tiistai 1. helmikuuta 2022

Nettihuijausten erottaminen yhä vaikeampaa, mutta eri syystä kuin ennen

Nettihuijausten tunnistaminen on tullut yhä vaikeammaksi, mutta syynä ei ole huijausten kehittyminen vaan aitojen sivujen huonontuminen. Viime aikoina on tullut vastaan monia esimerkkejä sivuista, jotka näyttävät huijauksilta, mutta ovat (ilmeisesti) aitoja. Niiden kohdalla joudun itsekin pohtimaan, uskaltaako sivua käyttää.

Tuttu sai sähköpostia vakuutusyhtiöltä, joka älypuhelimella katsottuna näytti klassiselta huijausviestiltä. Siinä oli jopa linkki op.fi-sivulle, vaikka tiedetään että vakuutusyhtiöt ja pankit eivät koskaan houkuttele ihmisiä sivuilleen sähköpostiviesteillä. Eikä vastaanottaja edes ollut kyseisen vakuutusyhtiön asiakas.

Onko tämä viesti aito?

Mustan palkin alle jää Y-tunnus, joka näyttää vastaanottajan silmissä epäilyttävältä. Jokin virhe siinä oli sattunut, mutta huijauksesta ei ollut kyse. "Linkki" oli vain kehotus vierailla sivulla op.fi, jonka mobiililaitteen sähköposti oli itse muuttanut linkiksi. Sen tökkääminen sormella vei tosiaan sivulle op.fi, mikä oli täysin vaaratonta, mutta epäilyttävää. Lähettäjien ei siis kannata laittaa sähköposteihin url-osoitteita, jotka lukuohjelma tunnistaa ja muuttaa automaattisesti linkeiksi.

Toinen esimerkki oli Moi-operaattorin sivu, johon piti päivittää maksukortin tiedot. Operaattori lähetti sähköpostilla viestin "Tarvittaessa voit vaihtaa veloitettavan maksukortin toiseen Mun Moissa. Kortin vaihto löytyy Omat tiedot -sivulta." Menin siis päivittämään uuden kortin tiedot.

Moi näyttää aivan kalastelusivulta.

Sivu näyttää erittäin epäilyttävältä. Luottokortin tiedot kysytään yksinkertaisella lomakkeella, jossa on englanninkielistä tekstiä. En suosittelisi ketään kirjoittamaan luottokorttitietoja tähän.

Ilmeisesti sivu kuitenkin oli aito operaattorin sivu. Tietojen jälkeen se halusi veloittaa 0,10 euroa tililtä. Tästäkään ei annettu mitään varoitusta eikä perusteltu, miksi veloitus tehdään. Maksu piti vahvistaa pankkitunnuksilla ja sen jälkeen näytölle tuli vain tyhjä sivu, aivan kuin käyttäjä olisi mennyt halpaan ja erehtynyt juuri antamaan tietonsa huijareille.

Kolmas tapaus on www.kilpailu.fi-sivusto, joka muistuttaa erehdyttävästi huijausta. Tekstiviestillä tulee ensin kutsu osallistua kilpailuun:

Onko tämä aito?

Kilpailusivulla on kaikki vaaran merkit, jopa sekunteja alaspäin mittaava laskuri. 

Onko tämä aito?

Kuvassa näkyy Joulupukin tiedot, joita aina käytän huijaussivuilla. Ilmeisesti tässä kerätään yhteystietoja markkinointiin, sillä seuraavalla sivulla kysytään henkilötiedot.

Kerro henkilötietosi.

Sivuston mukaan kyse on nettikilpailuista, joiden palkintopotti katetaan sponsorien avulla, jotka kysyvät osallistujilta erilaisia kulutustottumuksiin liittyviä kysymyksiä. 

Käynnissä olevat kilpailut.

Voittajien nimet näkyvät omalla sivullaan, mahtavatko olla todellisia - kuka tietää?

Viimeisimpiä voittajia.

Tietosuoja-sivun mukaan palvelun taustalla on helsinkiläinen LeadSpark Oy ("Asiakashankinnan ammattilainen"), joka tarjoaa "yksityishenkilöille verkon välityksellä markkinointikyselyitä ja -tutkimuksia sekä erilaisia markkinointiarpajaisia sekä kilpailuja". 

