"Miljardivoitot ja nollavastuu eivät sovi yhteen - EU vetää alustajättejä vastuuseen huijausten mahdollistamisesta", otsikoi Finanssiala viime perjantaina tiedotteensa. Ja toden totta - on kestämätöntä, että sosiaalisen median yritykset voivat ilman seurauksia julkaista huijausmainoksia, joihin uskoneet asiakkaat menettävät rahansa.
Reuters uutisoi äskettäin Metan sisäisistä tiedoista, joiden mukaan jopa 10 prosenttia sen vuonna 2024 myymistä mainoksista liittyi huijauksiin ja muihin epäilyttäviin toimiin. Taloudellisesti Meta hyötyi huijauksista jopa 16 miljardia dollaria.
Ei ihme, ettei jättämilläsi ilmiannoilla tunnu olevan mitään vaikutusta. Samat huijaukset pyörivät Facebookissa vuodesta toiseen. Vaikka yritys seuraa tarkasti käyttäjiään ja tuntee heidät läpikotaisin, se tuntuu aivan kädettömältä estämään samojen mainosten ilmestymistä yhä uudelleen ja uudelleen.
"Miljardivoitot ja nollavastuu eivät sovi yhteen" on osuvampi otsikko kuin tiedotteen laatija ehkä huomasikaan. Sama pätee nimittäin Finanssialan omiin jäseniin eli pankkeihin. Niilläkin tuntuu olevan nollavastuu huijauksista, sillä onnistuneet huijaukset voi melkein aina vierittää asiakkaan törkeän huolimattomuuden piikkiin.
Euroopan neuvosto ja parlamentti ilmoittivat 27.11.2025 päässeensä alustavaan sopuun uudesta maksamisen sääntelystä (Payment Services Regulation), minkä yhteydessä vanha PSD2 korvataan uudella PSD3:lla. Pankkien vastuu huijausten havaitsemisesta lisääntyy varsinkin tapauksissa, joissa uhrille on soitettu työntekijän tai viranomaisen nimissä. Pankeille suunnitellaan myös velvollisuutta kertoa havaitsemistaan uhkista muille pankeille, siis päinvastoin kuin nyt.
Ymmärrettävästä syystä Finanssialan tiedote ei mainitse pankkeja koskevasta osuudesta mitään, onhan kyse alan etujärjestöstä.
Finanssialaa valvoo Suomessa Finanssivalvonta. Sillä on töissä vajaat 300 ihmistä, jotka valvovat 1177 yritystä tai rahoitusalan toimijaa. FiVan toimintavaltuudet ovat kuitenkin hyvin rajalliset. Se itse voi antaa vain suosituksia, joiden noudattaminen on pankkien omassa harkinnassa.
Tällä hetkellä suosituksena on, että pankit tarjoavat asiakkaiden tilisiirtoihin kerta- ja vuorokausimääräiset ylärajat, mutta tätäkään suositusta kaikki pankit eivät vielä ole noudattaneet. Suositus ei auttaisi rosvoihin, jotka saavat tilin haltuunsa tai huijaavat uhria itseään siirtämään rahat, joten sen merkitys on joka tapauksessa vähäinen.
Taitaa olla myös niin, että tilille päässyt rosvo voi perustaa uuden tilin, ja sitä eivät koske aiemmat rajoitukset. Sen jälkeen hän siirtää rahat vanhoilta tileiltä tälle uudelle (ei vaadi todennusta, koska sisäinen tilisiirto) ja lopulta sitten ulos itselleen. Tässäkään skenaariossa siirtorajoilla ei ole merkitystä.
FiVan järeämmät oikeudet rajoittuvat niiden säädösten valvontaan, joita eduskunta ja EU ovat asettaneet. Toistaiseksi niitä on melko vähän, koska globaali pankkiasiakkaiden huijausbisnes on niin uutta. FiVa ei voi itse antaa pakottavia määräyksiä. Tästäkin syystä PSD3 tuo huomattavan parannuksen.
"Nyt vastuuta palautuu sinne, missä on myös vaikutusmahdollisuuksia", toteaa Ahosniemi tiedotteessa digijäteistä.
Juuri niin. Pankkien asiakkaat kiittävät.
Pikaista parannusta on silti turha odottaa. Lopullista tekstiä odotetaan 2026 keväällä ja sen jälkeen alkaa jopa parin vuoden mittainen siirtymävaihe. Jos huijaussoitot ja mobiilipankin aktivointi rosvon laitteessa onnistutaan vuoteen 2028 mennessä estämään, rosvoille jää runsaasti aikaa keksiä uusia temppuja.
