Poliisin TVA-yksikön eli valtakunnallisen tietoverkkoavusteisten rikosten tutkintayksikön tietoon on tullut tapauksia, joissa rikolliset ovat käyttäneet niin sanottua AITM-hyökkäystä suomalaisten pankkitunnusten ja muiden vahvojen tunnistautumistietojen anastamiseen.
AITM-hyökkäys tulee sanoista Adversary-in-the-Middle. TVA-yksiköllä on tutkinnassa noin 30 törkeän petoksen sarja, jossa kyseistä tapaa epäillään käytetyn.
Lue myös: S-Pankki varoittaa: Pankkihuijaukset siirtyneet uuteen paikkaan
Lue myös: Traficom varoittaa erityistunnelman luovista puheluista – pankkihuijauksia liikkeellä ennätysmääriä
Myös kaksivaiheinen tunnistautuminen vaarassa
AITM-hyökkäyksessä rikollinen asettuu uhrin ja aidon verkkopalvelun väliin. Uhri ohjataan esimerkiksi sähköpostin, tekstiviestin tai hakukonetuloksen kautta aidon näköiselle valesivulle.
Kun uhri syöttää pankkitunnuksensa ja vahvistaa kirjautumisen esimerkiksi mobiilisovelluksella tai avainlukulistalla, rikollinen kaappaa kirjautumistiedot ja istuntotunnisteen reaaliaikaisesti.
Tämän jälkeen rikollinen voi kirjautua uhrin verkkopankkiin, tehdä tilisiirtoja, hakea pikaluottoja, muuttaa yhteystietoja tai
käyttää tunnuksia muihin vahvaa tunnistautumista vaativiin palveluihin.
Erityisen vaarallisen hyökkäyksestä tekee se, että myös kaksivaiheinen tunnistautuminen voidaan kiertää, jos uhri itse hyväksyy kirjautumisen.
Poliisin tietoon on tullut tapauksia, joissa AITM-hyökkäyksen kohteeksi joutuneen henkilön pankkitiliä epäillään käytetyn rikoshyödyn siirtämiseen ilman uhrin tietoisuutta. Rikolliset voivat siirtää tilille varoja toisilta petoksen uhreilta ja siirtää varat nopeasti eteenpäin ulkomaisille tileille.
Rikolliset voivat käyttää uhrin tiliä niin sanottuna välikätenä rahanpesussa, jossa lopullinen kohdetili on esimerkiksi ulkomailla. Tässä tilanteessa uhri voi joutua selvittämään tapahtumia pankin ja viranomaisten kanssa, vaikka ei itse olisi tietoisesti osallistunut rikokseen.
Valtakunnallisen TVA-yksikön tutkinnanjohtaja, rikoskomisario Tommi Juvonen toteaa, että erityisen huolestuttavaa on, jos uhri näyttäytyykin esitutkinnassa rahanpesusta epäiltynä.
Poliisi korostaa, että nopea reagointi, oma-aloitteinen yhteydenotto pankkiin sekä rikosilmoituksen tekeminen voivat olla ratkaisevia sekä vahinkojen rajaamisessa että uhrin aseman selventämisessä esitutkinnassa.
Lue myös: Yksi puhelu ja säästöt katosivat: Itä-Suomen huijaukset veivät lähes kahdeksan miljoonaa euroa
Poliisi kannustaa ihmisiä oma-aloitteiseen opiskeluun tietoturvaosaamisen parantamiseksi. Tietoturvaosaaminen on kansalaistaito, jota kannattaa ylläpitää. Kyberturvallisuuskeskuksen sivuilta löytyy mainioita oppaita tietoturvaosaamisen parantamiseksi.
Näin tunnistat erilaisia huijausyrityksiä:
Saat viestin, jossa vaaditaan kiireellistä kirjautumista pankkiin, verottajan, postin tai muun viranomaisen nimissä. Myös viihdepalveluiden nimissä on lähetetty huijauslinkkejä.
Linkin verkkosivun osoite muistuttaa aitoa, mutta sisältää pieniä kirjoitusvirheitä tai ylimääräisiä merkkejä.
Kirjautumisen jälkeen sinua pyydetään vahvistamaan toiminto, jota et itse ole aloittanut.
Tilillesi ilmestyy odottamattomia suorituksia tai sieltä lähtee maksuja, joita et tunnista.
Toimi näin suojautuaksesi:
Älä kirjaudu pankkiin tai muihin palveluihin sähköposti- tai tekstiviestilinkin kautta.
Siirry palveluun kirjoittamalla osoite itse selaimen osoiteriville tai käyttämällä virallista mobiilisovellusta.
Lue vahvistuspyynnöt huolellisesti – varmista, että hyväksyt vain itse aloittamasi tapahtuman.
Älä koskaan luovuta pankkitunnuksia tai vahvistuskoodeja puhelimessa.
Seuraa tilitapahtumiasi säännöllisesti.
Ota käyttöön pankkisi tarjoamat turvaominaisuudet ja ilmoitukset.
Opiskele ja paranna digiosaamistasi ja tietoturvaosaamistasi Kyberturvallisuuskeskuksen sivuilla.
Poliisi muistuttaa, että pankit ja viranomaiset eivät koskaan pyydä pankkitunnuksia tai vahvistuskoodeja sähköpostitse, tekstiviestillä tai puhelimitse.
Suhtaudu varauksella myös erilaisten viihdepalveluiden posteihin vanhentuneista luottokorttitiedoista tai muista epämääräisistä ilmoituksista.
Näissä tapauksissa varmistu käyttämäsi viihdepalvelun maksutiedot suoraan viihdepalvelun omilta sivuilta, äläkä käytä viesteissä olevia linkkejä kirjautumiseen tai tee se erittäin harkiten.