Toiminta muistuttaa erehdyttävästi nettihuijauksia ja tilausansoja, joita tekstiviesteillä ja sähköpostilla levitetään. Aitojen huijausten tunnistaminen ei ole helppoa!

Jokaisen palvelutuottajan kannattaisi miettiä, miltä oma palvelu näyttää vastaanottajan silmin katsottuna. Ihmisistä on koulutettu varovaisia, ja jos palvelu näyttää huijaukselta, se kolahtaa omaan nilkkaan.

15 kommenttia:

Anonyymi kirjoitti...

Pienen summan kuten 0.10 euron tai dollarin veloitus on aika yleinen tapa testata, että uusi kortti on toimiva ennen kun sitä voi käyttää ja kortin tiedot talletetaan joko säännönmukaisia ostoja tai yhden klikkauksen ostoja varten.

Veloitettu summa joko palautetaan onnistuneen maksun jälkeen tai se vähennetään seuraavasta ostoksesta.

Paypal mm. on käyttänyt tätä tapaa pitkään. Ja muistaakseni siinä piti vielä poimia joku merkkijono sitten siitä veloituksesta ja syöttää sinne heidän palveluun, jotta kortti aktivoitui ja he sitten palauttivat veloituksen.

Oman kortin viime rekisteröinnistä on niin pitkä aika, etten enää muista varmasti. Ja taisipa tosiaan Moi:n palvelussakin olla, mutta en sitä enää muista kun siitä on niin kauan.

Joka tapauksessa ihan hyvä ja asiallinen tapa toimia ja kortin saa nopeammin voimaan kun, että odottaisi sitä kun luottoyhtiö tilittää rahan veloituksesta maksun saajalle.

Anonyymi kirjoitti...

... jatko.

Mutta siitä olen täysin samaa mieltä, että sekavat käytännöt palveluissa epäilyttävät ja haparointi viestinnässä osoittaa ettei sitä tekevien taidot ole luottamuksellisen viestinnän edellyttämällä tasolla.

Petteri Järvinen kirjoitti...

Minä tiedän, että pieni veloitus on yleinen tapa, mutta peruskäyttäjä ei tiedä, eikä Moi mitenkään selittänyt, miksi veloitus tehdään. Ulkomaisissa palveluissa on aina kerrottu etukäteen, mikä on testiveloituksen merkitys ja miten se hyvitetään. Siksi Moin palvelu oli vähintäänkin hämmentävä.

Tavallisen kansalaisen taivallus nettipalveluissa käy yhä epävarmemmaksi. Huijaukset kehittyvät ja laillisissa palveluissa on yhä enemmän huijaukselta näyttäviä.

Anonyymi kirjoitti...

OK, olisin varmasti jättänyt turhaan kommentoimatta veloituksen syytä, mikäli olisit jotenkin viitannut sen todelliseen syyhyn. Moitit vain syyn puutetta ja sitä teknistä toteutusta muilta osin, joka jos se kuvaamallasi tavalla toimii on huonosti tehty.

Voi olla, että sivun tekijät tai sen speksanneet tilaajat, ovat sen verran nuorta ikäluokkaa, että heidän viiteryhmässään tietoa pidetään ehkä itsestään selvänä ja on siksi jätetty tarpeettomana pois. Kun Moi tuli markkinoille kohderyhmä oli nuorekkaat menevät ihmiset. Myöhemmin sitten asiakaskunnan ikähaitari on laajentunut eikä sitä ehkä osata ottaa siellä palvelua tehtäessä riittävästi huomioon.

Sinun kannattaa antaa Moille palautetta, koska tämän blogin kautta tieto heille ei kuitenkaan ehkä välity.

Muuten sitten web-sivujen toteutusten ja selkeyden ongelmaan on varmasti monia syitä, eikä vähiten seuraavat:

- Paljon sivustojen uudistuksia tehdään ulkonäkösyistä, pitää vain saada uudistaa jotta on uutta ja ne jotka niitä sivuja työkseen tuijottavat sivut alkavat näyttää vanhoilta nopeammin kun vähemmän niitä katsoville asiakkaille.