15 kommenttia:
Itsellä ainakin sisäinen (omien tilien välillä) siirto OP:n vaatii mobiilitunnuksen. Lieneekö tuollainen oletusarvo?
Ei pitäisi vaatia. Siitä on jokin eu-tason linjauskin. Mutta hyvä jos vaatii, Nordealla ei vaadi.
Rajoistahan ei ole hyötyä, koska kun huijarit saavat sen verkkopankin asennettua, he poistavat ensitöikseen ne rajat. Vastuun siirtäminen on ainoa keino. Toiseksi mikä on finanssivalvonnan puolueettomuus. Minusta tuntuu suosivan pankkeja päätöksissä.
Tarkoitat ehkä FINEä (Vakuutus- ja rahoitusneuvonta), joka antaa lausuntoja riitatapauksissa? Se ei ole pankkien puolella, mutta noudattaa suosituksissaan nykyistä laintulkintaa, joka on pankeille edullinen. FINE ei voi itse korjata perusvirheitä. Lisäksi sen ratkaisut ovat vain suosituksia eivätkä estä asiakasta viemästä kiistaa oikeuden ratkaistavaksi.
Taas leviää eilen illalla rekisteröidystä vero-viesti.fi domainista huijausposteja ja domain edelleen aktiivinen.
$ date
Thu 4 Dec 09:37:28 EET 2025
$ whois vero-viesti.fi
domain.............: vero-viesti.fi
status.............: Registered
created............: 3.12.2025 22:01:40
expires............: 3.12.2026 22:01:40
available..........: 3.1.2027 22:01:40
RegistryLock.......: no
Nameservers
nserver............: ns2.dns-parking.com [Technical check not done]
nserver............: ns1.dns-parking.com [Technical check not done]
DNSSEC
dnssec.............: no
Holder
holder.............: Private person
Registrar
registrar..........: Realtime Register B.V.
www................: https://www.realtimeregister.com/
>>> Last update of WHOIS database: 4.12.2025 9:33:29 (EET) <<<
Copyright (c) Finnish Transport and Communications Agency Traficom
Puolen tunnin päästä ollut aktiivinen jo puoli vuorokautta (12h).
Ei tunnu olevan mikään erityinen kiire näitä yrittää poistaa. Traficomilla ei ole edes sivuilla huijaukista vinkin antamista varten hyviä ohjeita.
Heillä on kullä ihan lomake jolla näitä voi ilmoittaa. Tosin tätä ei ehkä tarvitse, kun se on suljettu.
Joo, ottivat pois nimipalvelimet siitä domainista. Joten uusien kalasteluviestien lähettäminen vaikeutuu taas hetkeksi. Mutta ne mitä on ehditty lähettää ja jotka on vastaantottajien postilaatikoissa, niiden kalastelulinkit toimivat edelleen. Huijarit ovat oppineet, että niitä ei kannata tuohon samaan domainiin laittaa.
Katsoin sitä saapunutta kalastelu viestiä. HTML-muotoillun sähköpostissa on useita viittauksia suomalaisten yritysten verkkosivuihin, joista nämä huijarit 'lainaavat' aitoja elementtejä, joilla saavat viestit näyttämään mahdollisimman aidoilta.
Alla löytyneet URL viittaukset.
https://res.info.lahitapiola.fi/res/lahitap_mid_prod1/spacer.gif
https://t.info.lahitapiola.fi/r/?id=3Dh11590270,7a0636=8,1"
https://uutiskirje.vero.fi/a/s/213162239-054a14924eb903462a7175429c5e6ef4/6215580"
https://vero.fi/static/img/logos/logo-vero-v2023.svg
https://www.lianatech.fi/media/layout/mailer/powered-by-liana.png
Kaksi asiaa tuli nyt ensimmäisenä mieleen, mietittäväksi näiden viittauksien organisaatioiden tietoturva väelle.
1) Heillä näkyy näitä viittauksia lokeissa, joten ehkä huijarien lähettämien viestien ja myös viittaukista lokeissa näkyvistä Referer -kentistä voisi ehkä yrittää tehdä profilointia ja ansa-lankoja, jotka voivat hälyttää poikkeamista.
