maanantai 7. helmikuuta 2022

Turkkilainen Facebook-huijari joutui huijatuksi - isketään takaisin

Nettikäyttäjien asema on kurja. Huijauksia tulee oikealta ja vasemmalta, eikä niille voi tehdä mitään. Poliisi ei tutki tapauksia ja kaikki on oman tarkkaavaisuuden varassa. Ei tämän näin pitäisi olla. 

Miksi emme maksaisi samalla mitalla ja iskisi takaisin? 

Aamulla sain taas kerran "Voitko antaa minulle matkapuhelinnumerosi?" -Facebook-huijauksen:

Tästä se taas alkaa.

Tällä kertaa päätin kokeilla nöyrän uhrin sijaan jotain uutta. Vastasin myöntävästi ja lähetin puhelinnumeroni:

Lähdetään mukaan huijaukseen.

Kului jonkin aikaa ja puhelimeen tuli nelinumeroinen Microsoftin tunnistuskoodi. Huijaus toimii siis edelleen, eikä Facebook välitä suodattaa huijausviestejä, vaikka se oli teknisesti hyvin helppoa. Mutta kuten Frances Haugen sanoi, Facebook ei viitsi tuhlata rahaa muiden kuin yhdysvaltalaisten suojaamiseen (ZDNet: Facebook gives non-US users less protection from harmful content to save money).

Turkinkielinen Microsoft-ilmoitus paljastaa huijauksen.

Koodi tulee Microsoftilta, mutta saateteksti on turkkia ja ilmoittaa, että "Tämä on Microsoft-koodisi". Huijarin kotimaasta ei ole epäselvyyttä. Syötin Facebookin Messengeriin tietenkin ihan väärän koodin. Jos tässä vaiheessa syöttää oikean koodin, Facebook-tili kaapataan ja sitä käytetään uusien uhrien huijaamiseen. 

Väärä koodi huijarille. 

Taisi olla onnenpäiväni, sillä vääräkin koodi antoi 4050 euron voiton:

Voitto tuli väärälläkin koodilla!

Viimeistään tässä vaiheessa on selvää, että huijaus on varsin työläs - se sitoo huijarin koneen ääreen ja pakottaa tämän käyttämään ahkerasti Googlen käännöskonetta (ellei apuna sitten ole paikallisia suomalaisia).

Huijari tuntee ilmeisen hyvin suomalaiset verkkopankit, koska se osasi kysyä suomeksi pankin nimen ja pyytää käyttäjätunnusta:

Mikä on pankin käyttäjätunnuksesi?

Annoin tähänkin väärän numeron: 

"Odottaa hyväksyntääsi"

Kiusasin huijaria väittämällä, ettei mitään kuitattavaa siirtoa ole näkyvissä. Lopulta hän halusi varmistaa, olinko kirjoittanut numeron oikein. Oli aika viheltää peli poikki.

"Luulen, että olet turkkilainen huijari" - klik.

Olisin halunnut nähdä kaverin ilmeen, kun hän huomaa käyttäneensä aikaa uhriin ja tajuaa tulleensa itse vedätetyksi. Olisin toivonut, että hän olisi avautunut huijausten toimivuudesta, mutta huijari pisti linjan poikki sen kummemmin selittämättä. Olipa tyly kaveri.

Ja nyt se opetus.

Entä, jos ottaisimme tavaksi huijata huijareita, maksaa potut pottuina? Syöttäisimme aina kalastelulomakkeisiin keksittyjä käyttäjätunnuksia ja salasanoja, tilinumeroita ja koodeja. Nykyiset välimieshyökkäykset vaativat huijareilta henkilökohtaista läsnäoloa ja ne vievät aikaa. Näitä ei voi automatisoida vanhojen kalastelujen tai pornokiristyskirjeiden tavoin.

Muutama sana luottokorteista. Satunnaiset numerot eivät enää kelpaa, kalastelusivu hyväksyy vain tarkistusnumeron osalta täsmääviä kortteja. Niitä voi kuitenkin generoida helposti esimerkiksi sivulla https://ccgen.datagemba.com/credit-card-generator/Finland. Kun numero on muodollisesti oikea, huijari joutuu testaamaan sen ja pin-koodin toimivuuden oikeassa verkkokaupassa, mikä lisää hänen työmääräänsä. Lisäksi toistuvat virheveloitukset saattavat laukaista hälytyksen kaupassa tai kortin myöntäneessä pankissa.

