Huijarit ovat viime vuosina jalostaneet tietoja kalastelevia hyökkäyksiään hyvällä suomella ja varsin uskottavilla huijaussivuilla. Kuitenkin perustapa, jolla potentiaalisia uhreja lähestytään, on edelleen usein tekstiviesti tai sähköposti, jossa on klikattava linkki.
Tällaisia viestejä lähettää myös Netsin omistama suuri maksupalvelija Paytrail. Tuusulalainen Eero, 67, sai tammikuun puolen välin jälkeen viestin, jossa luvattiin 100 euron maksunpalautus. Tätä varten piti mennä verkkosivulle, tunnistautua sähköisesti ja luovuttaa tilinumero.
– Valitettavasti myös legitiimit toimijat käyttävät vielä nykyäänkin tätä kyseenalaista yhteydenottotapaa sähköpostitse. Tällaisen viestin erottaminen huijausviestistä on tavalliselle pulliaiselle mahdotonta, arvostelee viestin vastaanottanut Eero.
– Itse uskalsin edetä asiassa ainoastaan sen takia, että olin tosiaan saamassa puheena olevasta verkkokaupasta kyseisen rahasumman palautuksena. Silti pieni epäilyksen siemen iti mielessä: olisiko huijari voinut jotain kautta saada tiedon tästä odotettavissa olleesta transaktiosta ja päässyt vetämään välistä?
Eero toivoo, että tämä yhteydenottotapa yksinkertaisesti kiellettäisiin. Hänestä maksunvälittäjät tulisi velvoittaa käyttämään ainoastaan sellaisia prosesseja, jotka eivät ainakaan nykytiedoilla altista huijauksille.
Eeron huoli on perusteltu, sillä taannoin Suomessa huijattiin juurikin lupaamalla ihmisille rahaa takaisin. Ihmisille lähetettiin väärää tekstiviestiä Verohallinnon nimissä.
Lue lisää: Varo huijausviestiä verottajan nimissä – voi johtaa erittäin ikäviin seurauksiin
Maksunvälittäjä Paytrail sanoo sähköpostitse lähetettävien viestien olevan toistaiseksi paras huonoista vaihtoehdoista. Yhtiö selittää olevansa nykyisin pankkien ja sääntelyn armoilla, mutta sanoo ymmärtävänsä sekaannuksen vaaran. Paytrail toimii verkkokaupan ja sieltä ostavan asiakkaan välissä,.
– Koettua ongelmaa ei olisi, jos saisimme maksun yhteydessä tiedon maksajan tilinumerosta tai pankki tarjoaisi open banking -rajapinnoissa automatisoidun palautustoiminnallisuuden. Toivoisimme, että asiat kehittyisivät tähän suuntaan, Paytrailin toimitusjohtaja Markus Laurio vastaa.
Paytrailin sähköpostissa on paljon samaa kuin huijareiden vastaavissa.
Syynä on osaltaan Euroopan unionin PSD2-maksupalveludirektiivi, johon pankkien tekniset rajapinnat nojaavat. Paytrail ei saa pankeista suoraan tietoa maksajan tilinumerosta, jolloin se pitää jollakin tavalla pyytää.
Rajapinnat eivät myöskään sisällä automatisoitua palautustoiminnallisuutta. Laurion mukaan maksua ei siis voi ”nappia painamalla” palauttaa takaisin maksajan tilille.
– Sähköposti kanavana on vaihtoehdoista loogisin verrattuna esimerkiksi puhelimeen, koska verkkokauppatilauksiin liittyvä muukin informaatio, kuten tilausvahvistus, toimitetaan annettuun sähköpostiosoitteeseen, Laurio selvittää.
”Sähköposti kanavana on vaihtoehdoista loogisin verrattuna esimerkiksi puhelimeen, koska verkkokauppatilauksiin liittyvä muukin informaatio, kuten tilausvahvistus, toimitetaan annettuun sähköpostiosoitteeseen.
Kun kauppias käynnistää palautuksen Paytrailin järjestelmän kautta, Paytrail lähettää tiedustelun tilinumerosta ostostapahtuman yhteydessä saatuun sähköpostiosoitteeseen – jos tilinumeroa ei saatu pankilta maksutapahtuman yhteydessä.
Tilinumero on vahvistettava vahvalla sähköisellä tunnistautumisella, kuten verkkopankkitunnuksilla, rahanpesun estämisen takia. Laurion mukaan ilman Paytrailia kauppiaiden pitäisi itse olla yhteydessä asiakkaisiinsa maksujen palautusta varten, mikä voisi tehdä prosessista hankalamman kaikille.
Toistaiseksi Paytrail jatkaa käytäntöään, jonka se huomauttaa olevan tyypillinen halki toimialan. Laurion mukaan tällaisten palautusviestien määrä vastaa yksittäisiä prosentteja kaikista käsitellyistä maksutapahtumista. Jos ja kun pankeilta saa aina tilinumeron, käytännöstä voidaan luopua.
Lue lisää: Vaikka HBO Maxin uutuussarja himottaisi, älä lankea huijaukseen – hinta 49,95 €/kk
Eero jää odottamaan muutosta. Hän huomauttaa olleensa yhteydessä verkkokauppaan ja antaneensa pankkiyhteystietonsa.
