”Huijarit kaappaavat pankkitunnuksia”, ”Huijarit esiintyvät nyt verkon kauppapaikoilla ostajina”, ”Pelottava huijaus OP:n nimissä”, ”Tämä viesti ei ole pankilta vaan rikollisilta”… Lehdet ovat viime vuodet olleet täynnä otsikoita siitä, kuinka suomalaiset ovat menettäneet varojaan verkkoväärinkäytösten seurauksena. Uutisointi ei ole sattumaa, erilaisia rikollisten tekemiä väärinkäytöksiä on ollut aiempaa enemmän liikkeellä, eikä ole mitään syytä epäillä, että ilmiö poistuisi. Rikolliset käyttävät häikäilemättömiä keinoja saadakseen itselleen taloudellista etua.

Teksti Inkeri Jalonen, Tunnistautumisesta vastaava tuotepäällikkö, OP Ryhmä
Julkaistu 20.9.2022

Itse olen usein pohtinut, miksi puhutaan huijareista. Se jotenkin vähättelee tekoa. ”Menitkö sinä huijaukseen?” kuulostaa ainakin minun korvaani aivan eri asialta kuin ”Oletko sinä rikoksen uhri?” tai ”Veikö rosvo rahasi?”. Siksi itse puhun rosvoista ja rikollisista, koska niitähän he ovat.

Miksi juuri nyt?

Siinäpä kysymys, joka pitäisi esittää rosvoille. Arvaus minulta kuitenkin löytyy. Sinänsä huijaamista on ollut aina, eikä se ole mihinkään poistunut. Silti onnistuneet väärinkäytökset, joissa pyritään siirtämään suomalaisten varoja rikollisille ovat lisääntyneet merkittävästi viimeisen reilun vuoden aikana.

Verkkorikollisuus aktivoitui eurooppalaisen maksamisen standardisointia koskevien muutosten yhteydessä. Ehkä muut markkinat ovat olleet kiinnostavampia kuin Suomi pienenä kielialueena. Toisaalta Suomessa on ollut jo varhain varsin kehittynyt sähköinen tunnistaminen, ja suomalaiset ovat olleet varovaisia asioidessaan verkossa. Palvelut ovat olleet pankkien käsissä ja tunnusten syöttäminen on sallittua vain muutamiin näkymiin. Poikkeamat ovat olleet helppo havaita ja huijauksen räätälöiminen Suomeen ei ole ollut kannattavaa. Nyt yhtenäistyvien menettelyjen myötä periaatteessa samat huijaukset toimivat Suomessa kuin muuallakin. Huijauksen räätälöiminen Suomeen ei enää vaadi niin suurta panostusta. Kyllä panos-tuotos-suhde kiinnostaa myös rikollisia.

Mistä sitten on kyse?

Rosvot pyrkivät saamaan rahaa itselleen siirtämällä sitä myös suomalaisten tileiltä. Rikolliset testaavat erilaisia keinoja ja käyttävät niitä, joissa kulloinkin on paras tulos. Tyypillisesti maksuhuijaukset perustuvat edelleen kalasteluun, vaikka toteutustavat kehittyvät. Koska kyse on tavalla tai toisella uhrin luottamuksen voittamisesta ja sen hyväksi käyttämisestä, ei tunnistamisen tietoturvan ja kryptauksen parantaminen useinkaan tehokkaasti pure tähän rikollisuuteen.

Käytännössä rikos käynnistyy yleensä jonkinlaisen linkin kautta. Täkyjä tarjotaan siellä missä ihmiset ovat – niitä tulee niin sähköposteilla, tekstiviesteillä, WhatsApp-viesteillä kuin sosiaalisessakin mediassa. Rosvo saattaa lähestyä ilmoituksen tehnyttä myös henkilökohtaisesti, kuten eri kauppapaikoilla on tapahtunut. Toisaalta rikos voi käynnistyä myös aktiivisen etsimisen seurauksena, kun esim. hakukone antaa etsityn tuloksen, joka vie väärään paikkaan, tai uuden sijoituskohteen etsiminen johtaa kiinnostavan sijoitusyhtiön asiakkuuteen, joka osoittautuukin rosvon tekeleeksi. Tarjolla voi olla myös chat-palvelu konversioasteen parantamiseksi. Jos ihmiset käyttävät jotain palvelua, se on myös otollinen paikka rikollisille tarjota heidän ”palveluitansa”. Ei pidä kuvitella, että rikolliset jäisivät vanhoihin kanaviin ihmisten siirtyessä uusiin.