- Toteutusvälinenden sekamelska, ennakoiodaan ja valitaan uusinta uutta jotta oltasiin ajanmukaisia ja päästään paukuttelemaan henskeleita, että meilläpäs onkin jo tehty sillä ja sillä uudella välineellä -- ja maksetaan sitten nenän kautta hintaa kun tekijöille väline on uusi ja tuotos on kökkö. Ja sitten toistetaan näitä virheitä kerta toisen jälkeen.

- Ulkoistetuissa toteutuksissa se mistä päivän hesari kirjoitti tänään ”Alan tapa on, että kilpailutukseen laitetaan huippuosaajien cv:t, ja sitten harjoittelijat tekevät työt.”. Tämä onnistuu helposti, jos ei ymmärretä teetää asioita niin, että toteuttajat toimivat asiakkaan tiloissa ja työnjohdon alaisuudessa. Lopputuloksen laatu on sitten siitä kiinni kuinka osaavia ne projektin ajaksi ulkoa palkatut resurssit tai harjoittelijat ovat. Tilaamisen, määrittelyn ja projektien johtaminen on usein heikoissa kantimissa.

Muitakin syitä varmaan on, mutta nämä tulivat nyt ensimmäisenä mieleen.

ps. Enkä siis puolustele näissä tekijöitä tai tilaajia. Sen verran olen näitä sivusta nähnyt, että vaikutelma on että asiat ovat vuosi vuodelta menneet huonompaan suuntaan kiireen lisääntyessä.


Anonyymi kirjoitti...

"Sinun kannattaa antaa Moille palautetta, koska tämän blogin kautta tieto heille ei kuitenkaan ehkä välity."

Petteri Järvinen käyttää ja tallettaa blogissakin esilletuomiaan havaintoja digitaalitekniikan sudenkuopista työarkistoihinsa, kirjojensa pohjatyöhön ja luentoihinsa.

Moi ja muut yritykset voivat tilata Petteriltä koulutuspaketin.

Zarr kirjoitti...

Samaa sarjaa on ihan työmeileissä. Vuosien mittaan tulee vähän väliä tällaisia "älkää kliksutelko linkkejä"-valistuksia. Sit tulee joku random viesti - esimerkiksi ulkoisen tahon suorittama ilmapiirikysely tai vaikka joku ilmoittautuminen pikkujouluihin jossa ulkoasu on epämääräisyyden multihuipentuma. Sitten ihmetellään kun oli niin alhainen vastausprosentti...

Questbackin kyselylinkkeihin nykyään kai jopa vastaillaan..

Petteri Järvinen kirjoitti...

Sehän on hyvä, jos vastausprosentti on silloin alhainen - oppi on mennyt perille. Tulee samalla testattua tietoturvataso : -)

Jossain olen Suomessakin aiemmin nähnyt, että pientä veloitusta käytetään luottokortin aitouden varmistamiseen. Silloin asia oli selitetty, koska käytäntö on Suomessa vieras. Se on myös riski, koska henkilöllisyyden tai täysi-ikäisyyden todistamisen verukkeella luottokorttitietoja voidaan pyytää myös huijaustarkoituksissa.

Moin tapauksessa riskiä ei ole, koska veloitus vahvistetaan pankkitunnuksilla, mutta asiaa tuntematon varmaan ihmettelee, mitä tässä tapahtui. Kun isot operaattorit ovat nostaneet hintojaan ja painottavat markkinoinnissa mobiilidatan nopeutta, moni vanhempi ihminen ja vähemmän puhuva on siirtynyt halvempiin Moi-liittymiin. Siksi itsepalvelun helppokäyttöisyyteen pitää kiinnittää huomiota.

Luottokorttitietojen kysymislomake on luultavasti kopioitu jostain 90-luvun sivulta. Jokainen nuori koodari osaisi tehdä paremman.

Markus kirjoitti...

Pienessä maksusuorituksessa on myös toinen miina, jota ei ole mainittu.

Pieni suoritus aluksi hämää uhria luulemaan, että se on pelkkä kortin tarkistaja. Mutta todellisuudessa pieni maksusumma toimii "kaupanvahvistajana". Eli osoittaa sinun sitoutuneen jonkin sortin sopimukseen. Se sopimus sitten jätetään joko kertomatta, tai sitten se kerrotaan kyllä, mutta ne on pienellä präntättynä sielä käyttöehdoissa tai vastaavassa liturgiassa, jota uhri ei tietystikään lue.

