Yrityksiin kohdistuu entistä uskottavampia huijauksia

Huijaussähköposteilla alkaneet petokset ovat arkipäivää myös Suomessa. Huijausyrityksiä voidaan tehostaa puhelinsoitoilla ja tapauksiin voi liittyä identiteettivarkaus.

Viime aikoina on nähty lukuisia yrityksiin kohdistuneita huijauksia, joissa rikolliset ovat onnistuneet huijaamaan uhriyrityksiltä huomattavia summia rahaa. Poliisi tiedottaa ilmiön olevan jälleen kasvussa. Julkisuudessa olleissa tapauksissa on onnistuttu huijaamaan suomalaisyritysten tytäryhtiöistä miljoonia euroja. Myös Kyberturvallisuuskeskuksen tietoon on tullut vastaavia huijausyrityksiä.

Välineenä huijauksissa on käytetty esimerkiksi sähköpostia. Väärennetystä sähköpostiosoitteesta on lähetetty yrityksen johdon jäsenen nimissä maksukehoitus taloushallintoon, josta maksu on suoritettu rikollisten tilille.

Entistä yleisempää myös puhelimitse tapahtuva tietojen kalastelu (voice phishing eli vishing). Sähköpostin ja puhelimen välityksellä tapahtuvaa huijausta voidaan käyttää yhdessä tehostamaan huijauksen uskottavuutta. Myös suomenkielisiä tietojenkalastelupuheluita on tiedossa.

Kyberturvallisuuskeskus kehottaa tarkkaavaisuuteen ja jakamaan tietoa ilmiöstä ja mahdollisista huijausyrityksistä organisaation sisällä. Tapauksista kannattaa ilmoittaa Kyberturvallisuuskeskukselle ja tehdä rikosilmoitus poliisille.

Petos alkaa tiedustelulla

Petosten, kuten muidenkin verkkorikosten, ensimmäisenä vaiheena on tiedon hankkiminen. Heikot salasanat tai tunnukset kaapannut haittaohjelma voivat mahdollistaa uhrin sähköpostitilille murtautumisen. Aiempia laskutustietoja, yhteyshenkilöiden sähköpostiosoitteita tai kiinnostavia asiakirjoja voi hankkia myös varastetulta kannettavalta, maahan pudonneelta muistitikulta tai pöydälle unohtuneelta älypuhelimelta.

Paikkamaattomien haavoittuvuuksien avulla on myös voitu päästä murtautumaan yrityksen verkkoon, jossa laskutukseen liittyvää tietoa on louhittu sähköpostipalvelimelta tai verkkoliikennettä nuuskimalla. Tietomurtoa ei kuitenkaan aina tarvita. Yrityksen kotisivuilta ja hakukoneilla saa helposti riittävät tiedot huijaamista varten.

Yrityksen johdon, myynnin ja henkilöstöhallinnon nimet ovat yleensä yrityksen nettisivuilla. Julkisista referensseistä voi päätellä, minkä asiakkaan, alihankkijan tai tuotteen edustajana voi esiintyä. Työpaikkailmoituksissa luetellusta teknologiaosaamisesta voi päätellä yrityksessä käytettyjen verkkolaitteiden ja sovellusten valmistajan. Näppärä huijari esiintyy tämän jälkeen uutena myyntiedustajana tai ilmoittaa sähköpostitse lisenssin vanhentuvan pian.

Sosiaalisesta mediasta huijarin on usein helppo selvittää, milloin työntekijä on lomalla tai kenen tutun nimen voi mainita kuulostaakseen uskottavalta. Myös out-of-office-sähköpostit kertovat, ketä toista huijari voi lähestyä. Tämän jälkeen onkin jo helppoa kalastella lisätietoa puhelimitse: "Sain Pentiltä numerosi, kun hän on nyt lomalla. Voisitko kertoa, ..."

Huijaus voi olla naamioitu lasku

Tyypillisiä verkkohuijauksia ovat valelaskutus (Invoice Scam) ja toimitusjohtajahuijaus (CEO Fraud), jotka on selitetty kattavasti OP:n Turvallisuuspalvelujen Elias Alangon blogitekstissä .

Yrityksiin kohdennetussa valelaskuissa taloushallintoa lähestytään kumppaniyrityksen nimissä ja kerrotaan laskutustietojen muuttuneen. Massahuijauksissa valelasku voi tulla esimerkiksi palvelusta, jota ei ole tilattu.

Toimitusjohtajahuijauksessa maksukehotus näyttää tulevan yritysjohdolta. Kummassakin tapauksessa harhaanjohtavat sähköpostit on saatu kuulostamaan uskottavilta ennakkoon kerättyjen tietojen perusteella. Yritys ja sen henkilökunta voi fiksulla tiedonjakamisella rajata, miten helppo uhri on.

Edellä mainitun kaltaiset huijaukset kohdistuvat ihmisiin, ei tekniikkaan. Onko teidän yrityksessänne sovittu toimintatavat maksujen hoitamiseen? Onko ne kerrottu myös loma-ajan tuuraajille?

Huijauksen ennaltaehkäisy ja tunnistus

  1. Älä luota sokeasti sähköpostin lähettäjätietoihin, koska ne ovat kohtuullisen helposti väärennettävissä.
    • Vaikka sähköposti näyttää tulevan esimerkiksi tutulta yritykseltä tai tutulta henkilöltä, saattaa lähettäjänä silti olla kyberrikollinen.
    • Varmista tarvittaessa sähköpostien oikeellisuus puhelinsoitolla. Tarkistus kannattaa tehdä etenkin epätavallisissa tilisiirroissa tai muissa tavanomaisesta toiminnasta poikkeavissa tilanteissa.
  2. Varmista puhelimitse lähestyvän soittajan henkilöllisyys.
    • Voit esimerkiksi soittaa takaisin henkilölle tämän yrityksen puhelinkeskuksen kautta.
    • Tarkista sähköpostissa mahdollisesti näkyvät yhteystiedot muuta kautta.
    • Älä hämäänny tutuista työkaverien nimistä, joita rikollinen saattaa mainita uskottavuutta lisätäkseen.
  3. Älä anna käyttäjätunnusta tai salasanaa puhelimitse.
  4. Älä anna tietoja yrityksestä tai yrityksen käyttämästä teknologiasta soittajalle, jota et tunne.
  5. Sovi käytännöt, minkä suuruisia maksuja voi käsitellä yksin ja miten laskutustiedot tarkistetaan.
  6. Kouluta henkilökunta tunnistamaan eri tavoin toteutetut huijausyritykset
  7. Jaa havainnot huijausyrityksistä organisaation sisällä, Kyberturvallisuuskeskukselle ja tee tarvittaessa rikosilmoitus

Ilmoita huijaukset poliisille

Jos olet joutunut maksuhuijauksen kohteeksi, ole yhteydessä pankkiin ja poliisiin. Myös huijausten yrityksistä kannattaa ilmoittaa poliisille, etteivät verkkorikostapaukset jäisi piiloon ja jotta niiden hoitamiseen osattaisiin kohdentaa riittävä määrä resursseja.

Kyberrikoksiin liittyvistä tietoturvaloukkauksista voi ilmoittaa myös Viestintäviraston Kyberturvallisuuskeskukselle. Kyberturvallisuuskeskus ei tutki rikostapauksia, mutta voi tarvittaessa tehdä esitutkintaviranomaisten kanssa yhteistyötä tietoturvaloukkaustapauksen selvittämisessä. Viestintävirasto ei tee tapauksista rikosilmoitusta ilmoittajan puolesta.

Lisätietoa


Päivityshistoria

Asiasanat: Tietoturva , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248