”Löysin kotitieltäsi avaimet, otin niistä valokuvan”– näinä hetkinä lankeat helpoimmin huijaukseen - Tietoturva - Ilta-Sanomat

”Löysin kotitieltäsi avaimet, otin niistä valokuvan”– näinä hetkinä lankeat helpoimmin huijaukseen

Verkkohuijausten takana on rikollisiin tarkoitusperiin taivuteltu psykologia.

17.5. 7:02

Pankkikorttisi on suljettu.

Kauppaketjumme täyttää vuosia. Olet oikeutettu 50 euron lahjakorttiin.

Tililtäsi on veloitettu 200 euroa.

Olet saanut lähetyksen, mutta postimaksu on puutteellinen.

Siirrä yhtiön tililtä 10 000 euroa tähän tilinumeroon. Asialla on kiire. T: toimitusjohtaja

Kuulostaako tutulta? Näillä, vastaavilla ja vielä vähän hienostuneemmilla huijauksilla tehdään kymmenien miljardien dollarien edestä rikoksia vuosittain. FBI:n lukujen mukaan pelkästään yrityksiin kohdistuvilla petoksilla saatiin 26,2 miljardin dollarin eli noin 22 miljardin euron rikoshyöty vuonna kolmen vuoden aikana kesän 2016 ja kesän 2019 välillä.

Yksityishenkilöihin kohdistuneet petokset eivät ole luvuissa mukana, eikä petosten määrä ole todellakaan laskussa. Tuotot ovat hyviä ja kiinnijäämisen riski melkein olematon. Maailmalla liikkuvasta sähköpostista noin 80 prosenttia on roskaa ja huijauksia.

Moni naureskelee petokseen haksahtaneiden ihmisten tyhmyydelle. Mutta taustalla on johdonmukainen tapa toimia ja häijyihin tarkoitusperiin väännelty psykologia.

– Kyseessä on hyökkäys ihmistä, ei teknologiaa vastaan, kuvailee teleoperaattori Elisan tietoturvajohtaja Teemu Mäkelä.

Elisassa työskentelevä Teemu Mäkelä on Tietoturva ry:n vuoden 2020 tietoturvapäällikkö.

– Hyökkääjät pyrkivät hyödyntämään ihmisiä heikoimmillaan, eli silloin kun olemme väsyneimpiä tai meillä on kiire. Huijaukset toimivat parhaiten, kun ihmiset reagoivat ikään kuin lihasmuistilla asioihin.

Mäkelän mukaan haksahdamme kalasteluviesteihin helpoimmin heti herättyämme tai juuri ennen nukkumaan menoa. Moni ottaa kännykän käteensä heti sängystä noustessaan ja laskee sen pöydälle juuri ennen valojen sammuttamista.

Maanantaiaamuisin riski on suurin sekä perjantai-iltaisin klo 18 jälkeen. Kalasteluyritykset ovat niin aidon tuntuisia, että niitä ei välttämättä osaa enää kyseenalaistaa.

Ihmisiä ei lähestytä miten tahansa. Onnistunut huijausviesti herättää vastaanottajassaan tunteen – ja kannustaa reagoimaan heti.

Tärkeimpiä huijauksessa hyödynnettyjä tunteita ovat pelko, ihmetys ja epäily, uteliaisuus, turhautuminen ja viha sekä ihailun kohteeksi päätyminen. Nämä muuntuvat esimerkiksi huijausviesteiksi, joissa kerrotaan maksukortin sulkemisesta, firman pikkujoulukuvista, ärsyttävästä somepostauksesta tai vaikkapa LinkedInissä itseen kohdistuvista kehuista.

Suomalaiset ja skandinaavit ovat muuta maailmaa vähemmän alttiita haksahtamaan toimitusjohtajahuijauksiin, joissa pyydetään kiireellistä tilisiirtoa pomon nimissä. Mäkelä uskoo tämän johtuvan siitä, että auktoriteettiuskoisuus täällä on pienempää kuin muualla maailmassa.

