Näin Microsoft-huijaripuhelu tyhjensi naisen tilin

Minulle soitti nyt lauantai-iltana eteläsuomalainen 72-vuotias nainen, joka oli tänään joutunut Microsoft huijauspuhelun uhriksi. Ymmärrettyään, mitä oli tapahtunut, hän oli soittanut pankkiin ja sulkenut tilinsä, mutta oli nyt huolissaan henkilötietojensa vuotamisesta ja kysyi neuvoja niiden suojaamiseen.

Huijarit saivat haluamansa, enkä usko että henkilötiedot heitä kiinnostavat. Se olikin sitten ainoa hyvä uutinen tässä tapauksessa.

Uhri osasi varoa Microsoft huijauspuheluita, koska oli saanut jo aiemmin epämääräisiä soittoja. Niissä hän löi luurin korvaan. Työuransa nainen oli tehnyt organisaatiossa, missä tottui käsittelemään suuriakin rahansiirtoja. Hän kertoi olevansa kokenut verkkopankin käyttäjä ja kuulosti kaikin puolin skarpilta. 

Nimeä John Watson käyttänyt mies soitti +1 alkuisesta numerosta juuri, kun naisella oli ongelma tietokoneen kanssa. Onnettoman sattuman ansiosta nainen uskoi, että tällä kertaa soitto tuli oikeasti Microsoftilta Kaliforniasta. 

Soitto katkesi välillä ja uudet soitot näyttivät tulevan kotimaan numeroista. Yhteensä puhelut kestivät lähes viisi tuntia. Niiden kuluessa huijarit asensivat uhrin koneelle TeamViewer-etäkäyttöohjelman, pääsivät naisen tilille ja saivat jopa kuvan hänen passistaan. Kun nainen lopussa alkoi epäillä ja sanoi soittavansa pankkiin, huijarit kielsivät tekemästä niin. Viimeisestään siinä vaiheessa uhri huomasi, että häntä oli jymäytetty.

Pankin päivystyksessä kävi ilmi, että huijarit olivat tyhjentäneet naisen tilit ja saaneet useita tuhansia euroja. Epäonnisen sattuman vuoksi kuun lopussa maksettava eläke oli tullut tilille eilen perjantaina. Huijarit olivat tyhjentäneet jopa säästötilin siirtämällä sen saldon ensin sisäisenä tilisiirtona toiselle tilille, mikä osoittaa heidän tunteneen Nordean pankkipalvelun ja ehkä jopa osanneen hieman suomea. Toisaalta Nordean pankkipalvelun kielen voi vaihtaa myös englanniksi.

Varastetut rahat oli muunnettu saman tien bitcoineksi ja siirretty eteenpäin, joten pankki ei pystynyt pysäyttämään rahansiirtoja kuten se olisi voinut tehdä, jos varoja olisi siirretty ulkomaisille tileille. Ilmeisesti huijarit olivat perustaneet naisen nimellä tilin johonkin kryptopörssiin ja tarvitsivat sitä varten valokuvan passista.

Huijari oli puhunut englantia, taustalta kuului intialaisten puhujien aksenttia. Nainen kuitenkin arveli, että Microsoftin puhelinpalvelu on Intiassa. Uskottava selitys sekin.

Tapaus on hyvä muistutus siitä, miten kokenutkin käyttäjä voi joutua Microsoft-huijauspuhelujen uhriksi. Jälkikäteen kuultuna on helppo moittia uhreja hyväuskoisuudesta, mutta tekijät ovat ammattilaisia ja osaavat esiintyä vakuuttavasti.

Huijarin jäljiltä Windowsin työpöydälle jäi TeamViewerin kuvake.

Vaarassa ovat etenkin vanhemmat ihmiset, jotka ovat kyllä kuulleet huijaussoitoista, mutta uskovat edelleen vanhanaikaiseen asiakaspalveluun, jossa yrityksen edustaja oikeasti soittaisi kotiin ja auttaisi monen tunnin ajan asiakasta.

Suojaavia tekijöitä on oikeastaan vain kaksi: tyhjä tili tai kielitaidon puute. 

Jos suojatekijöitä ei ole, tilille pitäisi saada asetettua rajoituksia, jotka estävät suurten rahamäärien siirtämisen kaikilla verukkeilla -- vaikka henkilö itse vahvistaisi ne tunnuksillaan. Hankala rasti, sillä jos rajoituksen voi itse asettaa, huijarit voivat myös poistaa sen käyttäjän puolesta. 

