Minulle soitti nyt lauantai-iltana eteläsuomalainen 72-vuotias nainen, joka oli tänään joutunut Microsoft huijauspuhelun uhriksi. Ymmärrettyään, mitä oli tapahtunut, hän oli soittanut pankkiin ja sulkenut tilinsä, mutta oli nyt huolissaan henkilötietojensa vuotamisesta ja kysyi neuvoja niiden suojaamiseen.
Huijarit saivat haluamansa, enkä usko että henkilötiedot heitä kiinnostavat. Se olikin sitten ainoa hyvä uutinen tässä tapauksessa.
Uhri osasi varoa Microsoft huijauspuheluita, koska oli saanut jo aiemmin epämääräisiä soittoja. Niissä hän löi luurin korvaan. Työuransa nainen oli tehnyt organisaatiossa, missä tottui käsittelemään suuriakin rahansiirtoja. Hän kertoi olevansa kokenut verkkopankin käyttäjä ja kuulosti kaikin puolin skarpilta.
Nimeä John Watson käyttänyt mies soitti +1 alkuisesta numerosta juuri, kun naisella oli ongelma tietokoneen kanssa. Onnettoman sattuman ansiosta nainen uskoi, että tällä kertaa soitto tuli oikeasti Microsoftilta Kaliforniasta.
Soitto katkesi välillä ja uudet soitot näyttivät tulevan kotimaan numeroista. Yhteensä puhelut kestivät lähes viisi tuntia. Niiden kuluessa huijarit asensivat uhrin koneelle TeamViewer-etäkäyttöohjelman, pääsivät naisen tilille ja saivat jopa kuvan hänen passistaan. Kun nainen lopussa alkoi epäillä ja sanoi soittavansa pankkiin, huijarit kielsivät tekemästä niin. Viimeisestään siinä vaiheessa uhri huomasi, että häntä oli jymäytetty.
Pankin päivystyksessä kävi ilmi, että huijarit olivat tyhjentäneet naisen tilit ja saaneet useita tuhansia euroja. Epäonnisen sattuman vuoksi kuun lopussa maksettava eläke oli tullut tilille eilen perjantaina. Huijarit olivat tyhjentäneet jopa säästötilin siirtämällä sen saldon ensin sisäisenä tilisiirtona toiselle tilille, mikä osoittaa heidän tunteneen Nordean pankkipalvelun ja ehkä jopa osanneen hieman suomea. Toisaalta Nordean pankkipalvelun kielen voi vaihtaa myös englanniksi.
Varastetut rahat oli muunnettu saman tien bitcoineksi ja siirretty eteenpäin, joten pankki ei pystynyt pysäyttämään rahansiirtoja kuten se olisi voinut tehdä, jos varoja olisi siirretty ulkomaisille tileille. Ilmeisesti huijarit olivat perustaneet naisen nimellä tilin johonkin kryptopörssiin ja tarvitsivat sitä varten valokuvan passista.
Huijari oli puhunut englantia, taustalta kuului intialaisten puhujien aksenttia. Nainen kuitenkin arveli, että Microsoftin puhelinpalvelu on Intiassa. Uskottava selitys sekin.
Tapaus on hyvä muistutus siitä, miten kokenutkin käyttäjä voi joutua Microsoft-huijauspuhelujen uhriksi. Jälkikäteen kuultuna on helppo moittia uhreja hyväuskoisuudesta, mutta tekijät ovat ammattilaisia ja osaavat esiintyä vakuuttavasti.
 |
| Huijarin jäljiltä Windowsin työpöydälle jäi TeamViewerin kuvake. |
Vaarassa ovat etenkin vanhemmat ihmiset, jotka ovat kyllä kuulleet huijaussoitoista, mutta uskovat edelleen vanhanaikaiseen asiakaspalveluun, jossa yrityksen edustaja oikeasti soittaisi kotiin ja auttaisi monen tunnin ajan asiakasta.
