tiistai 19. joulukuuta 2023

Tietoturva: isketään takaisin

Vuoden 2023 ensimmäisellä puoliskolla suomalaiset menettivät verkkorikollisille 20 miljoonaa euroa. Summa on suuri, mutta ei näytä johtavan sen kummempiin toimenpiteisiin. Viranomaiset tyytyvät vain toistamaan tuttuja varoituksia tietoturvan tärkeydestä.

Verkko on ainoa paikka, jossa rikollisuutta pidetään melkeinpä luonnollisena. Siellä nyt vain sattuu olemaan huijareita, joten jokaisen täytyy itse huolehtia itsestään. 

Takavuosina raiskaajat pääsivät pienillä tuomioilla, ellei uhri vastustellut riittävästi. Uhrin katsottiin jopa provosoineen tekijää pukeutumalla tai käyttäytymällä kevytmielisesti.

Noista ajoista asenteet ovat onneksi muuttuneet, mutta verkkorikoksissa uhrien syyllistäminen jatkuu edelleen. Mitäs olit niin tyhmä ja hyväuskoinen? Mikset katsonut osoitetta tarkemmin? Mikset päivittänyt ohjelmaasi ajoissa?


Tietoturvassa on tapana kääntää kiltisti toinenkin poski. It-ala noudattaa Raamatun oppia paremmin kuin kirkko itse.

Posken kääntämisen taustalla on näkemys siitä, että taistelu kansainvälistä verkkorikollisuutta vastaan on toivotonta resurssien haaskausta. Sitä se voi ollakin, mutta kyse on myös asenteista.

Joitakin verkkohuijauksia voisi selvittää käyttämällä tavanomaiseen poliisityöhön kuuluvaa peitetoimintaa. Poliisi esittäisi helppoa uhria ja lähtisi mukaan huijaukseen.

Esimerkiksi sakkomaksua vaativat kiristäjät ilmoittavat jo ensimmäisessä vastauksessaan tilinumeron, johon rahat tulee maksaa. Tiedän, koska olen itse kokeillut. Tilinumeron perusteella pääsisi kiinni rahavirtoihin ja voisi ehkä jäljittää tekijät.

Kaikki tämä vaatisi tietenkin kansainvälistä yhteistyötä, mutta EU näyttää olevan kiinnostuneempi kansalaistensa henkilötietojen kuin heidän rahojensa suojaamisesta.


Entä jos me käyttäjät ryhtyisimme itse vastarintaan? Ehkä huijarien keskuudessa alkaisi kiertää sana, ettei fi-osoitteisiin kannata lähettää huijauksia, koska sieltä annetaan samalla mitalla takaisin.

Asia on juridisesti hankala, joten en rohkaise ketään rikkomaan lakia. Voin vain teoretisoida, miten se tapahtuisi.

Vastaanottaja voisi teeskennellä tyhmää ja työllistää huijaria väärillä vastauksilla ja hölmöillä kysymyksillä. Suureen massaan perustuvat huijaukset romahtavat, jos turhat yritykset vievät liikaa aikaa.

Erityisen tehokkaasti vastarinta puree Facebookissa. Olen vastannut moneen ”Voitko antaa matkapuhelinnumerosi?”-kyselyyn ja vedättänyt huijaria, kunnes tämä on tajunnut menneensä ansaan ja kiroten sulkenut yhteyden.

Oikeaa puhelinnumeroa ei kannata antaa huijarille, mutta sitä varten voi hankkia prepaid-liittymän. 

Lähes kaikki Facebook-huijarit ovat olleet Turkista. Eräs kertoi jopa onnistuneiden huijaustensa määrän ja taloudellisen tuoton, ennen kuin pisti linjan poikki. Güle güle – hyvästi!


Onneksi on positiivistakin kehitystä. Ulkomailta tulevat huijauspuhelut kiusasivat meitä vuosien ajan. Huijarit saivat asennettua etäkäyttöohjelman ja tyhjensivät uhrin tilit.

Operaattorit valittivat, etteivät voi ongelmalle mitään, sillä soitot tulevat nettipuheluina. Esto olisi vaatinut kansainvälistä yhteistyötä niin, että ketjun jokainen operaattori tarkistaisi välittämiensä tilaajatietojen aitouden.

