Suomalaiset saavat huijaussoittoja kiihkeään tahtiin. Vaikka muunlaisiakin yrityksiä on nähty, suurin osa on niin sanottuja teknisen tuen huijauksia. Niissä soittaja väittää usein olevansa Microsoftin teknisestä tuesta ja soittavansa auttaakseen uhrin tietokoneelle pesiytyneiden virusten ja hakkerien suhteen.
Todellisuudessa soittajan tarkoitus on päästä käsiksi uhrin rahoihin ja usein myös henkilötietoihin. Moni suomalainen on menettänyt huijauksissa jopa kymmeniä tuhansia euroja.
Tällaisen soiton sai myös Digi- ja väestötietoviraston digitaalisen turvallisuuden VAHTI-johtoryhmän pääsihteeri Kimmo Rousku, joka on it-ammattilainen ja tietoturvaekspertti. Hän teki moniosaisesta seikkailustaan puhelinhuijarien kanssa sarjan twiittejä, jossa hän kertoo miten päätyi vedättämään vedättäjiä ja selvittämään näiden menetelmät.
Maanantai-iltapäivänä Rousku sai soiton näennäisesti kreikkalaisesta numerosta.
– Taustalta kuului hälyääniä, mistä tietää ettei kyseessä ole yksityinen henkilö, vaan organisoitu toiminta. Tässäkin tapauksessa ”Microsoftin tukipalvelusta” soittanut henkilö kertoi, että tilanteeni on huolestuttava. Koneeltani löytyy viruksia, ja hakkerit ovat vallanneet sen. He voisivat auttaa puhdistamaan se. Kaikki tämä murteellisella englannilla, Rousku kertoo puhelimitse.
Rouskun mukaan hälytyskellojen tulisi soida aina, kun puhelimeen tulee odottamaton englanninkielinen puhelu.
Soiton tullessa Rousku ei ollut tietokoneen äärellä, mutta sai uskoteltua soittajalle olevansa koneella ja toimivansa tämän ohjeiden mukaan. Ensimmäinen vaihe oli AnyDesk-etähallintaohjelman asentaminen. Tämä on sovellus, joka antaa toisen ihmisen käyttää tietokonetta etäyhteyden ylitse kuin omaansa.
– Se neuvottiin niin kädestä pitäen kuin mahdollista.
Rousku asensi sovelluksen omaan iPhoneensa, mutta antoi huijarille väärän koodin. Tämä koodi toimi salasanana, jolla etäkäyttäjä muodostaa yhteyden laitteiden välille. Väärä koodi ei tietenkään toiminut.
– Neljä kertaa hän sitä yritti, eikä vain saanut yhteyttä.
Puhelinyhteys katkesi välissä, mutta huijarit soittivat heti uudelleen. Nyt apuun oli pyydetty teknisesti osaavampi huijari, mutta hänkään ei saanut yhteyttä syntymään väärällä koodilla.
Rousku sopi uuden puhelun huijarien kanssa tiistaiaamuksi, jotta ”ongelma voitaisiin ratkaista”. Tätä varten hän viritti oman tietokoneensa odottamaan yhteydenottoa nähdäkseen, mitä huijarit haluavat tehdä. Rousku myös videoi tapahtuman. Puhelu tuli tiistaiaamuna kahdeksan jälkeen ja oheistus annettiin puhelimitse hyvin ystävälliseen sävyyn.
Rousku asensi ohjeistetusti varta vasten tarkoitusta varten tyhjennetylle koneelle AnyDeskin ja seurasi huijareiden ohjeita. Huijari pyrki olemaan mahdollisimman vakuuttava ja syötti pajunköyttä, joka ei it-ammattilaiselle mennyt läpi.
– Annoin hänelle oikeuden päästä koneelle. Hän korosti, että hän ei ole muodostanut yhteyttä, vaan että ”Microsoft Global Server” puhdistaa koneen ja tekee toimenpiteet, Rousku sanoo.
Seuraavaksi huijari alkoi esittää ”todisteita” siitä, että koneella on hakkereita. Tämä tapahtui menemällä käyttöjärjestelmän merkkipohjaiseen komentotulkkiin, ja antamalla netstat-niminen komento.
