Viime aikoina on tullut vastaan monia sivuja, jotka on kopioitu Omavero, Omakanta tai Kelan sivuista johonkin kansainväliseen domain-osoitteeseen. Kun sivun kautta kirjautuu, kysytään pankkitunnistuksen tiedot. Suomalainen erikoisuus -- pankkitunnuksilla viranomaispalveluihin -- muodostaa tässä ylimääräisen riskin. Varsinkaan mobiililaitteen näytöllä osoiteriviin ei tule kiinnittäneeksi tarpeeksi huomiota ja vähän sinne päinkin oleva osoite menee läpi.
Tässä www.suomi-omavero.net näyttää aivan Omaverolta, joskin kirjautumissivulla on vain kolme pankkia:
Kirjautuminen huijaussivun kautta on vaarallista |
Erikoinen yksityiskohta liittyy mobiilivarmenteeseen. Sen kalastelusta ei ole hyötyä rikollisille. Huijauksen voikin usein tunnistaa siitä, että mobiilivarmenne ei ole vaihtoehtona tai ainakaan se ei hiirellä klikattaessa tee mitään.
Domain-rekisterien tiedot ovat julkisia, joskin GDPR-aikana henkilötiedot on peitetty ja rikolliset ovat jo aiemmin käyttäneet välikäsiä oikeiden yhteystietojen piilottamiseen. Domain-nimen välittäjän tiedot kuitenkin näkyvät. Olen muutaman kerran lähettänyt sähköpostilla ilmoituksen abuse@<välittäjä>, ja joskus sivu on jopa hävinnyt.
Yleensä ei kuitenkaan tapahdu mitään, tai sitten välittäjä alkaa pyytää lisätodisteita siitä, että brändiä on loukattu. Ei ole ajateltu jonkun väärentävän viranomaisten sivuja. Tällaisen lisätietopyynnön lähetti suomi-omavero.net domainin välittänyt ownregistrar.com:
Lisätietopyyntö |
Olin ilmoittanut, että sivu on kopio Suomen verottajan sivusta ja tarjonnut siihen linkin, joten väärennös oli helppo havaita vaikka suomea ei ymmärtäisikään.
En lähtenyt todistamaan, että Omaveron brändiä on loukattu, eikä se olisi minulle ollut edes mahdollista. Yön aikana suomi-omavero.net sisältö oli yllättäen muuttunut feikki-uutissivustoksi (tunnistautumisen alasivu oli kuitenkin yhä olemassa). Näin domain saadaan pidettyä valmiina seuraavaa huijauskampanjaa varten.
Feikki-uutissivusto |
Uutissivusto on feikki, sillä uutiset on kopioitu eri lehdistä (mm. Länsi-Savo, MTV...) ja ne ovat viime vuodelta - kuitenkin sivustolla niihin on laitettu tämän vuoden elokuun päiväys. Ne ovat siis uutisia tulevaisuudesta.
Kansalaisia on neuvottu ilmoittamaan poliisille, kyberturvallisuuskeskukselle sekä asianomaisille viranomaisille havaitsemistaan verkkovaaroista. Jos poliisi tai KTK vaatisi huijauksen lopettamista domainin välittäjältä, sillä olisi enemmän vaikusta kuin rivikansalaisten viesteillä. Tähän ei kuitenkaan ole resursseja, joten huijaussivuista on turha ilmoittaa poliisille. Ilmoitus Kelaan, Verottajalle, Kantaan tai pankille yleensä tuottaa tulosta, sillä niiden tietoturvaosastoilla on oma lehmä ojassa. (Katso myös lisäystä tekstin lopussa)
Toisaalta domain-nimet tulevat ja menevät, joten vaarallisuuden aikaikkuna on kapea. Huijauskampanjat ovat lyhytkestoisia; domainit on yleensä avattu vasta päivää tai paria aikaisemmin. Sivut voivat jäädä elämään verkkoon kampanjan loputtua, mutta vaikka niihin syöttäisi tunnuksensa, mitään ei tapahdu.
Asia on hankala myös domain-välittäjän kannalta. Kukaan ulkomailla ei voi tietää, mitä "suomi-omavero" tarkoittaa. Kerran ostetun ja maksetun domainin sulkeminen on juridisesti vaikeaa, koska se vaatisi todisteita sopimusrikkomuksesta tai laittomasta toiminnasta. Pelkän nimen osalta kyseeseen tulee lähinnä tavaramerkkirikos. Ja näitä kaikkia pitäisi tulkita kaiketi välittäjän maan mukaan (usein näkyy olleen Hollanti tai Saksa, EU-maita sentään).
Jos sivun sisältöä muutetaan, sivun laittomuus katoaa. Pelkkä osoite suomi-omavero.net ei riko mitään lakeja, eikä sitä voi vaatia poistettavaksi. Feikit uutiset voivat toki olla tekijänoikeusrikkomuksia ja disinformaatiota.
Miten siis toimia? Jos törmäät netissä viranomaisten tai pankkien valesivuun, ilmoita siitä aidon sivun suomalaiseen ylläpitoon ja unohda sen jälkeen koko juttu. Tärkeintä on, että itse pysyt tarkkana ja luet osoiterivin aina huolellisesti ennen käyttöä.