– On valitettavaa, että toiminnanharjoittaja ei tunnistanut prosessissaan mitään korjattavaa, vaikka osoitin heille yhtenevyydet huijausviestien kanssa. En ole niinkään huolissani omasta tietoturvastani (40 vuoden työura tietokoneita käyttäen auttaa jonkin verran), mutta suuri osa ikääntyneistä on todella haavoittuvassa asemassa, Eero pelkää.
”On valitettavaa, että toiminnanharjoittaja ei tunnistanut prosessissaan mitään korjattavaa, vaikka osoitin heille yhtenevyydet huijausviestien kanssa.
Laurio myöntää, että aitojen viestien erottaminen huijareiden vastaavista voi olla vaikeaa.
– Keskeisenä erona on toki se, että kuluttaja tietää, että rahaa on tulossa ja osaa usein odottaa Paytraililta tällaista viestiä, Laurio sanoo.
Tämäkään ei tosin ole aukoton suoja. Esimerkiksi Postin ja lähettipalveluiden nimissä tehtävät huijaukset onnistuvat juuri siksi, että uhri odottaa lähetystä.
Teoriassa asian voi tarkistaa avaamalla sähköpostin tarkat lähettäjätiedot, koska viestissä näkyvä lähettäjä voidaan väärentää. Esimerkiksi Gmailissa tulee avatun viestin oikeasta yläkulmasta klikata kolmea pistettä ja valita Näytä kokonaan. Tällä tavalla lähettäjän sähköpostiosoite varmistuu. Lähettäjätietojen lukeminen vaatii kuitenkin kohtuullista ymmärrystä, eikä sitä voi tavallisilta kuluttajilta edellyttää.
Linkin takana olevalta verkkosivuilla tulee tarkistaa ainakin selaimen osoiterivillä näkyvä osoite. Toisinaan väärät osoitteet ovat havaittavissa melko helposti, mutta eivät aina. Rikollisilla on usein tapana rekisteröidä käyttöönsä alkuperäistä muistuttavia verkko-osoitteita.
Paytraililla on 24/7-asiakaspalvelu myös kuluttajille. Jos joku henkilö epäilee saamansa viestin aitoutta, voi siitä olla yhteydessä asiakaspalveluun.
Paytrail ei ole ainoa organisaatio, jonka aidot viestit ovat haiskahtaneet huijaukselta. Myös Posti ja Liikenne- ja viestintävirasto Traficom ovat lähestyneet kuluttajia epäilyttävillä, mutta aidoilla viesteillä. Ne koskivat asiakaskyselyä sekä ajoneuvoveroa.
Lue lisää: Kommentti: ”Huijausviesti” olikin aito ilmoitus ajoneuvoverosta – nyt tärkeä raja ylittyi
Lue lisää: Posti lähetti tekstiviestin, joka on epäilyttävämpi kuin moni huijaus
IS:n kokoamia ohjeita verkkohuijauksia vastaan
Älä mene verkkopalveluun hakukoneen tai vaikkapa sähköpostiin tai tekstiviestinä tulleen verkkolinkin kautta.
Etsi sähköposteista tai tekstiviesteistä epäilyttäviä yksityiskohtia, kuten väärin kirjoitettuja verkkotunnuksia, kirjoitusvirheitä, vääriä päivämääriä ja muita virheellisiä tietoja.
Kirjoita osoite itse selaimen osoiteriville ja huolehdi, että siinä ei ole kirjoitusvirheitä. Tallenna osoite selaimen kirjanmerkkeihin. Näin vältyt naputtelemasta sitä seuraavalla kerralla.
Jos mahdollista, käytä virallista mobiilisovellusta selaimessa toimivan verkkopalvelun sijaan. Esimerkiksi pankeilla ja Suomi.fi-palvelulla on tällaiset.
Pidä tunnukset omana tietonasi, äläkä syötä niitä sivustolle, jonka aitoudesta et voi varmistua.
Älä avaa pankin tai muun tahon nimissä lähetettyjä liitteitä, vaan varmista niiden aitous soittamalla nimetyn tahon asiakaspalveluun.
Jos jokin yllättävä taho pyytää sinua asentamaan laitteellesi ohjelman, älä tee niin. Käytä vain mobiililaitteesi virallista sovelluskauppaa.
Älä vahvista tapahtumia, joita et tunnista ja tiedä tekeväsi juuri sillä hetkellä. Lue vahvistuspyynnöt aina huolella ja kiinnitä huomiota etenkin siirrettävään rahasummaan – jos jokin ei täsmää, älä vahvista mitään.
Jos olet myymässä jotain, varmista maksun saapuminen tilille ennen tuotteen luovutusta. Toinen tapa on käyttää perinteistä käteistä.
Jos epäilet verkkopankkitunnustesi joutuneen vääriin käsiin, sulje tunnukset viipymättä soittamalla pankkiin. Tee rikosilmoitus poliisille vasta sen jälkeen. Tällä tavalla maksimoit mahdollisuutesi saada rahasi takaisin.
Varoita tuttujasi huijauksesta, vaikka et itse olisi joutunut uhriksi. Jos olet, on nimissäsi saatettu lähettää huijausviestejä esimerkiksi sähköpostistasi löytyville kontakteille.