Suojaavia tekijöitä on oikeastaan vain kaksi: tyhjä tili tai kielitaidon puute.
Jos suojatekijöitä ei ole, tilille pitäisi saada asetettua rajoituksia, jotka estävät suurten rahamäärien siirtämisen kaikilla verukkeilla -- vaikka henkilö itse vahvistaisi ne tunnuksillaan. Hankala rasti, sillä jos rajoituksen voi itse asettaa, huijarit voivat myös poistaa sen käyttäjän puolesta.
Pankkitunnusten käyttö vahvaan todentamiseen pelaa huijarien pussiin. Tunnistaminen pitäisi erottaa pankkipalvelusta. Nykyinen käytäntö, jossa eri palvelut käyttävät pankkitunnuksia henkilöllisyyden tarkistamiseen, tarjoaa huijareille verukkeen tunnusten kysymiseen.
Tärkeintä olisi, että teleyhtiöt oikeasti tekisivät jotain näille numerohuijauksille. Suomalaisen operaattorin pitäisi pystyä tarkistamaan, tuleeko suomalaisen numeron puhelu oikeasti toisen suomalaisen operaattorin verkosta vai ei. Tämä estäisi kotimaisilla numeroilla huijaamisen. Jos tarkistus ei nykytekniikalla onnistu, tällaisen järjestelmän kehittäminen omin voimin ei voi olla mahdotonta, jos vain halua on. Nyt kaikki tuotekehitys tuntuu menevän mobiilipuolelle, koska siellä liikkuvat isommat rahat.
Täydellinen avuttomuus puhelinnumeroiden väärentämisen edessä uhkaa operaattorien bisnestä. Luottamus ja arvostus niitä kohtaan ovat jo mennyttä.
Ehdotus pankeille: jos käyttöliittymän voi vaihtaa englanninkieliseksi, asetus pitäisi lukkiintua niin, että sen voi vaihtaa vain puhelinsoitolla asiakaspalveluun tai vaihdossa tulisi olla esim. 24 tunnin varoaika.
Yksi niksi vielä: jos epäilet puhelun alkuperää, sano soittavasi takaisin näytöllä näkyvään numeroon. Jos soittaja ei hyväksy tätä tai soitto ei mene perille, näkyvä numero on väärennetty. Periaate on sama kuin sähköpostissa: lähettäjän paikalla näkyvä osoite on helppo väärentää, mutta jos siihen vastaa, viesti ei mene huijarille vaan näkyvään osoitteeseen.
Muokattu 6.3.2021
Lisäys 2.3.2021: John Watson soitti uhrille uudestaan. Normaalisti tällaista ei tapahdu, ilmeisesti tällä kerralla jokin huijauksessa meni pieleen. Watson sanoi, ettei hän ollut vienyt rahoja vaan sen olivat tehneet hakkerit. Hän halusi koneen id-numeron, mikä se sitten onkaan. Päivitän sivua, jos asiassa ilmenee vielä uusia käänteitä.
Lisäys 3.3.2021: Moni kritisoi huijausten uhreja huolimattomiksi tai osaamattomiksi. Mutta eivät pankkien tunnistuspalvelutkaan aivan ongelmattomia ole. Viimeksi tänään hieraisin silmiäni, kun kirjauduin palveluun pankkitunnuksilla (yleensä käytän mobiilivarmennetta), ja Nordean tunnuslukusovellus kertoi minun kirjautuvan Osuuspankkiin.
 Nordean tunnuksilla Osuuspankin kautta palveluun. |
Olisi hyvä tiedottaa, koska asiakkaita kehotetaan puheluhuijarien vuoksi tarkkaavaisuuteen ja varovaisuuteen. Samalla voi pohtia, onko näytön yläreunassa näkyvä teksti riittävä kertomaan, mitä oikeasti on tapahtumassa, jos käyttäjän huomio on keskittynyt vain rutiininomaisesti pin-koodin syöttämiseen näytön alareunan painikkeilla.