Pankkitunnusten käyttö vahvaan todentamiseen pelaa huijarien pussiin. Tunnistaminen pitäisi erottaa pankkipalvelusta. Nykyinen käytäntö, jossa eri palvelut käyttävät pankkitunnuksia henkilöllisyyden tarkistamiseen, tarjoaa huijareille verukkeen tunnusten kysymiseen.

Tärkeintä olisi, että teleyhtiöt oikeasti tekisivät jotain näille numerohuijauksille. Suomalaisen operaattorin pitäisi pystyä tarkistamaan, tuleeko suomalaisen numeron puhelu oikeasti toisen suomalaisen operaattorin verkosta vai ei. Tämä estäisi kotimaisilla numeroilla huijaamisen. Jos tarkistus ei nykytekniikalla onnistu, tällaisen järjestelmän kehittäminen omin voimin ei voi olla mahdotonta, jos vain halua on. Nyt kaikki tuotekehitys tuntuu menevän mobiilipuolelle, koska siellä liikkuvat isommat rahat.

Täydellinen avuttomuus puhelinnumeroiden väärentämisen edessä uhkaa operaattorien bisnestä. Luottamus ja arvostus niitä kohtaan ovat jo mennyttä.

Ehdotus pankeille: jos käyttöliittymän voi vaihtaa englanninkieliseksi, asetus pitäisi lukkiintua niin, että sen voi vaihtaa vain puhelinsoitolla asiakaspalveluun tai vaihdossa tulisi olla esim. 24 tunnin varoaika. 

Yksi niksi vielä: jos epäilet puhelun alkuperää, sano soittavasi takaisin näytöllä näkyvään numeroon. Jos soittaja ei hyväksy tätä tai soitto ei mene perille, näkyvä numero on väärennetty. Periaate on sama kuin sähköpostissa: lähettäjän paikalla näkyvä osoite on helppo väärentää, mutta jos siihen vastaa, viesti ei mene huijarille vaan näkyvään osoitteeseen.

Muokattu 6.3.2021

Lisäys 2.3.2021: John Watson soitti uhrille uudestaan. Normaalisti tällaista ei tapahdu, ilmeisesti tällä kerralla jokin huijauksessa meni pieleen. Watson sanoi, ettei hän ollut vienyt rahoja vaan sen olivat tehneet hakkerit. Hän halusi koneen id-numeron, mikä se sitten onkaan. Päivitän sivua, jos asiassa ilmenee vielä uusia käänteitä.

Lisäys 3.3.2021: Moni kritisoi huijausten uhreja huolimattomiksi tai osaamattomiksi. Mutta eivät pankkien tunnistuspalvelutkaan aivan ongelmattomia ole. Viimeksi tänään hieraisin silmiäni, kun kirjauduin palveluun pankkitunnuksilla (yleensä käytän mobiilivarmennetta), ja Nordean tunnuslukusovellus kertoi minun kirjautuvan Osuuspankkiin. 

Nordean tunnuksilla Osuuspankin kautta palveluun.

Digi- ja väestötietovirasto kilpailutti tunnistuspalvelut ja vuoden 2021 alusta ne menevät kaikki Osuuspankin kautta. Vaikka asiakkaalla olisi Norden tunnukset, hänet ohjataan palveluun toisen pankin kautta. On tässä taas käyttäjillä ihmettelemistä! Asiasta on varmaan tiedotettu, mutta ei ole osunut omiin silmiini.

Olisi hyvä tiedottaa, koska asiakkaita kehotetaan puheluhuijarien vuoksi tarkkaavaisuuteen ja varovaisuuteen. Samalla voi pohtia, onko näytön yläreunassa näkyvä teksti riittävä kertomaan, mitä oikeasti on tapahtumassa, jos käyttäjän huomio on keskittynyt vain rutiininomaisesti pin-koodin syöttämiseen näytön alareunan painikkeilla. 

Puhelin on ihmisille uusi Windows, eikä kukaan auta

Olen saanut viime aikoina yhä enemmän kyselyistä oudoista puheluista ja niihin liittyvistä huijauksista. Tässä esimerkki Hesarin yleisönosastolta: Iäkäs äitini joutui huijauksen uhriksi ja menetti kaikki säästönsä.

Ulkomailta tulevat huijauspuhelut ovat yksi selkeä ongelma, mutta eivät suinkaan ainoa. On huijausviestejä, oudoista numeroista tulevia tyhjiä soittoja, puhelimen näyttämiä ilmoituksia (ehkä jotain operaattorien omia turvajuttuja?) ja muuta epämääräistä. 