Toukokuussa 2022 Traficom kuitenkin antoi määräyksen numero 28, joka velvoitti operaattorit estämään soittajan numeron väärentäminen. Lokakuun alusta 2023 esto alkoi koskea myös matkapuhelimia – ja kas, huijaussoitot loppuivat kuin veitsellä leikaten.

Traficomin uusin määräys kohdistuu tekstiviesteihin. Suurten toimijoiden on rekisteröitävä numeronsa ja tekstitunnuksensa, jotta huijausviestit eivät enää mene aitojen POSTI- ja VERO-viestien joukkoon.

Luulisi, että tämä yksinkertainen määräys on helppo toteuttaa, koska suuria toimijoita on vähän ja sms-viestien lähetys puheluita paremmin kotimaisten operaattorien kontrollissa.

Ainoa kysymys on, miksei näitä kahta asiaa tehty jo vuosia sitten. Miksi tyydyimme vain kääntämään poskea?

Julkaistu alun perin Tivi-lehden kolumnina marraskuussa 2023.

---

Muutama lisäys kolumnin alkuperäiseen tekstiin. Huijareita voi kiusata klikkaamalla tahallaan kalastelusivuja ja syöttämällä niihin aidon näköisiä verkkopankkitunnuksia. Itse pyrin myös vastaamaan kaikkiin Whatsapp-huijauksiin.

"Moi isä, mun puhelin meni rikki" - ihan varmaan...

Harmi kyllä tämäkään huijari ei enää reagoinut pari tuntia lähettämänsä viestin jälkeen. Olisi pitänyt ehtiä vastaamaan nopeammin, mutta olin videopalaverissa.

---

Kommentoin Iltalehdessä, että Vastaamon toimitusjohtajan olisi kannattanut suostua kiristäjän vaatimuksiin ja maksaa 360 000 euron lunnaat. Kantani herätti runsaasti pahaa verta it-ammattilaisissa, eikä ihme, sillä se on kaikkien turvaoppien vastaista.

Lähtökohtaisesti kiristäjän vaatimuksiin ei koskaan pidä suostua. Kiristäjä on rikollinen, jonka lupauksiin ei ole luottamista. Hän saattaa jatkossa vaatia lisää rahaa tai julkaista tiedot maksamisesta huolimatta. Jos kukaan ei maksaisi, kiristykset muuttuisivat kannattamattomiksi ja loppuisivat.

Suomessa vakuutusyhtiöt eivät sentään korvaa lunnasrahoja, koska vakuutusehdot kieltävät niiden käytön rikolliseen toimintaan. Ulkomailta tällaisiakin vakuutuksia voi hankkia, mutta niissä vakuutusmaksut ovat ihan toista luokkaa kuin kotimaisissa kybervakuutuksissa.

Kirjoituspöydän takana suhtautuminen kiristykseen on yksinkertaista ja helppoa. Elämä useinkaan ei ole. Tässä nimenomaisessa tapauksessa yli 30 000 uhrin näkökulma on helppo unohtaa vetoamalla yleiseen periaatteeseen. 

Vastaamon tapaus aiheutti tuhansille ihmisille valtavan henkisen vahingon. Seurauksena oli tiettävästi itsemurhia, ahdistusta ja vuosia jatkuvia identiteettivarkauksia. Lisäksi se rapautti laajemminkin uskoa mielenterveyspalveluihin. 

Voi ainakin pohtia mitä olisi tapahtunut, jos kiristäjlle olisi maksettu. Ehkä kiristäjä olisikin tyytynyt saamiinsa rahoihin? Mikä tahansa muu lopputulos olisi ollut uhrien kannalta parempi kuin se, mikä nyt tapahtui.

Kaikki tämä on tietenkin spekulointia. Kiristäjä olisi voinut rahat saatuaan vaatia Vastaamon uudelta omistajalta lisää rahaa tai ryhtyä kiristämään suoraan myös uhreja. Heidän kiristämisensä oli epätoivoinen temppu, sillä tuhansien uhrien kanssa asiointi on työlästä ja hankalaa, eikä tyypillisellä uhrilla edes ole varaa maksaa.

On selvää, ettei poliisi voi (juuri) koskaan neuvoa suostumaan kiristykseen. Sen on viran puolesta pakko vetää tiukkaa linjaa. Luultavasti tässä tapauksessa kaikki laskivat sen varaan, ettei kiristäjä toteuta uhkaustaan, mutta joutuivat yllättymään kiristäjän julmuudesta.

