Vieraskynä: Organisaatiot petosyritysten kohteena

Viestintäviraston Kyberturvallisuuskeskus julkaisi 22.6.2016 keltaisen varoituksen aktiivisista toimitusjohtajahuijausyrityksistä Suomessa. Kartoituksemme mukaan useissa suomalaisissa organisaatioissa on lähiaoikoina vastaanotettu huijauslaskuja, jotka näyttävät tulleen esimerkiksi kohteena olevan organisaation toimitusjohtajalta tai talousjohtajalta. Artikkelissa Keskusrikospoliisi kertoo toimitusjohtajahuijausten toimintaperiaatteista.

Keskusrikospoliisin Kyberrikostorjuntakeskus avaa tässä Vieraskynä-artikkelissa toimitusjohtajahuijausten toimintaperiaatetta. Artikkelissa käsitellään yleisimpiä verkossa tapahtuvia laskutukseen liittyviä petostyyppejä ja niissä käytettyjä sosiaalisen manipuloinnin menetelmiä, joiden uhka kasvaa erityisesti lomasesongin aikana.

Petosyritysten laatu vaihtelee

Petosyritysten laatu vaihtelee suuresti. Skaalan toisessa päässä ovat konekäännetyt huonolla suomella kirjoitetut lyhyet viestit, jotka sisältävät vain maksutiedot ja eräpäivän.

Toisessa ääripäässä ovat erittäin hyvään tiedustelutietoon perustuvat kohdennetut manipulaatioyritykset, jotka ajoitetaan avainhenkilöiden lomien tai poissaolojen aikaan. Nämä yritykset ovat pääasiassa englanninkielisiä, ja niihin liittyy usein väärän "toimitusjohtajan" lisäksi ulkopuolinen konsultti tai lakimies, jonka kautta yritetään lisätä petoksen uskottavuutta.

"Lakimies" saattaa esimerkiksi soittaa talouspuolen työntekijälle ja kysyä, onko toimitusjohtaja ollut tähän yhteydessä. Työntekijä hämmästyy, jolloin lakimies sanoo, ettei voi kertoa asiasta enempää, ennen kuin toimitusjohtaja on ottanut yhteyttä.

Pian työntekijä saakin sähköpostin, joka vaikuttaa tulevan toimitusjohtajalta. Siinä tämä kertoo lakimiehen olevan pian yhteydessä työntekijään erittäin tärkeän ja luottamuksellisen transaktion suorittamiseksi. Aluksi epäilyttävältä vaikuttanut puhelinsoitto alkaakin työntekijän mielessä vaikuttaa pätevältä, koska hän on saanut sille uskottavan selityksen.

Manipulaatioon perustuen rikolliset jatkavat työntekijään luotua luottamuksellista yhteyttä. Koska keksitty transaktio (esimerkiksi yritysosto tai verojärjestely) on niin salainen, on vain luontevaa, että viestintä siirretään yrityksen ulkopuolisiin sähköpostiosoitteisiin eikä kenellekään saa kertoa asiasta. Työntekijää myös kehutaan luotettavaksi ja yrityksen edun kannalta tärkeäksi avainhenkilöksi.

Jos työntekijä on vastahakoinen, häntä voidaan uhata seuraamuksilla ja yhtiölle aiheutuvilla tappioilla. Työntekijä saattaa nähdä paljonkin vaivaa ohittaakseen yrityksessä sovitut tarkastuskäytännöt ja saadakseen tilisiirron tehtyä rikollisten tilille.

Lomasesonki lisää organisaation riskiä joutua petosyrityksen uhriksi

Nyt kun lomasesonki alkaa pian olla kuumimmillaan, onkin tärkeää, että myös sijaisilla on tarkat tiedot maksujen vahvistuskäytännöistä ja kynnys ilmoittaa kaikista poikkeamista maksuliikenteessä on tehty matalaksi.