Tässä tapauksessa olisin voinut lisätä huijarin tuskaa vastaamalla hyvin hitaasti ja leikkimällä tyhmää, etten muka tietäisi mikä meni pieleen. Se olisi sitonut huijarin huomion pitkäksi aikaa. Ensimmäisen ja toisen viestin välissä kului kolme tuntia, minkä ajan huijari ilmeisesti työsti muita huijauksia. Vuorovaikutteiseen osuuteen kului molemmilta tunti, mutta omat viestit pystyy ajoittamaan sopiviin hetkiin, mikä vain lisää huijarin harmitusta. Microsoft-tukipuheluissa voisi teeskennellä tyhmää ja jättää linjan auki, jotta aikaa kuluu mahdollisimman paljon.

Jos riittävän moni suomalainen toimisi näin, sana voisi levitä ja huijarit oppisivat karttamaan suomalaisia uhreja tietäen, että huijarien huijaaminen on maan tapa.

Lopuksi varoituksen sana: huijaamisessa on omat riskinsä, eikä sitä kannata tehdä ellei tiedä, mihin on ryhtymässä. Väärien tietojen syöttäminen voi jossain tapauksissa olla vastoin lakia. Aina voi tosin vedota näppihäiriöön, eivätkä huijarit tule Suomeen vaatimaan oikeutta itselleen.

Sekin on mahdollista, että puhelinnumeroni päätyy huijarin kostona häirikkösoittajille tai muihin huijauksiin. Valitettavasti tämä huijaus ei toimi ilman oikeaa puhelinnumeroa, joten otin riskin.

Jotain pitäisi kuitenkin tehdä. Emme voi aina kääntää toista poskea ja olla kilttejä uhreja.

Lisäys klo 21.30: Huijari tekee pitkää päivää. Illalla tuli vielä saman uhrin kaapatulta Instagram-tililtä uusi houkuttelu. 

Instagram: "Voitko antaa minulle matkapuhelinnumerosi?"

Vastakysymys on jäänyt roikkumaan, ilmeisesti huijari pyörittää rinnakkain monia muitakin istuntoja. Jos vastaa, annan tällä kertaa toisen puhelinnumeron, jotta ei tunnista osuneensa uudelleen samaan uhriin.

Hyvä kuitenkin muistaa, että samaa huijausta levitetään myös Instagramissa.

17 kommenttia:

Anonyymi kirjoitti...

Ongelma tuossa huijarin vedättämisessä on että siihen menee itseltäkin työaikaa. Minulle on tullut muutaman kerran puheluita "Microsoftin tuesta". Valitettavasti ovat aina soittaneet toimistoaikaan tai muuten huonolla hetkellä niin ei ole voinut ottaa itselleen halpaa hupia vaan on pitänyt keskittyä töihin.

Pitäisi olla jokin helppo keino välittää puhelu/viestinvaihto jollekin huijarinvedätysrobotille. https://www.rescam.org/ on hyvä alku ja onhan robokilleriä ja vastaavaa, mutta sellaista ylivoimaista ykkössovellusta ei taida olla. Eikä varmasti suomen/turkinkielistä.

Jukka Niiranen kirjoitti...

Olen käyttänyt samaa jo vuosia, omaa aikaa siihen menee ja puoliso ei aina ymmärrä miten jaksan. Mulla on ajatus ette se aika on muiden huijaamisesta pois.

Petteri Järvinen kirjoitti...

Totta, se vie aikaa - mutta uhrilla on etulyöntiasema, koska huijari joutuu odottamaan hänen vastaustaan, ei päinvastoin. Uhri voi pitää huijausta elossa aina, kun siihen on sopiva väli.

Ehkä tämä on toivotonta, mutta jotain kannattaa yrittää. Toisen posken kääntäminen ja kärsiminen kaikessa hiljaisuudessa on kohtuutonta.

Anonyymi kirjoitti...

Huijarit tietävät että myös heitä yritetään huijata. Heille riittänee että yksi sadasta uhrista on todellinen.

Youtubessa on (englanninkielisiä) videoita joissa huijareita pidetään puhelimessa aika kauankin. Aika pitkään he jaksavat puhua vaikka puhelun edistyessä on selvää että on enää 0,0001% mahdollisuus että uhri on tosissaan.

Anonyymi kirjoitti...

Eikai se huijari mitään vastausta joudu odottamaan, luultavasti käy useita huijaus-chattejä samaan aikaan. Tai etsii uusia uhreja samalla, kun odottaa vastaustasi.

Uskoisin muutenkin, että oma aikani on huomattavasti arvokkaampaa kuin huijarin. Luultavasti ovat palkollisia, jotka saavat pienen provikan onnistuneesta huijauksesta. Tuskin nämä alimman tason suorittajat pääsevät kovin isoille tuntipalkoille.

Anonyymi kirjoitti...

Tässähän sitä oli tekoälylle oiva käyttökohde eli huijata huijareita.