Todellisuudessa komento näyttää tietokoneen avoimet nettiyhteydet. Useimmat ihmiset eivät ole komentotulkin kanssa missään tekemisissä, jolloin harhautus kuulosta aidolta.
– Hän kertoi, että kaikki [komennon tuottamat] ”established”-sanat tarkoittavat tietokoneellani olevia hakkereita, Rousku kertoo.
Muitakin todistelukeinoja oli. Rouskua käskettiin googlata sana rundll32, koska kyseessä on ”prosessi, jonka kautta hakkerit menevät koneelle”.
Todellisuudessa kyseessä on asiaankuuluva käyttöjärjestelmän prosessi. Haku tuottaa kuitenkin sivuja, joissa on paljon punaista ja warning-ilmoituksia. Todisteluun ”koneelle tehdystä murrosta” käytettiin paljon vaivaa ja se oli jopa ylimitoitettua.
– Puhe on hyvin vakuuttavaa henkilölle, joka ei tietoteknologiaa ymmärrä lainkaan, Rousku toteaa.
It-ammattilainen Kimmo Rousku työskentelee Digi- ja väestötietovirastossa eli entisessä Väestörekisterikeskuksessa.
Soittaja halusi myös tietää, mitä nettipalveluita Rousku käyttää. Sillä haluttiin selvittää, mistä ja minkälaista tietoa koneella on urkittavissa.
Rouskun hämmästykseksi hakkeri halusi asennuttaa koneelle toisenkin etähallintaohjelman, TeamViewerin. Tämän tarkoitus jäi hämäräksi.
Kun tietokone ”oli puhdistettu”, seuraavaksi oli mobiililaitteen vuoro. Tätä varten Rousku sopi uuden soittoajan. Soitto tuli jo samana iltapäivänä, mutta Rousku pyysi huijareita soittamaan uudelleen keskiviikkoaamuna.
Huijarit soittivat kuuliaisesti, nyt neljännen kerran. Rousku oli virittänyt valmiiksi iPadin odottamaan huijarin ohjeita. Koska kyseessä ei ollutkaan Android-laite, soittajan tietotaito ei riittänytkään. Hän joutui selvästi lukemaan lisäohjeita, kun tilanne ei edennyt oletetulla tavalla.
Seuraavaksi vastaan tuli aito tekninen ongelma, sillä TeamVieweriä ei saatu asennettua AppStoresta. Soittaja ilmoitti joutuvansa turvautumaan teknisesti osaavamman pomonsa apuun ja soittavansa myöhemmin.
Viidettä puhelua ei koskaan kuulunut. Organisaatio saattoi saada selville, että he olivat joutuneet oletetun uhrinsa huijaamaksi.
Neljässä puhelussa meni kaikkiaan aikaa noin puolitoista tuntia. Rouskun mukaan huijarien toimintamalli on selvä: Asennutetaan etähallintaohjelma ja otetaan laite haltuun. Tämän jälkeen selvitetään kyselemällä, millaisia tietoja ja tunnuksia koneelta voisi löytyä. Kysymykset, joilla tietoja urkittiin, olivat varsin amatöörimäisiä ja huonosti aseteltuja.
Suurin Rouskun näkemä uhka on, että vastaavia puheluita alkaa tulla suomeksi ja paremmin muotoiltuna. Joitakin tällaisia on jo nähty.
Joissakin huijauspuheluissa uhreja on ohjeistettu kirjautumaan virtuaalivaluuttapörsseihin, ostamaan kryptovaluuttaa ja lähettämään se edelleen huijareille. Myös skannauksia passista on pyydetty. Näitä eivät Rouskulle soittaneet huijarit halunneet.
– Eri rikollisorganisaatioilla on selkeästi eri prosessit. Heillä on selkeästi toimintamalli ja jos siihen tulee poikkeuksia, kuten iPad Android-laitteen sijaan, silloin he joutuvat pyytämään apua omalta tekniseltä asiantuntijaltaan.
Rousku antaa vinkiksi, että etähallintaohjelmistojen kanssa tulisi olla tarkkana. Jos sellaisen näkee muualla kuin työpaikan käytössä, tulisi asiaan reagoida. Lisäksi olisi hyvä olla yhteydessä työnantajan it-tukeen, jos puhelinsoiton seurauksena on tehnyt koneella yhtään mitään.
