Verkko on kalastamisen väline myös rikollisessa mielessä. Tänä syksynä suomalaisetkin ovat saaneet pankin nimissä lähetettyjä sähköposteja, joiden tarkoituksena on saada asiakkaita luovuttamaan verkkopankkitunnuksensa rikollisten käyttöön.

Missä verkko, siellä kalastaja

Verkkopankkitunnusten urkkiminen sähköposteilla on ollut arkipäivää englanninkielisissä maissa jo vuosia. Tämän rikoksen nimi, phising, on muodostettu englannin kielen sanasta fishing, kalastus. Nimi on osuva: rikollinen lähettää pankin nimissä huijausviestin suurelle joukolle ja toivoo saavansa saaliiksi muutaman verkkopankkitunnuksen tai muun henkilökohtaisen tiedon, jota voi käyttää rahan varastamiseen.

Valeviestit voivat olla hyvin uskottavia. Usein niissä vedotaan asiakkaan omaan turvallisuuteen. Viestissä saatetaan kertoa esimerkiksi, että pankin turvajärjestelmät olivat muuttuneet. Asiakasta pyydetään kirjautumaan uudessa osoitteessa olevaan verkkopankkiinsa, johon sähköpostissa on linkki. Linkin takaa aukeaa valepankki, joka on hyvinkin samannäköinen kuin oma pankki.

Huijaukset ovat onnistuneet esimerkiksi Saksassa. Rikolliset ovat päässeet käsiksi verkkopankkiasiakkaiden rahoihin saatuaan käyttäjätunnuksen ja salasanan. Nyt saksalaispankit parantavat verkkopankkiensa turvallisuutta ottamalla kiivaalla tahdilla käyttöön avainlukulistoja.

Englanninkielisissä maissa ovat tavallisia viestit, joissa urkitaan luottokortin numeroa tai kortin tunnuslukua. Huijauksia yritetään tehdä myös soittamalla asiakkaalle pankkitoimihenkilönä tai poliisina esiintyen.

Phishing-kalastajat rantautuivat Suomeen

Tänä syksynä Suomessakin on tehty huijausyrityksiä. Ensimmäiset suomalaisen pankin nimissä lähetetyt sähköpostiviestit oli kirjoitettu huonolla englannin kielellä. Niissä pyydettiin "vahvistamaan" verkkopankkitunnukset omalle pankille vastaamalla viestiin.

Joulukuussa liikenteessä oli jo huijausviestejä, joissa käytettiin huonoa suomen kieltä. Jonakin päivänä hakkerit lähettävät viestinsä täydellisellä suomen kielellä, ja jos ei ole valppaana, valepankin viesti voi vaikuttaa kaikin puolin uskottavalta.

Tunnukset ovat vain sinua varten

Oikea pankki ei koskaan, ikinä utele sinun tunnuksiasi. Oma pankki tai edes poliisi ei missään tilanteessa tarvitse käyttöönsä verkkopankkitunnuksiasi tai korttisi tunnuslukua. Älä paljasta niitä kenellekään. Jos joku niitä sinulta pyytää, soikoon päässäsi hälytyskello.

Osuuspankki saattaa lähettää sinulle sähköpostia, jos olet antanut siihen luvan. Saatat saada sähköpostilla esimerkiksi tiedon analyytikoiden uudesta raportista tai pankin eduista ja tarjouksista, mutta kaikki viestit, joissa tiedustellaan tai käsitellään henkilökohtaisia pankkiasioitasi, saat aina verkkopankkiisi.

Näin käsittelet roskapostia

Pankin nimissä lähetettyihin, epäilystä herättäviin sähköposteihin pitää suhtautua kuten muuhunkin roskapostiin: älä avaa viestiä tai sen liitetiedostoa. Älä lähetä viestiä eteenpäin äläkä vastaa siihen. Tuhoa viesti heti. Jos olet epävarma, onko viesti aito vai rikollinen, deletoi viesti ja ota tarvittaessa yhteys viestin lähettäjään.

Voit harkintasi mukaan ilmoittaa pankin nimissä saamastasi huijausviestistä omaan pankkiisi tai OP 0100 0500 puhelinpalveluun. Todennäköisesti pankki jo tietää, että hakkerit ovat liikkeellä, ja sinä olet yksi tuhansista ilmoittajista. Verkkopankkisi etusivun uutisista voit tarkistaa, onko huijaussähköposteja liikkeellä.

