Suomalaiset menettivät viime vuonna pankkitunnuksia kalastelleille rikollisille kymmenen miljoonaa euroa. Tämä oli noin kolmasosa Finanssiala ry:n jäsenpankkien tietoon tulleista verkkohuijareille menetetyistä rahoista.
Erityisasiantuntija Juha Tretjakov Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksesta kertoo, että heille ilmoitettujen pankkitunnusten kalasteluun liittyvien huijausyritysten määrät ovat olleet tasaisessa kasvussa jo useita vuosia.
– Kyllä niitä tulee useita päivittäin. Viime vuonna ilmoituksia tuli kuukaudessa sadasta kahteensataan. Vuonna 2019 ilmoituksia tuli vielä vain 40 – 70 kuukaudessa.
Kyberturvallisuuskeskus tiedottaa viikoittain liikkeellä olevista verkkohuijauksista.
Huijauskampanjoita tulee ja menee. Eri pankkien nimissä huijausyrityksiä tuntuu olevan jatkuvasti liikkeellä. Huijauskampanjoita on tehty myös terveystietopalvelu Oma Kannan, Verottajan, Postin, poliisin ja teleoperaattorien nimissä.
Tretjakov kertoo, että viime aikoina tunnuslukujen kalasteluviestit ovat tulleet enimmäkseen tekstiviesteinä.
– Pankin nimissä lähetetyissä viesteissä pyydetään reagoimaan johonkin kiireellisesti ja klikkaamaan viestissä olevaa linkkiä, joka vie valeverkkopankkisivulle. Jos sinne kirjautuu, niin tunnukset päätyvät huijarille. Pääosin ne onneksi jäävät yrityksiksi.
Tretjakov uskoo, että tekoäly ja koneoppiminen tuovat jatkossa mukanaan uudenlaisia ja uskottavampia huijauksia.
– Niiden kanssa täytyy sitten vain viranomaisten ja pankkien olla valmiina.
Vakuutus- ja rahoitusneuvonta FINEssä yhteydenotot kalasteluhuijauksista kaksinkertaistuivat viime vuonna
Entistä useampi tunnuslukujen kalastelun uhriksi joutunut pankkiasiakas katsoo, ettei ollut menettänyt rahojaan omaa huolimattomuuttaan.
Jos pankki kieltäytyy korvaamasta menetyksiä, moni hakee apua Vakuutus- ja rahoitusneuvonta FINEstä. Sinne tulleiden maksuvälineiden oikeudetonta käyttöä koskevien yhteydenottojen määrä kaksinkertaistui viime vuonna kahdesta edellisvuodesta.
Yhteydenottoja tuli noin 450, joista osa ratkaistiin jo neuvonnassa. Noin sata tapausta vietiin riita-asiana Pankkilautakuntaan, joka antaa niistä pankeille ratkaisusuosituksen.
– Eniten käsittelyyn tuli tapauksia, joissa rikolliset olivat kalastelleet pankkitunnuksia ohjaamalla uhrit aidolta verkkopankilta näyttävälle valesivustolle, FINEn jaostopäällikkö Tuomas Hidén kertoo.
Pankin mobiilisovelluksen kaappauksesta seuraa uhrille mittavat vahingot
Rikolliset harhauttavat pankkien tai viranomaisten sivuille aikovat kirjautumaan verkkopankkitunnuksilla omalle valesivustolleen. Asiakkaat päätyvät sinne, esimerkiksi hakukoneen, kuten Googlen kautta sekä sähköposti- tai tekstiviestissä olevaa linkkiä klikkaamalla.
Jos asiakas vielä syöttää valesivuille pankin tekstiviestinä lähettämän pankkisovelluksen aktivointikoodin, rikolliset pääsevät tyhjentämään uhrin tilin.
Tuomas Hidén muistuttaa, että jos rikollinen saa asiakkaan nimissä olevan pankin mobiilisovelluksen käyttöönsä, vahingot voivat olla suuria.
– Sieltä voidaan tyhjentää paitsi uhrin tilit myös niiden perheenjäsenten tilit, joihin uhrilla on käyttöoikeus. Usein luottokorttikin voidaan tyhjentää niin, että luotto siirretään tilille ja sieltä tilisiirtoina eteenpäin. Voi olla, että myös luottokortin luottorajaa nostetaan, jolloin asiakas paitsi menettää omat säästönsä, hän saa myös velkaa vastuulleen, Hiden toteaa.