Puhelimista näyttää tulleen ihmisille uusi riesa ja tietoturvauhka, aivan kuin 2020-luvun Windows. Viime syksynä sain puhelun vanhemmalta rouvalta, joka ihmetteli, miksi hänen tuttunsa soittaessa USA:sta maan suuntanumero näkyy joskus ihan väärin. Mediassa oli juuri varoitettu ulkomaisista soittohuijareista, joten nainen oli syystäkin huolissaan.

En osannut antaa varmaa vastausta, pystyin vain arvelemaan. Toisin kuin avoin internet, puhelinverkko on suljettu, operaattorien keskinäinen verkko. Sen ilmiöt ovat vain operaattorien tiedossa ja ratkaistavissa. Näyttää siltä, että ongelmat lisääntyvät paljon nopeammin kuin operaattorin kyky ja halu ratkaista niitä. Operaattoreita kiinnostaa enemmän nopea datasiirto, 5G ja maksulliset lisäpalvelut.

Liittymäasiakkaat ovat ongelmien edessä ihmeissään ja kansainvälisten huijarien armoilla. 

Minulle soittanut nainen huokaisi puhelimessa: "Olit ensimmäinen, joka edes kuunteli ongelmaani". 

Näin ei saa jatkua. Operaattorien pitää ryhdistäytyä ja palauttaa puhelinverkon luotettavuus. Eikö valvova viranomainen pysty painostamaan mobiilioperaattoreita, kun kaupallinen paine ei näytä riittävän?

Huijauspuhelut yleistyvät, operaattorit voimattomia

Ulkomailta tulevat huijauspuhelut ovat nopeasti kasvava ongelma. Tyypillisessä tapauksessa englantia intialaisittain murtava soittaja kertoo olevansa Microsoftilta ja auttavansa asiakasta korjaamaan koneessa havaitun viruksen. Sitä varten pitää asentaa etäkäyttöohjelma, joka... no, arvaat lopun. Uhrin tiedot varastetaan ja pankkiyhteys kaapataan, jolloin vahingot voivat olla mittaamattomia.

Ennen puhelut tulivat ulkomaisista numeroista, jolloin niihin oli helppo olla vastaamatta. Nyt huijarit ovat löytäneet tavan väärentää soittava numero, joten puhelut näyttävät tulevan tavallisista suomalaisista numeroista. Joukossa on sekä yrityksiä että yksityisiä henkilöitä. He saavat kärsiä, kun huijaussoiton missanneet yrittävät soittaa takaisin luullen menettäneensä tärkeänkin puhelun. 

On epäselvää, mistä huijarit saavat numeroita. Joillekin ihmisille soittoja tulee jatkuvasti, toisille ei lainkaan, mikä ei tue väitettä täysin satunnaisista soitoista. Soittoja tulee myös salaisiin numeroihin, joten ainakaan netistä niitä ei ole kerätty. Eräs henkilö epäili salaisen numeronsa vuotaneen Foodoran tietomurrossa 2016. Mahdollisesti numerot on imuroitu osoitekirjoista tai some-palveluista, joihin ihmiset ovat niitä lähettäneet. Tämä selittäisi, miksi laajan kontaktiverkoston omaavat ihmiset saavat enemmän huijauspuheluita.

Puhelinnumeron luotettavuuden romahtaminen on vakava asia, jolla on laajoja seurauksia. Tekstiviestin lähettäjätieto on ollut alusta (1990-luvulta) lähtien helppo väärentää, mutta puhelinnumeroa on tähän asti pidetty uskottavana. Jatkossa rikollinen voi soittaa esimerkiksi toimitusjohtajan tai pankin numerosta ja huijata uhria antamaan tietonsa tai rahansa. Puhelimessa näkyvä soittoloki ei ole enää luotettava, millä voi olla vaikutuksia esim. rikostutkintaan. Entä ovatko poliisin televalvonta ja -kuuntelu kierrettävissä numeroita väärentämällä?

Voisi kuvitella, että operaattorit tai edes Traficom (entinen Viestintävirasto, alaa valvova viranomainen) olisivat varoittaneet kansalaisia ja ryhtyneet toimiin numerohuijausten estämiseksi. Mitään ei ole kuitenkaan tapahtunut. Niinpä aloin itse selvitellä asiaa ja kyselin ihmisten kokemuksia netin välityksellä.

Puheluvälityksen taustalla oleva 1970-luvulla kehitetty SS7-tekniikka on haavoittuva. Vaikka operaattorien puhelinverkot ovat suljettuja, ne ovat teknisesti lähentyneet ip-verkkoja ja rajapintoja avoimeen internetiin on paljon. Tämä on avannut huijareille mahdollisuuden huijata esim. vahvaa todentamista väärillä 2FA-viesteillä (tekstiviestinä tuleva koodi, jolla käyttäjän identiteetti varmistetaan esim. pankkipalvelussa).

