Verkkorikollisuus on Suomessa jatkuvassa muutoksessa, sillä rikolliset kehittävät koko ajan uusia, entistä taitavampia tapoja huijata kansalaisia. Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus antaa vakavan muistutuksen: jokaisen on nyt pysähdyttävä ja arvioitava viestien aitous ennen kuin toimii. Verkkohuijausten tunnistaminen on noussut todelliseksi kansalaistaidoksi, sillä joululahjarahojen ja säästöjen perässä on joukko ovelia rikollisia.
Finanssialan tiedot osoittavat huijauksien aiheuttamat menetykset olivat viime vuonna huomattavat, sillä suomalaiset menettivät niissä yhteensä 62,9 miljoonaa euroa. Todellinen luku on todennäköisesti vielä tätäkin suurempi, koska kaikki tapaukset eivät päädy viranomaisten tietoon. Onneksi pankkien, operaattoreiden ja viranomaisten tiivis yhteistyö on onnistunut estämään suuria taloudellisia vahinkoja. Vuonna 2024 pankit saivat pysäytettyä huijattuja maksuja peräti 44,3 miljoonan euron edestä, mikä on 35 prosenttia enemmän kuin edellisvuonna, osoittaen torjuntatyön tehon. Suomalaisilta yritettiin huijata kaiken kaikkiaan 107,2 miljoonaa euroa vuonna 2024, joten menetykset ovat mittavat.
Viranomaisiin ja asiantuntijoihin vetoaminen yleistynyt
Rikolliset ovat omaksuneet yhä häikäilemättömämpiä rooleja, sillä Kyberturvallisuuskeskuksen tietoon on tullut syksyn aikana lukuisia huijauspuheluita ja viestejä, joissa he esiintyvät viranomaisten ja asiantuntijoiden nimissä. Rikolliset ovat esimerkiksi tekeytyneet Kyberturvallisuuskeskuksen asiantuntijoiksi ja väittäneet uhrien puhelinten olevan virusten saastuttamia. Tällöin he ovat pyytäneet uhreilta luovuttamaan pankkitunnukset tai maksukorttien tiedot, mikä on klassinen tietojenkalastelun muoto. Rikolliset yrittävät usein käyttää ulkomaisia puhelinnumeroita, koska suomalaisten numeroiden väärentämisen estämiseksi on tehty yhteistyötä operaattoreiden kanssa.
Rahalliset menetykset näissä sosiaaliseen manipulointiin perustuvissa huijauksissa ovat olleet mittavia, sillä ne ovat vaihdelleet tuhansista jopa satoihin tuhansiin euroihin. Huijarit ovat myös esiintyneet sosiaalityöntekijöinä ja poliiseina, lähettäen viestejä, joissa on vedottu lastensuojeluun tai muihin arkaluontoisiin viranomaisteemoihin. Tietoturva-asiantuntija Matias Mesiä Traficomin Kyberturvallisuuskeskuksesta painottaa, että on oltava tarkkana, eikä pankkitunnuksia saa syöttää liian hätäisesti mihinkään epäilyttävään paikkaan.
Huijaukset siirtyvät uusiin kanaviin
ShutterstockRikolliset hyödyntävät jatkuvasti uusia alustoja petostensa toteuttamiseen, sillä huijauksia havaitaan yhä useammin sosiaalisen median ja pikaviestinten, kuten WhatsAppin ja Teamsin, kautta. Viime kuukausina on tullut ilmi tapauksia, joissa rikolliset ovat lähestyneet uhreja naamioiduilla yhteydenotoilla, jotka ovat kohdistuneet työ- tai henkilökohtaisiin viestikanaviin. Tekstiviestihuijauksissa, joihin viitataan termillä smishing, on käytetty esimerkiksi poliisin (KRP) tai Verohallinnon nimiä, pelotellen uhria rikosepäilyllä tai liikennesakkomaksulla. Näiden viestien tarkoituksena on saada uhri klikkaamaan linkkiä, joka johtaa huijaussivustolle.
Organisaatioihin kohdistuvat huijaukset ovat myös jatkuneet aktiivisina. Rikolliset ovat esiintyneet eläkeyhtiöiden edustajina pyytäen asiakkaita päivittämään tietojaan väärennetyillä verkkosivuilla. Kyberturvallisuuskeskus saa viikoittain ilmoituksia niin sanotuista toimitusjohtajahuijauksista, joissa rikolliset esiintyvät yrityksen johtajana pyytäen kiireellisiä tilisiirtoja, lahjakorttiostoja tai tekaistujen laskujen maksua. Nämä hyökkäykset on suunnattu organisaatioihin, joissa kiire ja työntekijöiden luottamus esimiestä kohtaan tekevät huijauksen onnistumisesta todennäköisempää.