Jatkossa huijarin tekoäly vastaan huijattavan tekoäly.

Anonyymi kirjoitti...

En usko, että näille Matti Meikäläinen pärjää. Mieli tekisi iskeä takaisin, mutta ainakin itselle paras "vastaisku" on vaieta tai muuten "ghostata".

Jos rupean näitten kanssa leikkimään oikeilla puhelinnumeroilla, tilinumeroilla ja salasanoilla, taidan olla turhan ylimielinen.

Markus kirjoitti...

Itselläni on käytössä prepaid-numero, jota käytän kaiken maailman hämärissä yhteydenotoissa, joissa en halua oikeaa puhelinnumeroani käyttää - ainakaan aluksi. Numeroa en ole rekisteröinyt mihinkään, joten kyseisen numeron kaivelullakaan ei löydy tietoa kuka liittymää käyttää ja missä. Samoin kyseinen prepaid-liittymä on hurjan kätevä ja halpa "mökki-netti-liittymä" läppärissä. Siinä kun ei ole juoksevaa kuukausimaksua ollenkaan ja vuorokauden data maksaa sen euron per alkava tavu mutta käyttöä kuitenkaan ei ole kovinkaan paljoa, joten saldo ei ehdi kulumaan loppuun vuodenkaan aikana. Ainoa kustannus on kymmenen euroa vuodessa latausta. Tämän kaltaisissa kuvioissa tuollainen on turvallinen vaihtoehto.

Samoin itselläni on myös roska-sähköposti-osoite. En käytä oman domainin sähköpostia samaisesta syystä kuin puhelinnumeroakaan, jos on pienestikin epäilyttävä taho. Kuitenkin roska-sähköposti-osoitekin on katu-uskottava microsoftin outlook-osoite. Eli itse osoitteen muodosta ei voi päätellä sen oleven "kertakäyttöinen hämäysosoite".

Nykyisin täytyy olla hurjan varovainen kaikessa ja se on oikeasti jo aika raskasta.

Anonyymi kirjoitti...

Näin tehdään vastahuijaus tyylillä, ottakaahan mallia: https://media.riemurasia.net/albumit/m27035/wz.pdf

Anonyymi kirjoitti...

Syksyllä vastailin 4 kertaa +441133283100 numeroon (loppuosa muuttui aina). Odotin puhelua vastaavanlaisesta numerosta.
Joku intialainen se soitteli ja loputa vastasin että "Fuck you muslim shit. Your mother fucking with a camel".

No sen jälkeen tuli viikon ja 10 minuutin välein soittoja mitä ihmeellisimmistä numeroista. Ei ehkä olisi kannattanut :D Mutta olipa ihanaa että suuttui.

Petteri Järvinen kirjoitti...

Alatyylistä kieltä ei kannata käyttää, eikä kytkeä Intiaa muslimeihin tai kameleihin.

Anonyymi kirjoitti...

Kun Petteri tapaa amerikkalaisen he tulevat automaattisesti huijatuksi: luulevat Petteriä näyttelijä Sam Neill:iksi (Jurassic Park). O

Anonyymi kirjoitti...

Alatyylistä ja loukkaavaa kieltä käyttäen kaikki, myös suomalaiset mainos/myyntipuhelut sekä vastaavat, ovat loppuneet kuin seinään. Vuosien ajalta tämä ja monen kokemana ja toteuttamana.

Anonyymi kirjoitti...

Miksi ei mukamas alatyylistä kieltä kannata käyttää, tuolla puhelun saa loppumaan tehokkaasti jos ei halua iskeä takaisin. Itselleni opsec on jo puhtaasti elämäntapa, joten en koe nykyistä varovaisuuden ilmapiiriä raskaana, kuten joku ylempänä kommenteissa asian ilmaisi. Vai tekevätkö tuollaiset kaverit syytteen kunnianloukkauksesta suomen poliisille kun huijattava vähän vittuili :D

Anonyymi kirjoitti...

Traficom on julkaissut suosituksia huijausoittojen estämiseksi

https://www.traficom.fi/fi/ajankohtaista/suositus-teleoperaattoreille-keinoista-kansainvalisten-huijaussoittojen-estamiseksi

Anonyymi kirjoitti...

Minulle tuli microsoft-tukipuhelu. Tekeydyin tyhmäksi. Kaveri kysyi muutaman kerran kohteliaasti, että "sir, are you kidding me". Jatkoin yhteensä noin 10 min pelleilyä. Lopputulos oli, että huijari katkaisi puhelun toteamalla "fuck you mothefucka and stop wasting my time!".

Anonyymi kirjoitti...

Thanks for sharing this great information. Would love to read more from you.
Best Gynecologist in Jabalpur
Skin Specialist in Jabalpur