Esimerkiksi bisneskumppanin sähköpostitse lähettämä ilmoitus vaihtuneesta tilinumerosta pitäisi aina tarkastaa jonkun tunnetun yhteyshenkilön kautta, koska "mandate fraud" -tyyppiset laskutuspetokset ovat myös lisääntyneet viime aikoina. Niissä rikollinen on päässyt perille kahden yrityksen välisestä maksuliikenteestä ja esiintyy toisena osapuolena ohjaten maksut omalle tililleen.

Jos esimerkiksi ranskalaiselle yritykselle tehdyt maksut ovat viimeiset kaksi vuotta menneet ranskalaiselle tilille, kannattaa miettiä, miksi kaikki maksut halutaan yhtäkkiä Hong Kongiin.

Yksittäisellä henkilöllä ei myöskään pitäisi olla valtuuksia tehdä miljoonien tilisiirtoja yksin. Usein rikolliset tietävät tämän ja saattavat yrittää pumpata maksuja ulos useina pienempinä siirtoina, jotta talousosastolla eivät ala hälytyskellot soimaan.

Sähköpostin lähettäjän väärentäminen on yleinen keino petosyritysten yhteydessä

Epäilyttävää sähköpostipyyntöä voi alkaa selvittää siten, että valitsee sähköpostin "vastaa"-toiminnon ja katsoo, mikä osoite ilmestyy vastaanottajaksi. Osoite pitää lukea tarkasti, koska osa rikollisista rekisteröi aidolta vaikuttavia verkkotunnuksia ja lähettää postit näistä tunnuksista.

Esimerkiksi yrityksen nimessä oleva m-kirjain saatetaan korvata yhdistelmällä rn (r ja n), joka nopealla vilkaisulla saattaa näyttää aivan aidolta. Joskus todellinen lähetysosoite yritetään saada näyttämään maallikon silmissä joltain postijärjestelmän osalta (esimerkiksi smtp.organisaationnimi@email.xxx) ja toivotaan ettei siihen kiinnitetä huomiota.

Varsinaisia tietomurtoja tai toimitusjohtajan sähköpostitilin kaappauksia ei toimitusjohtajapetoksiin yleensä liity, vaikka yrityksissä usein aluksi niin luullaankin. Myös tiedustelutieto organisaation rakenteesta on yleensä saatu ilmeisesti avoimista lähteistä tai sosiaalisen manipulaation kautta yrityksen työntekijöiltä.

On hyvä muistaa, että sähköpostin lähettäjän väärentäminen ei ole juuri sen mutkikkaampaa kuin väärän lähettäjänimen kirjoittaminen kirjekuoreen. Jos viestin aitous epäilyttää, paras keino on varmistaa henkilökohtaisesti vaikka puhelimitse, onko viestissä näkyvä allekirjoittaja oikeasti sen myös lähettänyt. Myös yrityksen IT-henkilöstö tai joku muu asiaan hieman perehtynyt osaa katsoa viestin otsikkotiedoista, mistä osoitteesta se oikeasti on tullut.

Organisaation tarkat sisäiset prosessit auttavat suojautumaan petosyrityksiltä

Moni varmasti ihmettelee, kuinka tällaiset petokset voivat onnistua. Osa viesteistä toki on tökeröitä massapostituksia, mutta ammattimaisten tekijöiden ottaessa yrityksen tähtäimeen, on syytä olla varovainen.

Yrityksen sisäinen tiedotus, hyvin suunnitellut ja tarkoin noudatetut maksukäytännöt sekä kireähköt sähköpostijärjestelmän asetukset auttavat suojautumisessa pitkälle.

Tärkeässä roolissa ovat myös yksittäisten työntekijöiden valppaus, uusien työntekijöiden perehdytys ja avoin ilmapiiri, jossa kaikki saavat esittää kysymyksiä ja kyseenalaistaa käytäntöjä.

Lisätietoa:

Varoitus 02/2016: Huijauskampanja hyödyntää lomakautta - älä maksa valheellisia laskuja!

Tietoturva nyt!: Käynnissä on aktiivinen huijauskampanja, joka hyödyntää alkavaa lomakautta


Päivityshistoria

Asiasanat: Tietoturva , Huijaus , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248