Sitten jonkin ajan kuluttua alkaa mennä niitä "viisikymppisiä" joka kuukausi tasaiseen tahtiin ja uhri ei mitenkään pysty asiaa estämään kun on joko sitoutunut jonkinlaiseen määräaikaiseen aikaan tai kuukausimaksulliseen palveluun johon ei ole yhteystietoja. Ainoa kikka päästä maksuista eroon on kuolettaa koko pankkikortti.

Näihin huijauksiin perustui ne muinaiset "Voitit iPhonen" ja sitten pitää maksaa jokin euron toimitusmaksu tai vastaavaa. Se ei siis ollut sattumaa että aina piti se pieni veloitus tehdä. Useimmiten euron suuruinen.

Teemu kirjoitti...

Meinasimpa itseki mennä halpaan. Odotin pankista sopimusten allekirjoituslinkkiä. Ten jotain muuta samalla ja huomasin, että postiin oli tullut pankista viesti. Napsautin linkkiä ja tuli varoitus "Epäilyttävä linkki: Haitalliset sähköpostit linkittävät usein tälle sivustolle. Haluatko varmasti siirtyä sivustolle e-klimatherm.nl?".
Linkin teksti oli siis ihan "oikea" mutta kohde vain täysin väärä, pankin turvapostin näköinen kuitenkin. Pankkikin, tai mistä viestiä väitti olevan peräisin, oli eri mutta kiireessä ja huomion ollessa kiinnittynyt muualle saattaa mennä halpaan.

Anonyymi kirjoitti...

Iltalehdessä oli juttu jossa puhuttiin kortin numeron arvaamisesta väsytyshyökkäyksellä:

https://www.iltalehti.fi/digiuutiset/a/301a0ea5-cfb9-4c40-8234-9d2aee2c6188

Omaa korttiani yritettiin käyttää tuntemattomaan ostokseen vaikka kyseessä oli varakortti, jota en käyttänyt missään.

Petteri Järvinen kirjoitti...

Kiinnostavaa. Mikä kortti oli kyseessä - Visa, MC, Amex, pankkikortti...?

Teemu: kokenutkin käyttäjä voi mennä halpaan, jos huijausviesti saapuu juuri sopivaan aikaan, on kiire tai huomio kiinnittyy muualle.

Anonyymi kirjoitti...

Valheellista maksua yritettiin suomalaisen pankin Visa Debit -kortilta. Maksu ei mennyt läpi koska internet-käyttö oli estetty.

Minulla on käytössä myös ulkomaisia internet-pankkeja. Niissä korttimaksuista tulee mobiilisovellukseen viesti, joka pitää vielä erikseen hyväksyä.

Ainakaan minä en ole huomannut että suomalaisten pankkien korttimaksuja pitäisi mitenkään kuitata, vaikka sitä kai vaatii joku lakikin. Tuo taitaa myös olla ainoa mahdollisuus tehdä nykyisestä korttimaksujärjestelmästä toimiva kun uusia maksuja voi ilmestyö tyhjästä.

Anonyymi kirjoitti...

Yleisradion Brysselin kone -ohjelmassa (audio) Euroopan hybridiosaamiskeskuksen Haavoittuvuudet ja resilienssi -verkoston johtaja Jukka Savolainen phuu hieman myös siitä, mitä huijaukset kansallisesti keskeisiin järjestelmiin (esim. sähkönjakelu, maksuliikenne) voivat aiheuttaa, siis silloin kun jokin muu valtio on tunkeutunut järjestelnään.

https://areena.yle.fi/audio/1-1517763

Teemu kirjoitti...

OP:n viimeisimmässä näkemässä viestissa taisi olla osoite välilyönnillä ja kehoitus poistaa välilyäönti siitä. Eli ehkä oppi on mennyt perille.

Teemu kirjoitti...

Ja näiltä palvelimilta ne sitten ajavat noita sivuja maailmalle:

Google: "SFTP into your app's web root directory to replace this file and upload your own files."

No en tiedä mutta jotain suurta on ehkä odotettavissa.