Intiasta ei varmasti soitella Eurooppaan kaukopuheluita. Yhteydet kulkevat halpoina nettipuheluina (VoIP) ja ne linkitetään puhelinverkkoon vasta Suomessa. Myös tämä tekniikka mahdollistaa huijaukset.

Uusimpana keinona rosvot perustavat omia virtuaalioperaattoreita toisen operaattorin alaisuuteen, jolloin niiden verkosta tulevia puheluita kohdellaan tasavertaisena oikeiden operaattorien kanssa. Myynnissä on ns. venäläisiä simmejä (myös nimellä white sim), joissa oman numeron voi vaihtaa millaiseksi itse haluaa. 

Suomalaiset operaattorit tuntuvat suorastaan kädettömiltä huijausten edessä. Asiakastuen (Elisa, Telia) sivuilla varoitetaan huijauksista, mutta neuvotaan vain olemaan menemättä lankaan. Aivan kuin operaattorit eivät itse voisi tehdä asialle mitään. Vai voisivatko?

Kun kyse on selvästi teleliikenteen häirinnästä, Traficomin pitäisi suorastaan velvoittaa operaattorit estämään laiton toiminta.

Väärennöksen kohteeksi joutuneet asiakkaat eivät ilmeisesti joudu maksamaan numerostaan muka soitetuista puheluista. Laskutustietojen väärentäminen romahduttaisi koko operaattorien bisneksen. Laskutus ei siis voi perustua yksinomaan näkyvään numeroon. Operaattorin täytyy joko tietää oikea numero tai antaa huijarien puhua ilmaiseksi.

Jos operaattori tietää, että puhelussa näkyvä numero on ristiriidassa laskutustiedon kanssa, miksei se pysty estämään puheluita tai katkaisemaan rikollisten virtuaalioperaattorien yhteyksiä? Puheluiden estäminen voi olla juridisesti hankalaa, joten asiaan tarvittaisiin Traficomin kanta.

Skype- ym. VoIP-puheluiden pitäisi tulla omasta numeroavaruudesta, ei toisten numeroita väärentäen. Jos tätäkään ei voida taata, eikö asiakkaalle voi tarjota mahdollisuutta halutessaan itse rajata VoIP-puhelut pois? Operaattorit tarjoavat kaikenlaisia lisäpalveluita asiakkailleen, joten tällaisen eston luomisen ei pitäisi olla ylivoimaista.

Huijausten yleistyminen rapauttaa luottamusta koko telealaa kohtaan. Nyt olisi korkea aika toimia. Me asiakkaat odotamme sitä.

Lisäys 1: Hieman off-topic: joskus pelotellaan, että ulkomaiset huijarit yrittävät saada uhrin sanomaan puhelimessa "yes", jotta voivat sitten manipuloida nauhaa ja todistaa asiakkaan tilanneen jotain. Tietääkseni tämä on pelkkä urbaani legenda, josta ei ole mitään todisteita. Nauhojen leikkely ja oikeuskäsittely ovat työläitä prosesseja, ja huijarit välttävät sellaista viimeiseen asti. 

Lisäys 2: Traficomin Kyberturvallisuuskeskuksen infoa asiasta helmikuulta.

Lisäys 3: Poliisitarkastaja Kimmo Ulkuniemi mainitsi twiitissään jamesbond-henkisesti nimetyn SHAKEN/STIR-turvaprotokollan, jonka käyttöönottoon Kanadan ja Yhdysvaltojen operaattorit on velvoitettu. Protokollassa internet-puhelun aloittava taho todennetaan varmenteella. Mikäli kokemukset osoittautuvat hyviksi on toiveita, että myös eurooppalaiset operaattorit omaksuvat järjestelmän. Yhdysvalloissa puheluhuijaukset ovat vielä paljon yleisempiä mm. paikallisten robocaller-mainospuheluiden vuoksi.

Lisäys 4: Kommenteissa pohdin, eivätkö suomalaiset operaattorit voisi tarkistaa keskenään puheluiden aitoutta? Edes silloin, kun sekä soittaja että vastaanottaja ovat saman operaattorin asiakkaita? Lähteehän sinne soiton aloittajalle laskukin ko. puhelusta. Tämä auttaisi karsimaan edes osan huijauspuheluista. Kehitelkää ideaa eteenpäin!

Muokattu 30.11.2020