Lisäys klo 15: Kyberturvallisuuskeskus ilmoitti Twitterissä: Moi, huijauksista tai haitallisista sivustoista on hyvä aina ilmoittaa viranomaisille. Teemme Kyberturvallisuuskeskuksessa päivittäin alasajopyyntöjä erilaisille sivustoille internetissä. Pääsääntöisesti tekemämme alasajopyynnöt tuottavat hedelmää.
Ilmoitus kannattaa jättää tällä lomakkeella: https://www.kyberturvallisuuskeskus.fi/fi/ilmoita
Lisäys klo 21: "Uutissivusto" on poistunut ja tilalla on taas kalastelusivu.
Suomi-omavero.net on taas huijauskäytössä |
Kirjautumissivu vie aidon näköiseen Nordean sivuun. Vain osoiterivin tutkiminen paljastaa huijauksen:
Nordean kirjautumisen huijaussivu. |
Lisäys 28.6.2023: Tällä kertaa domain-välittäjä perui domainin ilmoitusteni perusteella, kun ei saanut yhteyttä varaajaan.
"We have suspended the domain" - great! |
Nyt osoite suomi-omavero.net antaa enää virheilmoituksen, kuten pitääkin. Seuraavaa huijausta odotellessa.
10 kommenttia:
Väitteesi, että huijaussivujen lopettamisen pyyntöön ei olisi resursseja, on täysin perusteeton ja väärässä. Huijaussivujen alasajoa vaaditaan päivittäin useilta palveluntarjoajilta ja sivustoja näiden pyyntöjen perusteella myös poistetaan. Voisit kaksi kertaa miettiä, ennen kuin kirjoittelet aiheesta josta et mitään tiedä.
Selvä, kiitos tiedosta. Asia ei ole ihan yksinkertainen, kuten esim. tapaus suomi-omavero.net osoittaa.
Pankkitunnuksien vaatiminen yleisesti vaikka mihin on ihan älytön turvallisuusriski. Joku muu keino käyttöön!
Täysin tarpeettomia nämä 16.6 anonyymin Järviseen osoittamat loukkaukset. Vaikka henkilö olisi joskus väärässä, niin tylytyksillä ei koskaan saavuteta mitään rakentavaa. Järvinen on tehnyt jo vuosikausia erittäin tärkeää työtä suomalaisten tietoturvatietoisuuden lisäämiseksi. Suuret kiitokset siitä!
Aiemmat kokemukset huijaussivuista ovat osoittaneet, että usein ne saavat pyöriä netissä kuukausien ajan. Olen kertonut näistä esimerkkejä mm. Twitterissä. Nyt asiaan on saatu KTK:n kanta, ja se on hyvä.
Mobiilivarmenne on yllättävän hyvä identifiointiväline ja se kannattaa ottaa käyttöön vähintään varalle mutta myös ihan pääasialliseksi tunnistusmetodiksi. Käyttöliittymä on fiksumpi kuin pankkien systeemeissä. Mutta tässä taas ollaan siinä asiassa jännän äärellä, ettei nämäkään asiat Suomessa oikein suju. Digitaaliset palvelut henkilötunnistusta myöten on nakitettu pankeille ja puhelinoperaattoreille. Ruotsissa on juuri tullut käyttöön sähköiset henkilöllisyyden tunnistukset sun mobiiliappsi henkilökortti herkut, jotka nekin on junnannut Suomessa ikuisuuden. Taas kerran, sellainen pohjolan japani. Surkeaa touhua täällä.
Miten sen Domain-nimen välittäjän saa etsittyä niistä huijaussivuston tiedoista?
Asianomaisesta domain-nimirekisteristä löytyy. Suomen tapauksessa fi-rekisteri on Traficomin palvelussa.
Kiitos.
Ainakin tällaisia tapauksia tullut vastaan:
1) Huijarit tosiaan käyttää hyväkseen sitä, että selaimen osoiterivi (alku tai loppu) ei näy kokonaan, varsinkaan kännykän pienessä ruudussa.
2) Jos lukee sähköpostinsa tietokoneella HTML-muotoisena, selain voi näyttää linkin vihjeenä minkä tekstin tahansa. Jopa Google-hakutulokset asetuksilla Javascript ON/OFF, näyttää aivan erilaiset linkit.
4) Yhtenä kikkana huijareilla toimii myös se, että sarjatuotantona subdomainit tai hostien nimet pyörimään:
nordea0001.suomi-nordea.com
nordea0002.suomi-nordea.com
nordea0003.suomi-nordea.com
5) Olen törmännyt myös sellaisiin virityksiin, että huijaussivusto näyttää eri maista tuleville käyttäjille eri sivut. Siis tekeytymällä VPN:n kanssa "tanskalaiseksi" ei lataudukaan suomalaista pankkisivustoa vaan tanskankielinen vastaava versio.
Siitähän varoitellaan, että meistä jokainen menee joskus vipuun. Tuomiopäivää odotellessa...
Lähetä kommentti