– Meillä on aika vähän juttuja, joissa vahinko on alle tuhannen euron. Käyttötililtä viedään muutama sata tai tuhat euroa ja luottokortilta vielä viisi tuhatta euroa. Monasti vahinko on kymmeniä tuhansia euroja ja välillä tulee juttuja, joissa vahingot menevät yli sadankin tuhannen euron.
Milloin uhri voi saada pankilta korvausta menetetyistä rahoista?
Saako huijauksen uhri korvauksia pankilta vai ei, riippuu asiakkaan omasta huolellisuudesta, esimerkiksi pankkitunnustensa käyttämisessä.
– Huijausten välttämisessä tärkeintä on välttää kiirettä ja käyttää malttia erityisesti uusissa asiointitilanteissa. Tekstiviestissä tai sähköpostissa olevan linkin taikka hakukoneen kautta ei verkkopankkiin tule koskaan kirjautua, vaan pankin verkkosivujen osoite pitäisi itse kirjoittaa selaimeen. Erityisen tärkeää on lukea ja huomioida oman asioinnin yhteydessä pankilta saadut viestit, Hiden neuvoo.
Maksupalvelulain mukaan vastuu kuuluu asiakkaalle, jos hän on toiminut tahallisesti tai törkeän huolimattomasti.
– Jos esimerkiksi pankin vahvistusviesti on ollut sisällöltään selkeä ja informatiivinen, asiakas voi jäädä ilman korvausta, Hiden sanoo.
Pankkilautakunta on antanut ratkaisuosituksia sekä asiakkaan että pankin hyväksi.
Onko järkevää tunnistautua pankkitunnuksilla eri palveluihin?
Finanssiala ry:n johtaja Niko Saxholmin mukaan on jo pitkään käyty keskustelua siitä, miksi verkkopankkitunnukset käyvät tunnistautumiseen joka paikkaan.
– Vahinkoja pääsee sattumaan sen takia, että pankin palveluihin kirjautumiseen tarkoitetulla välineellä tunnistaudutaan kaikkialle, koska valtio ei ole tarjonnut järkevää sähköistä tunnistautumistapaa.
Saxholm pitää verkkopankkitunnistautumista kuitenkin turvallisena, koska rikolliset eivät pääse tunnistautumistapahtuman väliin vaan joutuvat huijaamaan asiakkaat tekemään toimenpiteet rahan siirtämiseksi.
– Useimmat meistä tunnistautuvat verkkopankkitunnuksillaan eri palveluihin jopa useamman kerran viikossa, koska se on helppoa ja kätevää.
Sähköisesti voi tunnistautua myös teleoperaattorien tarjoamalla mobiilivarmenteella tai aktivoimalla henkilökortin kansalaisvarmenne. Niillä ei kuitenkaan voi tunnistautua joka paikassa, kuten verkkopankkitunnuksilla.
Kalasteluhuijausten uhreista suurin osa on keski-ikäisiä
Saxholm sanoo, että pitkään uskottiin, että pankkitunnusten kalastelurikosten uhreja olisivat lähinnä iäkkäät ihmiset.
– Poliisin viime kevään rikosilmoitustilastojen mukaan näin ei kuitenkaan ole. Suurin osa kalasteluhuijausten uhreista oli keski-ikäisiä, mutta uhreina oli myös nuoria ja vanhoja, Saxholm kertoo.
– Jos epäilee tulleensa huijatuksi, niin aina ensin ja mahdollisimman pian pitää ottaa yhteys omaan pankkiin.
Finanssiala ry:n pankeilta keräämien tietojen mukaan pankit onnistuivat viime vuonna estämään huijauksia tai saivat palautettua huijattuja rahoja takaisin 14,5 miljoonan euron edestä. Suomalaiset kuitenkin menettivät verkkorikollisille yhteensä 32,4 miljoonaa euroa erilaisissa nettihuijauksissa.
Kuuntele Radio Suomen päivän lähetys 27. helmikuuta: Liikenne- ja viestintäviraston Kyberturvallisuuskeskus saa viikoittain toista sataa ilmoitusta erilaisista verkkohuijauksista tai niiden yrityksistä. Usein huijarit kalastelevat verkkopankkitunnuksia, mutta myös sosiaalisen median huijauksista ilmoitetaan päivittäin.
Aiheesta voi keskustella 7.3. kello 23 saakka.