Liikenne mitä web-palvelun lokeissa näkyy poikkeaa melko varmasti normaaleista heidän sivuillaan käyvistä ja heidän omien itse lähettäminen sähköpostien aiheuttamista. Huijarit käyttävät vain muutamia elementtejä, ei sitä kaikkea mitä heidän omissa viesteissä on. Omissa kampanjoissa usein käytettävät uniikit viitteet nyt ainakin puuttuvat jos ei muu herätä huomiota.
Vaihtoehtoisesti:
2) Mikäli he tietävät sen kuten yleensä, miltä sivuilta ja sisällöstä näihin heidän omille sivuille viittaukset tulevat, siis minkälainen on Referer -kentän URL:n alkuosan oltava, niin he voisivat estää niiden lataamisen muilta kuin heidän omilta sivuiltaan ja sisällöstä jota he itse jakavat.
Jompi kumpi on täysin mahdollista tehdä. Alla esimerkki miten Referer kenttää voi käyttää aktiivisesti hyväksi.
Erään työnantajani palveluksessa toimiessani meidän oli pakko käytännössä ryhtyä 2) vaihtoehdon käyttöön kun joku ääliö teki GeoCities palveluun kotisivu -templaten, jossa ns. tiled elementtinä taustakuvan viitattiin meidän palvelimelta oleva kuva ja sen templaten käyttö lisääntyi todella nopeasti. Siitä on pitkä aika, jo vuosikymmeniä. Mutta se on hyvä esimerkki mitä voi käydä ja johon olisi syytä osata varautua. Päivittäiset liikennemäärät olivat järkyttäviä. Ja kasvoivat muutamasta miljoonasta kymmeniin miljooniin ja alkoivat lähestyä jo sataa miljoonaa ennen kuin ongelma ratkesi. GeoCities ylläpitoon ei saatu yhteyttä ja asia piti osata ratkaista jotenkin itse.
Ensin tehty pelkkä latauksen kieltäminen ei toiminut, pelkistä viittauksista tuli edelleen järkyttävä määrä liikennettä. Parin päivän seurannan jälkeen vaihdoimme taktiikka, etsimme julkisesta isosta kuva pankista jenkki-standardein NSFW ruokottoman kuvan ja teimme web-palvelimen rewrite modulilla tarkistuksen, että jos Referer kentässä ei ole meidän organisaation URL viittaus, niin palautamme URL-viittauksen joka antaa lataajan selaimelle Redirect viittauksen tuohon NSFW-kuvaan.
Seurasimme tilannetta ja hetkeen ei tapahtunut mitään, mutta sitten lataukset putosivat jyrkästi ja liikennettä haittaava ongelma oli ohi vuorokaudessa. Tämä järjestely mitä oli tehty poistettiin vasta seuraavan järjestelmän päivityksen yhteydessä. Vastaavia yhtä isoja ei tapahtunut jatkossa, mutta muutamassa pienemmässä tämä jälkimmäinen keino korjasi ongelman aina hyvin nopeasti kun joku kuva-elementti sillä suojattiin.
Web-palveluita ylläpitävien pitäisi yrittää hieman skarpata, eikä vain tyytyä valittamaan 'että ei me voida tehdä tälle mitään'. Kyllä he voivat. Vaatikaa niiltä teidän web-sivujenne tekniikkaa hoitavilta ratkaisuja, joilla voitte puolustautua väärinkäytöltä.
Ette ehkä voi ohjata käyttäjiä enää NSFW-kuviin, se huono idea viestinnällisesti nykypäivänä. Mutta voitte ohjata jollekin sivulle jossa on järkyttävän iso STOP-merkki joka kyllä kiinnittää huomion eikä estää resurssienne hyödyntämisen väärinkäyttöihin.
Tämä voisi olla vaihtoehto, mutta asia on päätöstentekijöiden kannalta liian vaikea ymmärtää joten sitä ei käytetä.
Tämän voi myös kiertää kopioimalla ne kuvat ja käyttämällä niitä paikalliselta palvelimelta.
Tämä voisi olla vaihtoehto, mutta asia on päätöstentekijöiden kannalta liian vaikea ymmärtää joten sitä ei käytetä.
Osuit kommentillasi erittäin hyvin digitaalisen transformaation myötä kasvavaan ongelmaan, josta harvemmin keskustelua kuulee.