 Täällä toimivat parhaiten kalasteluviestit, joissa luvataan alennuksia, ilmaistuotteita tai pyydetään apua.

– Sen sijaan täällä toimivat parhaiten kalasteluviestit, joissa luvataan alennuksia, ilmaistuotteita tai pyydetään apua, Mäkelä sanoo.

Yllättävän tehokas on yksinkertainen ”löysin kotitieltäsi avaimet, otin niistä valokuvan” -viesti. Siihen narahtaa moni.

Mäkelä mainitsee yhden erikoisen nousussa olevan ilmiön: tyhjät sähköpostiviestit. Kyse lienee tiedustelusta, jolla tutkitaan josko viestiin tulisi automaattivastaus. Automaattivastauksessa voi olla esimerkiksi kiireellisiä yhteydenottoja varten annettu puhelinnumero, sijaisen tietoja tai vastaavaa.

Kun ”tyhmään mokaan” on haksahdettu, harva sitä kehtaa sosiaalisessa mediassa julistaa. Mäkelä uskoo häpeän aiheuttavan sen, että ihmiset pitävät mieluummin virheensä omana tietonaan – eivätkä siksi tule valistaneeksi ystäviään ja estä heitä mahdollisesti haksahtamasta samaan.

Elisa jakaa henkilökunnalleen infoa tietoturvasta sarjakuvin. Kertomukset perustuvat tositapahtumiin.

Elisassa asiaa lähestytään tositapahtumiin perustuvin talon sisäisin sarjakuvin, joista on häivytetty tunnistettavat ihmiset. Viihteestä tutulla kerrontakeinolla yritetään opettaa ihmisiä toisille sattuneista vahingoista.

Huijauksia vastaan on olemassa yksi tehokas keino: valistaminen. Tehokkainta koulutusta ovat simulaatiot, joissa ihmisille lähetetään työsähköpostiin epäsäännöllisesti huijausposteja ja seurataan, miten ihmiset niitä havainnoivat ja raportoivat. Moni yritys ostaa tällaista palvelua, ja tulokset ovat hyviä.

Mäkelä kertoo Elisan lähettävän työntekijöilleen 250 000 simulaatioviestiä vuodessa. Kolmessa vuodessa huijausten tunnistamisprosentti on noussut 85:stä 99:ään.

Tämä ei kuitenkaan auta niitä, joilla ei ole koulutusta tarjoavaa työnantajaa.

Mäkelä sanoo kybertaitojen opettamisen kansalaistaitona kuuluvan useammalle taholle. Näihin kuuluvat työnantajat, teleoperaattorit ja media. Harjoittelun tuominen kuluttajille on pohdinnassa.

– Meillä on ideoita siitä, miten kyberasioiden opettaminen saataisiin helpoksi ja houkuttelevaksi sekä miten sitä voitaisiin tarjota vaikka isovanhemmille ja muille senioreille.

Jatkossa huijaukset ja hyökkäykset käyvät yhä vaikeammaksi havaita. Etenkin yritysmaailmaan kohdistuvia hyökkäyksiä räätälöidään vastaanottajan mukaan.

Huijauksille on tuskin kuitenkaan loppua näkyvissä. Jos ihmiset valistuksen myötä oppivat karttamaan massahuijauksia, ne muuttunevat luonteeltaan räätälöidymmäksi ja kohdistetummaksi.

– Sellaisia huijauksia voidaan aina tehdä, joihin kuka tahansa menee. Kohdennetuissa hyökkäyksissä selvitetään, mistä ihminen on kiinnostunut, keitä hänen perheenjäsenensä ovat, ja ennen pitkää kohde menee lankaan.

Korjaus 18.5. klo 8.28: 22 miljardin dollarin rikoshyöty syntyi kolmen vuoden, ei yhden vuoden, aikana.

Osion tuoreimmat

Luitko jo nämä?