Videoammattilainen Tapio Haaja joutui todella uskottavan ja vaikeasti tunnistettavan huijauksen uhriksi. Siinä käytettiin hyväksi Danske Bankin aitoa mobiilisovellusta.
Helsinkiläinen Haaja kertoo tapauksesta LinkedInissä. Hän myi vanhan MacBook Pronsa 1 150 eurolla, ja ostaja maksoi sen hakiessaan Danske Bankin verkkopankkisovelluksella. Paitsi että kyseessä oli verkkopankin testaamiseen tarkoitettu julkinen sovellus ja mitään maksua ei koskaan tapahtunut.
Lue lisää: Nettihuijari vei rahat – kuka maksaa?
Lopputuloksena Haaja menetti kannettavansa ja luottamuksensa Danskeen.
– Ostaja otti kännykästään Danske Bankin applikaation. Hänen tilillä näytti olevan rahaa, ja näpyttelin itse tilinumeroni, ja maksu tapahtui. Otin jopa kuvan maksusuorituksesta. Rahoja ei kuitenkaan kuulunut, Haaja kirjoittaa.
Jälkikäteen hän tajusi, että kyseessä on sama huijaus, josta Helsingin Sanomat kirjoitti kesäkuun alussa. Silloin uhrina oli iPhone 13 -puhelinta myynyt perhe. Haajan kirjoitusta on kahdessa päivässä kommentoitu LinkedInissä runsaasti, ja joukossa on useampi kertomus muista samanlaisista vedätyksistä.
Maksua ei tapahtunut. Demosovelluksessa ei voi edes tehdä oikeita maksuja.
Eräs kommentoija kertoo kärsineensä lähes identtisestä huijauksesta viime vuonna, mutta silloin huijari löytyi. Uhri oli ottanut huijarin puhelimesta kuvan, joka sisälsi tunnistuksen mahdollistaneen sormenpään.
– Kyllä sähköpostihuijaukset, valesaitit ja kalastelutekstarit ovat peruskauraa, mutta en minäkään tiennyt tällaisista sovellushuijauksista, Haaja korostaa.
Kyseessä on Danske Bankin vuosia vanha verkkopankin demosovellus, jota ei ole selvästi merkitty sellaiseksi. Nykyisessä versiossa on näkyvä punainen demoleima, ja alkuperäinen sovellus pakotetaan päivittymään uuteen.
Ongelma vain on, että alkuperäinen sovellus toimii myös ilman verkkoyhteyttä. Eli jos puhelimen pitää irti verkosta, voi alkuperäistä sovellusta yhä käyttää. Danske veti sovelluksen pois virallisista sovelluskaupoista, mutta ei ole tiedossa, kuinka monella se on edelleen käytössään.
IS:n kokoamia ohjeita verkkohuijauksia vastaan
Älä mene verkkopalveluun hakukoneen tai vaikkapa sähköpostiin tai tekstiviestinä tulleen verkkolinkin kautta.
Etsi sähköposteista tai tekstiviesteistä epäilyttäviä yksityiskohtia, kuten väärin kirjoitettuja verkkotunnuksia, kirjoitusvirheitä, vääriä päivämääriä ja muita virheellisiä tietoja.
Kirjoita osoite itse selaimen osoiteriville ja huolehdi, että siinä ei ole kirjoitusvirheitä. Tallenna osoite selaimen kirjanmerkkeihin. Näin vältyt naputtelemasta sitä seuraavalla kerralla.
Jos mahdollista, käytä virallista mobiilisovellusta selaimessa toimivan verkkopalvelun sijaan. Esimerkiksi pankeilla ja Suomi.fi-palvelulla on tällaiset.
Pidä tunnukset omana tietonasi, äläkä syötä niitä sivustolle, jonka aitoudesta et voi varmistua.
Älä avaa pankin tai muun tahon nimissä lähetettyjä liitteitä, vaan varmista niiden aitous soittamalla nimetyn tahon asiakaspalveluun.
Jos jokin yllättävä taho pyytää sinua asentamaan laitteellesi ohjelman, älä tee niin. Käytä vain mobiililaitteesi virallista sovelluskauppaa.