Mieleen tulee muutamia tapauksia, joissa suomalaisia on maailmalla kidnapattu ja sitten vapautettu lunnaita vastaan. Virallisesti Suomen valtio ei ole suostunut kiristykseen, mutta on luultavasti vaikuttanut kulisseissa.

Seppo Fränti ja Risto Vahanen kidnapattiin Sipadanin lomasaarella Malesiassa pääsiäisenä 2000. He viettivät vankeudessa 140 päivää. Sissit kuljettivat heidät Jolon saarelle Filippiineille, mistä he pääsivät vapaaksi syyskuussa. Ilmeisesti rahat tulivat Libyan Gaddafilta.

Atte ja Leila Kaleva kaapattiin joulukuussa 2012 Jemenissä. Atte Kaleva oli ääri-islamista väitöskirjaa tehnyt puolustusvoimien upseeri, mitä kaappaajat eivät onneksi tienneet. Puolustusvoimat oli yrittänyt estää Kalevan matkan, koska seutu tiedettiin vaaralliseksi. Puolen vuoden kuluttua Kalevan pariskunta vapautettiin ilmeisesti Omanin sultaanin maksettua kolmesta henkilöstä 15 miljoonan dollarin lunnaat. Yhden vapauden hinnaksi tuli siis viisi miljoonaa dollaria.

Fräntin, Vahasen ja Kalevan tapaukset erosivat Vastaamosta siinä, ettei psykiatripalveluita käyttäneillä uhreilla ollut aavistustakaan vaarasta eikä mitään osuutta tapahtumainkulkuun. Jälkikäteisessä arvioinnissa heidät on ohitettu kokonaan, koska potilaskertomukset ja henkilötiedot ovat niin arkaluonteisia.

Lunnassumma olisi ollut noin 10 euroa uhria kohti. Jos se olisi estänyt yhdenkin itsemurhan, olisiko kannattanut? Silti tätä vaihtoehtoa ei saisi edes ääneen mainita. It-rikoksissa uhrin asema on todellakin huono.

3 kommenttia:

Anonyymi kirjoitti...

Minä ilmiannan hostille aina kaikki vastaan tulevat pankkien ja somepaleluiden tunnuksia kalastelevat sivustot, ja kaikki ovat menneet kiinni jopa tunneissa. Kyberturvallisuuskeskuksen, vaikka hyvää työtä tekeekin, kautta sivustojen sulkemiseen menee liian kauan aikaa.

Joskus kaivelen tarkemmin näitä sivustoja ja etsin niistä heikkouksia. Eräs sivusto tarjosi php-pohjaisen webkäyttöliittymän. Sieltä pääsi poistamaan ne kalastelulomakkeet joten sivuston kautta ei enää sen jälkeen pystynyt keräämään yhtään tunnuksia. Nykyään kuitenkin moni sivusto tallentaan tiedot tietokantaan eikä sivustolla ole muuta kuin pelkkä html-lomake.

Kannustan jokaista osaavaa henkilöä ilmiantamaan vastaan tulevat huijaus- ja kalastelusivustot. Petteri, voisit edesauttaa tätä julkaisemalla ohjeen miten näiden ilmiantaminen tapahtuu.

Anonyymi kirjoitti...

Suomen Datapummit toivovat hyvää Joulua. Nyt lähdetään porukalla generoimaan liikennettä että saavat viranomaiset tutkia. Hyvää Datapummijoulua sinne kaikille.

Tony kirjoitti...

Siis se kaveri joka oli omistaja ennen myyntiä ja tietoinen että kaverilla on nuo datat jo ollut aiemmin olisi tietenkin silmää räpäyttämättä maksaa tuo summa sen jälkeen kun oli myynyt firman, rahaa oli paljon ja menetettävää joten olisi voinut vaatia että saat enemmän käteisenä kunhan tuot datat koneella ja siirrät ne hänelle niin että kaikki kuvataan ja sitten poistetaan ja kiristäjä olisi suostunut tod.näk. koska kiristettävä oli häviämässä luokkaa 10miljoonaa ja saamassa petostuomiot,rahanmenetykset ja maineensa menetyksen eli ei pelkoa laulamisesta kummankaan osalta... Liian ahne jos ei voi omaisuudestaan antaa paria pros pois pelastaakseen muut ennenkaikkea ja plussana itsensä rahat,maineen ja puhtaan rekisterin... Luulisi noin älykkäiden ihmisten osaavan vähän käyttää mielikuvitusta!