Kiristys ja kryptohuijaukset kasvussa
Kiristysviestejä lähetetään säännöllisesti erilaisilla teemoilla, jolloin rikolliset pyrkivät hyödyntämään uhrien pelkoa ja epävarmuutta. Kesällä havaituissa viesteissä rikolliset väittivät saaneensa pääsyn uhrin laitteisiin ja vaativat rahaa Bitcoin-osoitteeseen uhkaamalla arkaluonteisen materiaalin levittämisellä. Tällaisten viestien todenperäisyys kannattaa aina tarkistaa suoraan kyseisen palveluntarjoajan kautta.
Myös kryptovaluuttahuijaukset ovat lisääntyneet, sillä huijarit käyttävät vakuuttavia viestejä, jotka näyttävät tulevan virallisista kryptopalveluista. Tavoitteena on saada käyttäjät luopumaan tunnistetiedoistaan, jolloin rikolliset pääsevät käsiksi heidän sijoituksiinsa. Sijoitushuijaukset ja tietojenkalastelu olivatkin vuoden 2024 isoimmat yksittäiset menetykset suomalaisille. Sijoitusrahastoja ja pörssiosakkeita omisti vuoden 2024 lopussa yli kaksi miljoonaa suomalaista, joten potentiaalisten uhrien joukko on suuri.
Sosiaalinen manipulointi huijausten ytimessä
Huijaukset perustuvat usein sosiaaliseen manipulointiin, jossa rikolliset käyttävät taitavasti erilaisia psykologisia keinoja saadakseen uhrin toimimaan nopeasti ja ajattelematta. Rikollinen pyrkii luomaan kiireen, pelon tai luottamuksen tunteen, jotta uhri unohtaisi kriittisen arvioinnin. Huijauksissa hyödynnetään usein neljää perusprinsiippiä: auktoriteetteihin vetoaminen, kiireen luominen, uhkailu ja liian hyvältä tuntuvat tarjoukset.
Hyökkääjät keräävät usein taustatietoa uhreistaan, jotta heidän yhteydenottonsa olisi mahdollisimman uskottava ja henkilökohtainen. Esimerkiksi angler-tietojenkalastelussa huijarit esiintyvät asiakaspalvelijoina sosiaalisessa mediassa vastaten asiakkaiden valituksiin. Rikolliset pyrkivät tekemään huijauksistaan vaikeammin havaittavia räätälöimällä viestit tarkkaan valituille kohteille. Digihuijausten torjuminen onnistuu parhaiten ihmisten valppaudella ja tehokkaalla tietojenvaihdolla pankkien ja viranomaisten välillä.
Turvallisuusvinkit: Pysähdy, arvioi ja varmista
Kyberturvallisuuskeskus kehottaa kaikkia pysähtymään ja arvioimaan tilanteen rauhallisesti ennen kuin tekee mitään toimenpiteitä. On ehdottoman tärkeää varmistaa viestin lähettäjän aitous virallisista lähteistä, eikä koskaan saa klikata epäilyttäviä linkkejä tai antaa arkaluonteisia tietoja hätäisesti. Jos epäilet joutuneesi huijauksen kohteeksi, nopea toiminta on ratkaisevaa.
Näin tunnistat ja torjut huijauksen
Rikolliset käyttävät aina samoja sosiaalisen manipuloinnin tekniikoita:
- Pelolla vaikuttaminen: Uhat tilin sulkemisella, rikosepäilyllä tai arkaluonteisen tiedon levittämisellä (esim. poliisin tai pankin nimissä).
- Kiireeseen vetoaminen: Vaatimukset välittömästä maksusta tai tietojen päivittämisestä, jotta tili ei sulkeutuisi (esim. toimitusjohtajahuijaukset).
- Luottamuksen hyväksikäyttö: Romanssi- tai sijoitushuijauksissa luottamusta rakennetaan pitkään ennen rahan pyytämistä (esim. kryptohuijaukset).
- Auktoriteetteihin vetoaminen: Viesti näyttää tulevan viranomaiselta, pankilta tai esimieheltä, jolloin uhri luottaa sen aitouteen.
- Liian hyvä ollakseen totta: Ilmoitus arvontavoitosta tai ilmaisesta lahjakortista, vaikka et ole osallistunut mihinkään.
Toimi näin, jos epäilet huijausta: Ota välittömästi yhteys omaan pankkiisi, mikäli olet tehnyt maksun tai antanut pankkitunnuksesi. Tee rikosilmoitus poliisille ja ilmoita asiasta Kyberturvallisuuskeskukselle, sillä ilmoitukset auttavat viranomaisia torjuntatyössä.