- On tyypillistä, että pankkeihin kohdistuvat phishing-hyökkäykset tehdään perjantaina, kun pankin henkilökunta on lähtenyt viikonlopun viettoon, kertoo Osuuspankin Internet-palvelun tuotepäällikkö Anssi Juutilainen. Verkkopankin turvallisuudesta vastaavat henkilöt ja tietoverkkoa valvovat viranomaiset ovat kuitenkin valppaana kaiken aikaa. Hakkerivaroitus ilmestyy op.fi -verkkopankin etusivulle myös viikonloppuna.

Turvallisuussyistä op.fi:hin on laitettu tiedote huijaussähköposteista silloinkin kun hyökkäys on kohdistunut toisen suomalaisen pankin asiakkaisiin.

Kun haluat olla aivan varma...

Vältät phising-huijauksen uhriksi joutumisen, kun kirjoitat verkkopankin osoitteen selaimen osoiteriville itse.

Internet-yhteys suomalaisen pankin ja asiakkaan välillä on aina salattu, ja tietojen siirtämisessä käytetään salakirjoitusta. Jos haluat varmistaa, että tämä niin kutsuttu SSL-salaus on päällä, voit tarkistaa SSL-turvallisuussertifikaatin. Se näkyy asianmukaisena vain silloin kun salaus on ajantasainen.

Sertifikaatti näkyy eri selaimilla eri tavoin. Microsoftin Internet Explorer -selaimella saat sertifikaatin näkyviin klikkaamalla lukon kuvaa ruudun oikeassa alakulmassa.

Firefox-selaimella sertifikaatin saa auki samalla tavalla kuin Internet Explorerilla, mutta lukon kuva on Internet-osoiterivillä.

Anssi Juutilainen toivoo, että kaikki selainvalmistajat ottaisivat Operan käytännön. Opera-selainta käyttävä verkkopankkiasiakas näkee koko ajan, että salaus on päällä, sillä Internet-osoiterivin oikeassa reunassa lukee kaiken aikaa, kenelle juuri näiden sivujen salaus on myönnetty. Opera-selaimen voi ladata maksutta Internetistä osoitteesta www.opera.com.

Aina kun kirjaudut op.fi-verkkopankkiin, näet sen yläreunassa tekstin: "Käytit verkkopalvelutunnustasi viimeksi... päivämäärä ja kellonaika." Kannattaa ottaa tavaksi tarkistaa, että tieto pitää paikkansa.

Entä, jos erehtyy antamaan verkkopankkitunnuksensa hakkerille?

Verkkopankkitunnusten joutuminen rikollisten haltuun on aina vakava asia, vaikka he eivät pääsekään koskemaan rahoihisi, kun heillä ei ole avainlukulistaa. Jos tiedät - tai epäilet, että verkkopankkitunnuksesi ovat kadonneet tai joutuneet vääriin käsiin, soita sulkupalveluun heti.

Osuuspankin verkkopalvelutunnusten sulkupalvelu numerossa 09 6964 6800 (ulkomailta + 358 9 6964 6800) on aina auki.

Voit lukita tunnuksesi itsekin. Verkkopankin Omat tiedot ja asetukset -valikossa on "Käytön esto" -niminen toiminto, joka lukitsee verkkopalvelutunnukset. Osuuspankin Internet-palvelun tekstiversiossa (pda.op.fi) ja helppokäyttöpalvelussa (helppo.op.fi) lukitus tehdään Palvelun hallinta -valikossa.

Lukittujen tunnusten avaaminen - tai kokonaan uusien tunnusten saaminen - edellyttää käyntiä pankin konttorissa, sillä tällaisissa tilanteissa pankki on hyvin tarkka henkilöllisyyden tarkistamisessa. Käynti on kuitenkin pieni vaiva verrattuna riskiin siitä, että verkkopankkitunnuksesi ovat rikollisten hallussa.

Rikolliset kiinni!

Anssi Juutilainen korostaa, että jokainen phishing-yritys on rikos, joka johtaa poliisitutkintaan. Hakkereita hidastaa myös tieto siitä, että vaikka he onnistuisivatkin pääsemään jonkun rahoihin käsiksi, rahojen siirtämisestä jää suurella todennäköisyydellä kiinni, sillä tilisiirrot pystytään jäljittämään.

Esimerkiksi Saksassa hakkerit maksoivat pienen korvauksen asunnottomille henkilöille ja käyttivät heidän tilejään rahan siirtämiseen. Rosvot jäivät kiinni.

Lisätietoa:

Tietoturvaohje Osuuspankin Internet-palvelun käyttäjille

Teksti: Kaarina Juote, Lähde Mainio.net