Uhri ei useinkaan havaitse saapuneensa rosvon sivulle. Sivu voi näyttää ihan oikealta asiointipalvelun sivulta. Onpa havaittu jopa sellainen op.fi-sivua jäljittelevä kalastelusivu, jossa oli näkyvissä OP:n varoitus käynnissä olevasta huijauksesta. Kun uhri syöttää kalastelusivulle tietojaan, ne päätyvät rosvolle. Samaan aikaan, kun asiakas asioi rosvon muodostamalla sivulla, rosvo voi käyttää uhrin antamia tunnuksia taustalla, myös avainluvut ja vahvistuskoodit voidaan pyytää reaaliaikaisesti uhrilta. Käytännössä uhri tällöin luovuttaa tunnuksensa rikolliselle.

Miten huijaukset onnistuvat, miksi ihminen antaa tunnuksensa rikolliselle?

Uhri toimii monesti aiemmin oppimansa toimintatavan mukaisesti, eikä ole sillä hetkellä jostain syystä aivan skarppina. Esim. tunnistautumisen yhteydessä lähetettävällä tekstiviestillä tai Mobiiliavaimen vahvistusruudulla annettu teksti jää lukematta tai ymmärtämättä ja uhri hyväksyy tapahtuman. Näin uhreille on pystytty muodostamaan uusia tunnuksia rikollisen haltuun tai siirtämään rahaa tililtä. Syy herpaantumiseen voi olla vaikkapa tilanteessa luotu kiireen tuntu tai olosuhde, jossa uhri juuri sillä hetkellä on.

Pohjimmiltaan kyse saattaa olla siitä, että uhri on toiminut aikaisemman tottumuksensa mukaisesti, eikä ole keskittynyt lukemaan tunnistautumisen yhteydessä saamaansa tietoa. Aina on tärkeää kuitenkin muistaa keskittyä siihen, mitä on vahvistamassa, myös silloin, kun on itse maksamassa laskua tai aktivoimassa Mobiiliavainta, pelkää tilitä vietävän varoja tai vaikka ollessaan matkalla sairaalaan. Keskittymisen herpaantumisessa kyse lieneekin usein siitä, että asiakas toimii rutinoituneesti. Kannattaa siis muodostaa itselleen sellainen rutiini, että aina lukee, mitä vahvistaa.

Osa suomalaisista luottaa omaan verkko-osaamiseensa niin lujasti, että kokee, ettei verkkoväärinkäytösten uhka koske heitä. He ovat niin tottuneita ja nopeita käyttämään digitaalisia palveluita, että palvelupolkujen pitää olla täysin saumattomia ja superhelppoja. Saamme esimerkiksi asiakkailta palautetta siitä, miksi tekstiviestissä vahvistuskoodi lukee lopussa niin, että viesti on ollut pakko avata. Tämä herättää pohtimaan, miten todennäköisesti tällaiset henkilöt voivat joutua uhreiksi, kun rosvot keksivät taas uudenlaisia tapoja toteuttaa huijauksia. Jos asiakas poimii näytöltä vain koodin, eikä lue koko viestiä, miten hän voi olla varma siitä, mitä juuri sillä hetkellä vahvistaa? Pankki voi pyrkiä esim. muotoilun keinoin auttamaan asiakasta huomaamaan mahdollisen väärinkäytöksen, mutta vastuu viestin lukemisesta jää kuitenkin asiakkaalle itselleen.

Kuka joutuu verkkorikoksen uhriksi?

Rikoksen uhrit valikoituvat sattumalta. Tässä toimii markkinoinnista tuttu lainalaisuus. Kun iso joukko näkee viestin, osa kiinnostuu siitä ja osa kiinnostuneista tekee kaupat. Tavoite ei ole, että kaikki rikokselle altistuneet päätyisivät uhreiksi. Toki konversioasteen parantaminen on varmasti rikollistenkin tavoite. Kiusalliseksi rikollisuuden tekee se, että onnistuminen perustuu usein olemassa olevien menettelyjen matkimiseen – mitä luovempia keinoja verkossa käytetään konversion parantamiseksi, sitä enemmän rikollisille aukeaa mahdollisuuksia parantaa myös omaa onnistumistaan.

Kirjoittaja Inkeri Jalonen toimii tunnistautumisesta vastaavana tuotepäällikkönä OP Ryhmässä. Inkeri on toiminut finanssialallla erilaisissa tehtävissä 20 vuoden ajan.