maissa, joissa poliisitoiminta ei ole kovin tehokasta. Tämän takia rikoksen juurille on vaikeaa päästä.”

Huijarit löytävät aina uusia keinoja

Erilaiset haittasivut ovat aina olleet hakukoneiden riesana. Rikolliset ovat onnistuneet ujuttamaan hakukoneiden hakutuloksiin jo vuosien ajan sisältöä, jossa sivuston kävijä esimerkiksi luulee lataavansa ilmaisohjelman tai lukevan tutun julkkiksen kuulumisista, kun hänen koneelleen latautuukin haittaohjelma tai vakoilusivusto.

Mutta pankkitunnusten kalastelu verkkosivuilla on uusi ilmiö.

Aikaisemmin pankkitunnuksia on kalasteltu lähinnä sähköpostitse tai tekstiviesteillä. Viesteissä saatetaan pyytää tilinumeroa veronpalautusta varten tai pientä maksua saapuvan paketin noutamiseksi.

Rikolliset hyödyntävät monessa tapauksessa ihmisten kiireisyyttä, rutiininomaisuutta ja huolimattomuutta. Huijausviestit lähetetään usein tiistaisin, keskiviikkoisin ja torstaisin lounaan ja kello kolmen välisenä aikana, koska silloin työssäkäyvät ihmiset ovat yleensä kaikkein väsyneimpiä ja kiireisimpiä.

Saxholmin mukaan huijarit tutkivat ihmisten käyttäytymistä. Niin kauan kuin ihmiset googlaavat tiensä kaikille verkkosivuille, se on huijareille oiva paikka saada leipänsä pöytään.

”Huijarit tekevät tätä työkseen. Yleensä ihminen, joka tekee jotain täyspäiväisesti, tulee siinä aika hyväksi.”

Muista nämä!

  1. Älä ikinä anna verkkopankin tunnuksia kenellekään. Pankki tai poliisi eivät tarvitse niitä tehtäviensä suorittamiseen.
  2. Jos epäilet tulleesi huijatuksi, ota välittömästi yhteys pankkiisi. Rahojen takaisin saamisen todennäköisyys on suurimmillaan välittömästi rikollisen rahansiirron jälkeen. Yhden yön yli nukkuminen tarkoittaa yleensä rahojen menettämistä.
  3. Ota pankin soitto vakavasti ja seuraa ohjeistusta. Jos pankin petosyksikkö soittaa ja toteaa, että olet siirtämässä rahaa pankin rikolliseksi epäilemälle tilille, siihen on painava syy.

Keskustelu

Huh – pelottavaa!
Varsinkin meille, jotka ymmärrämme liian vähän koko tietokoneesta, ja touhuamme silti ahkerasti sen parissa.

Kommentoi juttua: Älä mene verkkopankkiin Googlen kautta – salakavala huijaus käyttää hyväksi ihmisen huolimattomuutta

Sähköpostiosoitettasi ei julkaista.

X