Älä vahvista tapahtumia, joita et tunnista ja tiedä tekeväsi juuri sillä hetkellä. Lue vahvistuspyynnöt aina huolella ja kiinnitä huomiota etenkin siirrettävään rahasummaan – jos jokin ei täsmää, älä vahvista mitään.
Jos olet myymässä jotain, varmista maksun saapuminen tilille ennen tuotteen luovutusta. Toinen tapa on käyttää perinteistä käteistä.
Jos epäilet verkkopankkitunnustesi joutuneen vääriin käsiin, sulje tunnukset viipymättä soittamalla pankkiin. Tee rikosilmoitus poliisille vasta sen jälkeen. Tällä tavalla maksimoit mahdollisuutesi saada rahasi takaisin.
Varoita tuttujasi huijauksesta, vaikka et itse olisi joutunut uhriksi. Jos olet, on nimissäsi saatettu lähettää huijausviestejä esimerkiksi sähköpostistasi löytyville kontakteille.
Haaja kuuli myöhemmin, että sovelluksessa ilmeisesti luki nimenä teppo testaaja.
– Mutta eihän sitä lähtökohtaisesti ihan hirveän tarkkaan halua katsella toisen verkkopankkia, Haaja huomauttaa.
”On tämä noloa, etenkin pankille, jolta luulisi löytyvän ammattitaitoa turvallisuuspuolella.
Haaja ihmettelee, miksi tällainen sovellus ylipäätään pääsi julki siinä jamassa kuin se alun perin oli.
– On tämä noloa, etenkin pankille, jolta luulisi löytyvän ammattitaitoa turvallisuuspuolella, Haaja osoittaa Danskea.
Lue lisää: Vähän tunnettu hyökkäys vie rahat – selvä merkki puhelimessa paljastaa vaaran
Ensimmäisestä huijausyrityksestä Dansken esittelysovelluksella pankki kuuli vuonna 2020. Tämän jälkeen sovellukseen tehtiin yllä mainitut muutokset.
– Jotkut ovat huijaustarkoituksessa pitäneet vanhan version puhelimessaan, emmekä pysty valitettavasti heiltä sitä teknisesti poistamaan, sanoo Danske Bankin talousrikollisuuden torjunnan yksikön johtaja Sira Nieminen.
”Jotkut ovat huijaustarkoituksessa pitäneet vanhan version puhelimessaan, emmekä pysty valitettavasti heiltä sitä teknisesti poistamaan.
Mitä pankki on tehnyt estääkseen huijauksia?
– Suomi on ollut Danske Bankin maista ainoa, jossa sovelluksella huijauksia on yritetty ja valitettavasti myös onnistuttu tekemään. Pyrimme pankkina eri kanavissa ja asiakaskohtaamisissa muistuttamaan ja varoittelemaan huijauksista, Nieminen vastaa.
Niemisen mukaan esittelysovellusten tarkoituksena on mahdollistaa mobiilipankin käytön harjoittelu turvallisessa kokeiluympäristössä. Osa asiakkaista kun voi tuntea itsensä epävarmaksi ottaessaan käyttöön uutta tekniikkaa ja sovelluksia.
Epäselväksi jäi, miksi sovellus ylipäätään julkaistiin sen alkuperäisessä jamassa. Pankki ei kommentoinut kysymystä, oliko alkuperäisen sovelluksen julkaisu virhe.
Koetteko olevanne mitenkään vastuussa uhrien rahallisista menetyksistä?
– Sovelluksen testiversio on suunniteltu ja tuotettu muuhun, asianmukaiseen ja lailliseen käyttöön eikä pankki ole vastuussa tai korvausvelvollinen siitä, jos joku pyrkii käyttämään sitä rikollisiin tarkoituksiin, Nieminen sanoo.
Nieminen kehottaa kaikkia varmistamaan, että maksu on tullut tilille ennen kuin tuotetta luovutetaan ostajalle. Toinen tapa on käyttää perinteistä käteistä.
