Poliisin TVA-yksikön (valtakunnallinen tietoverkkoavusteisten rikosten tutkintayksikkö) tietoon on tullut tapauksia, joissa rikolliset ovat käyttäneet niin sanottua AITM-hyökkäystä (Adversary-in-the-Middle) suomalaisten pankkitunnusten ja muiden vahvojen tunnistautumistietojen anastamiseen. TVA-yksiköllä on tutkinnassa noin 30 törkeän petoksen sarja, jossa epäillään AITM-hyökkäystä käytetyn.
AITM-hyökkäyksessä rikollinen asettuu uhrin ja aidon verkkopalvelun väliin. Uhri ohjataan esimerkiksi sähköpostin, tekstiviestin tai hakukonetuloksen kautta aidon näköiselle valesivulle. Kun uhri syöttää pankkitunnuksensa ja vahvistaa kirjautumisen esimerkiksi mobiilisovelluksella tai avainlukulistalla, rikollinen kaappaa kirjautumistiedot ja istuntotunnisteen reaaliaikaisesti. Tämän jälkeen rikollinen voi:
- kirjautua uhrin verkkopankkiin,
- tehdä tilisiirtoja,
- hakea pikaluottoja,
- muuttaa yhteystietoja tai
- käyttää tunnuksia muihin vahvaa tunnistautumista vaativiin palveluihin.
Erityisen vaarallisen hyökkäyksestä tekee se, että myös kaksivaiheinen tunnistautuminen voidaan kiertää, jos uhri itse hyväksyy kirjautumisen.
Poliisin tietoon on tullut tapauksia, joissa AITM-hyökkäyksen kohteeksi joutuneen henkilön pankkitiliä epäillään käytetyn rikoshyödyn siirtämiseen ilman uhrin tietoisuutta. Rikolliset voivat siirtää tilille varoja toisilta petoksen uhreilta ja siirtää varat nopeasti eteenpäin ulkomaisille tileille. Rikolliset voivat käyttää uhrin tiliä niin sanottuna välikätenä rahanpesussa, jossa lopullinen kohdetili on esimerkiksi ulkomailla. Tässä tilanteessa uhri voi joutua selvittämään tapahtumia pankin ja viranomaisten kanssa, vaikka ei itse olisi tietoisesti osallistunut rikokseen.
Valtakunnallisen TVA-yksikön tutkinnanjohtaja, rikoskomisario Tommi Juvonen, ilmaisee asiasta vakavan huolensa AITM-tekotavalla tehdyillä teoilla:
”Erityisen huolestuttavaa on, että uhri voi näyttäytyä esitutkinnassa rahanpesusta epäiltynä. Jaan huolen sähköisten tunnistautumispalvelujen väärinkäytösten mahdollisuudesta tietoturva-asiantuntija Petteri Järvisen kanssa, joka on nostanut sähköisten tunnistautumispalvelujen väärinkäyttömahdollisuuksia esille jo jonkin aikaa. Rikolliset voivat tehdä näillä paljon pahaa ja aiheuttaa paljon harmia ihmisille. Haluan kuitenkin painottaa ja korostaa, että itse sähköiset tunnistautumisvälineet ovat normaalissa käytössä ja oikein käytettyinä turvallisia tapoja tunnistautua. Jos sähköiset tunnistautumisvälineet menettää rikollisten haltuun, voi niillä tehdä lyhyessäkin ajassa paljon vahinkoa. Huoli kohdistuu nimenomaan uhrilta huijattuihin sekä rikollisten haltuun menetettyihin sähköisiin tunnistautumisvälineisiin.”
Poliisi korostaa, että nopea reagointi, oma-aloitteinen yhteydenotto pankkiin sekä rikosilmoituksen tekeminen voivat olla ratkaisevia sekä vahinkojen rajaamisessa että uhrin aseman selventämisessä esitutkinnassa. Juvonen kannustaa samalla ihmisiä oma-aloitteiseen opiskeluun tietoturvaosaamisen parantamiseksi. Tietoturvaosaaminen on kansalaistaito, jota kannattaa ylläpitää. Kyberturvallisuuskeskuksen sivuilta löytyy mainioita oppaita tietoturvaosaamisen parantamiseksi.
Näin tunnistat erilaisia huijausyrityksiä:
Saat viestin, jossa vaaditaan kiireellistä kirjautumista pankkiin, verottajan, postin tai muun viranomaisen nimissä. Myös viihdepalveluiden nimissä on lähetetty huijauslinkkejä.
Linkin verkkosivun osoite muistuttaa aitoa, mutta sisältää pieniä kirjoitusvirheitä tai ylimääräisiä merkkejä.
Kirjautumisen jälkeen sinua pyydetään vahvistamaan toiminto, jota et itse ole aloittanut.
Tilillesi ilmestyy odottamattomia suorituksia tai sieltä lähtee maksuja, joita et tunnista.
Toimi näin suojautuaksesi:
Älä kirjaudu pankkiin tai muihin palveluihin sähköposti- tai tekstiviestilinkin kautta.
Siirry palveluun kirjoittamalla osoite itse selaimen osoiteriville tai käyttämällä virallista mobiilisovellusta.
Lue vahvistuspyynnöt huolellisesti – varmista, että hyväksyt vain itse aloittamasi tapahtuman.
Älä koskaan luovuta pankkitunnuksia tai vahvistuskoodeja puhelimessa.
Seuraa tilitapahtumiasi säännöllisesti.
Ota käyttöön pankkisi tarjoamat turvaominaisuudet ja ilmoitukset.
Opiskele ja paranna digiosaamistasi ja tietoturvaosaamistasi Kyberturvallisuuskeskuksen sivuilla.
Jos epäilet joutuneesi uhriksi
1. Ota välittömästi yhteyttä pankkiisi ja sulje tunnukset.
2. Tee rikosilmoitus poliisille.
3. Ilmoita pankille kaikista epäilyttävistä tilitapahtumista.
4. Seuraa tilitapahtumiasi ja tarkista luottotietosi.
Poliisi muistuttaa, että pankit ja viranomaiset eivät koskaan pyydä pankkitunnuksia tai vahvistuskoodeja sähköpostitse, tekstiviestillä tai puhelimitse. Suhtaudu varauksella myös erilaisten viihdepalveluiden posteihin vanhentuneista luottokorttitiedoista tai muista epämääräisistä ilmoituksista. Näissä tapauksissa varmistu käyttämäsi viihdepalvelun maksutiedot suoraan viihdepalvelun omilta sivuilta, äläkä käytä viesteissä olevia linkkejä kirjautumiseen tai tee se erittäin harkiten.
