Varo huijausta: Kaveri kysyy puhelinnumeroa Instagramissa tai Facebook Messengerissä – seurauksena tilin kaappaaminen - Tietoturva - Ilta-Sanomat

Varo tätä kaverilta tulevaa yksityis­viestiä – päättyy Instagram- tai Facebook-tilisi kaappaamiseen

Verkkorikolliset käyttävät Facebookin ja Instagramin hakkeroinnin vastaista työkalua tilien hakkeroimiseen.

Kyberturvallisuuskeskuksella on viikon ajalta tiedossa 10 tapausta, joissa suomalaisten tileille on päästy käsiksi. Todellisten tapausten määrä lienee huomattavasti suurempi.

9.11. 9:37

Facebookin pikaviestimessä Messengerissä ja Instagramin yksityisviesteissä leviää huijaus, jolla pyritään kaappaamaan ihmisten käyttäjätilejä. Hyökkäys alkaa suomeksi kirjoitetulla viestillä, joka tulee kaverin tunnukselta käsin. Viestissä tiedustellaan vastaanottajan puhelinnumeroa.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen tietoturva-asiantuntija Ville Kontinen kertoo, että viranomaiset ovat saaneet ilmoituksia huijauskampanjasta noin parin viikon ajan.

Yhteydenotot ovat peräisin joko tuttujen nimissä tehdyiltä ja kaveriksi hyväksytyiltä valeprofiileilta tai murretuilta käyttäjätileiltä. Uhri kuitenkin luulee viestin tulevan kaveriltaan.

Kaveri sanoo haluavansa ”ilmoittaa meidät kilpailuun”, mihin tarvitaan puhelinnumero. Jos numeron luovuttaa, jonkin ajan kuluttua seuraa kaverin nimissä uusi viesti, jossa kerrotaan kilpailuvoitosta. Samalla hän sanoo uhrin puhelimeen tulevan kohta ”tekstiviestin, joka sisältää kilpailun osallistumiskoodin”. Hän pyytää kopioimaan viestin sisällön ja lähettämään sen hänelle.

– Puhelinnumeron ja tekstiviestissä tulleen koodin yhdistelmällä tilin hallinnan pystyy siirtämään itselleen, Kontinen sanoo.

Lue lisää: Poliisi: Suomalaisten WhatsApp-tilejä kaapattu – varo tätä viestiä

Hyökkäys toteutetaan käyttämällä Facebookin tai Instagramin palautustoimintoa, jonka alkuperäinen tarkoitus on palauttaa kaapattu tili oikealle omistajalleen. Kun hyökkääjä syöttää siihen uhrilta saamansa puhelinnumeron ja sen jälkeen uhrin hänelle lähettämän vahvistustekstiviestin koodin, hyökkääjä saa tilin itselleen.

– Tekijä siis väittää [Facebookille], että tilisi on hakkerin käsissä ja hän on palauttamassa sen hallintaa itselleen. Hän siis hakkeroituu tilillesi hakkeroinninestotyökalulla, Kontinen selittää.

Hyökkäys alkaa suomeksi kirjoitetulla yksityisviestillä, joka tulee kaverin tunnukselta käsin.

Kaksivaiheinen tunnistautuminen eli sisäänkirjautumisen vahvistaminen toista kanavaa käyttäen ei suojaa tilin kaappaukselta. Kyseessä ei ole Facebookin tai Instagramin näkökulmasta tunnistautumista edellyttävä uusi sisäänkirjautuminen vaan tiliin kytketyn puhelinnumeron vaihtaminen. Siihen ei kysytä vahvistusta.

Kun uhri on luovuttanut puhelinnumeronsa ja tekstiviestitse tulleen pin-koodin, rikollinen kertoo että voiton lunastamiseen tarvitaan luottokortin tiedot sekä kortin takaa löytyvä cvv-vahvistuskoodi.

– Käytännössä tässä tehdään luottokorttikalastelua. Jos tiedot antaa, tekijä pystyy tekemään mielensä mukaan luottokorttipetoksia, Kontinen sanoo.

Joissakin tapauksissa on luottokorttitietojen jälkeen kyselty myös verkkopankkitietoja.

Kyberturvallisuuskeskuksella on viikon ajalta tiedossa 10 tapausta, joissa suomalaisten tileille on päästy käsiksi. Todellisten tapausten määrä lienee huomattavasti suurempi. Myös IS Digitoday on saanut ilmoituksia asiasta.

Nyt nähtyä huijaustapaa alettiin tavata Instagramissa ensimmäisen kerran kesällä, jolloin huijausviestit tulivat vielä englanniksi.

Tilin palauttaminen voi olla hankalaa. Petoksessa on Facebookin tai Instagramin näkökulmasta kaksi tahoa, jotka väittävät tiliä omakseen. Kontinen kehottaakin pitämään tilinpalautustiedot ajan tasalla. Näihin kuuluu muun muassa vaihtoehtoinen sähköpostiosoite.

Tekstiviestitse tulleita tilin siirtämisen tai salasanan vaihtamisen mahdollistavia vahvistuskoodeja ei pidä ikinä lähettää eteenpäin kenellekään muulle.

– Jos hyökkääjä saa vietyä kaappauksen puhelinnumerolla ja luovutetulla pin-koodilla läpi, joudut uhrina tekemään samanlaisen ilmoituksen. Facebook saa tällöin kaksi ilmoitusta lyhyen ajan sisään tilin hakkeroinnista. Mitä paremmin tiedot ovat ajan tasalla, sitä paremmin pystyt todentamaan olevasi profiilin omistaja, Kontinen sanoo.

Vaikka kaksivaiheinen tunnistautuminen ei suojaa tältä nimenomaiselta huijaukselta, Kontinen suosittelee sen käyttöä vahvasti. Se estää esimerkiksi heikolla salasanalla suojatun tilin kaappaamisen. Facebookin selainversiossa tämä tehdään valitsemalla asetukset > asetukset ja yksityisyys > asetukset > turvallisuus ja sisäänkirjautuminen > kaksivaiheinen todennus.

Facebookin mobiilisovelluksessa polku on asetukset > asetukset ja yksityisyys > asetukset > turvallisuus ja sisäänkirjautuminen > salasana ja turvallisuus > kaksivaiheinen todennus.

Paras tapa välttää tämänkaltaiset huijaukset on tarkkaavaisuus.

– Jos kukaan ikinä kyselee tekstiviestitse tulleesta vahvistuskoodista, näiden kohdalla tulee pysähtyä miettimään. Esimerkiksi Facebook ilmoittaa, että ”numerosarja on salasananvaihtokoodisi palvelussa Facebook”. Tämä pitäisi lukea huolellisesti läpi.

Osion tuoreimmat

Luitko jo nämä?