Päätöksenteko on nyt viety monista tietoteknisten palveluita koskevista asioista niin ylös, ettei siellä enää ole kompetenssia ymmärtää teknisistä vaihtoehdoista, joita olisi käytettävissä ja tuotanto (tekniikka) voisi käyttää. Mutta kun yhteistä kieltä ymmärrettävästi ei tahdo löytyä niin päädytään tekemään välttämätön minimi ja vain toivomaan parasta.
Sanonta "Nobody gets fired for buying IBM" ei ole syntynyt aiheetta.
Tämän voi myös kiertää kopioimalla ne kuvat ja käyttämällä niitä paikalliselta palvelimelta.
Toki voi kiertää helposti, mutta vaihtoetoja ovat.
a) ei tehdä mitään ja päädytään avustamaan viittausten resurssien sallimisella huijareita
tai
b) estetään käyttö, eikä avusteta omilla resursseilla huijauksissa.
tai
c) yritetään katsoa ja analysoida Refrerer kenttien viittauksia ja käytetään niitä välineinä löytää ja saada tietoa meneillään olevia huijauksia omien tai mahdollisesti tietoturvan yhteisön kautta välittää tietoa myös muille, ehkä myös vinkkeinä vastuullisille viranomaisille.
Päätös siitä mitä tehdään on tietysti jokaisen tahon oma, jota on ehkä syytä miettiä hetken ainakin.
Ja miltä se mihin päätyy näyttäytyy sitten toisille jos ja kun asia nousee julkisesti esille. Se on asia jota yleensäkin kaikessa tekemisessä kannattaisi useamman aina välillä pysähtyä miettimään omien tekemisten osalta.
Referer-ideaa olen itsekin ehdottanut pankeille, voisiko siitä kehittää jotain turvallisuuden parantamiseksi?
Cert-fi (Traficom) reagoi kiitettävän nopeasti ilmoituksiin valesivuista, mutta lain nojalla heillä ei ole mahdollisuutta ennakkotarkistuksiin. Nähdäkseni tätä tulisi muuttaa. Turvallisuus on tärkeämpää kuin nopeus. Turvallisuus olisi paras fi-domainien myyntivaltti ulkomaillakin, ei varaamisen helppous.
Verkkopankeissa pitäisi oletuksena olla ettei TOR-verkosta voi tehdä siirtoja ja VPN:lläkin tehdyt yli 500 euron siirrot olisi viivästetty.
Hyvä pointti, toteutuksesta voisivat kysyä neuvoa Yleltä (koska Areena).
"Joo, ottivat pois nimipalvelimet siitä domainista. Joten uusien kalasteluviestien lähettäminen vaikeutuu taas hetkeksi. Mutta ne mitä on ehditty lähettää ja jotka on vastaantottajien postilaatikoissa, niiden kalastelulinkit toimivat edelleen. Huijarit ovat oppineet, että niitä ei kannata tuohon samaan domainiin laittaa."
En tiedä mitä tarkoitat, mutta ihan samalla tavalla jo lähetettyjen viestien linkit ovat toimimattomia tämän domainin kohdalla. Ei ne koskaan lähetä postia siitä domainista missä varsinainen kalastelusivusto on tai sitten domain voi olla vain ohjattu muuhun osoitteeseen. Silloin domainiin ei tarvitse liittää muuta kuin domainparkki.
Jotain on ilmeisesti jo tehty tämän asian parantamiseksi.
"Operaattoriyhtiö Telia kertoo torjuneensa jo yli 70 000 siirtymää huijauspankkisivustoille. Kyseessä on uusi toimenpide, joka estää automaattisesti asiakkaita päätymään pankkitunnuksia kalasteleville verkkosivustoille.
– Jo parin ensimmäisen viikon aikana estimme 70 000 Telian asiakkaiden siirtymää huijauspankkisivustoille. Tämä on osoitus siitä, että näinkin järeille toimenpiteille on todellinen tarve, Telian riskienhallintapäällikkö Antti Turunen kertoo tiedotteessa.
...
OP-Pohjola julkisti tänään yhdessä useiden pankkien, F-Securen sekä operaattorien Elisan, Telian ja DNA:n kanssa kehitetyn toimintamallin, jonka ansoista operaattorit voivat estää liikennettä huijauspankkisivustoille parhaimmillaan kymmenissä minuuteissa."
https://www.verkkouutiset.fi/a/operaattori-ryhtyi-toimiin-huijaussivuille-paasy-estetaan/#59e3aeb7
Lähetä kommentti