Luottokortti koukussa

Luottokorttitietoja yritetään usein kalastella sähköpostihuijauksilla.

© Shutterstock

Purjehduskerho lankesi sähköpostihuijaukseen

Rikolliset saivat puijattua tanskalaiselta purjehduskerholta tuhansia euroja yksinkertaisella sähköpostikikalla. Tietoturva-asiantuntijan mukaan huijauksen kohteeksi joutuu joka neljäs sikäläinen yritys.

keskiviikko 13. syyskuuta 2017 teksti Christian Slot

"Hei Rudy,

Minun pitää hoitaa yksi maksu vielä tänään. Mitä pankkitietoja olet käyttänyt maksamiseen

Terveisin
Jan”


Yllä oleva viesti tuli Jan Ludvigsenilta, tanskalaisen Jyllingenin purjehduskerhon puheenjohtajalta kerhon rahastonhoitajalle Rudy Bülowille. 

Viestiketjussa puheenjohtaja haluaa siirtää 26 400 Tanskan kruunua (noin 3 500 euroa) tietylle pankkitilille.

"Se sopi hyvin siihen, että Jan oli löytänyt kerholle uuden veneen”, kertoo Bülow.

Kohdistettu huijaus

Kyseessä oli kuitenkin ovelasti toteutettu kohdistettu tietojenkalastelu, jossa kerhon puheenjohtajan nimissä yritettiin huijata rahaa.

Niin isoihin kuin pieniin yrityksiin kohdistuu entistä useammin uskottavia huijauksia, joihin kuuluu muun muassa toimitusjohtajahuijaus (CEO Fraud). Siinä maksuliikenteestä vastaavalle työntekijälle lähetetään sähköpostia, joka vaikuttaa tulevan pomolta.

Myös purjehduskerhon tapauksessa olosuhteet ja tapahtumat olivat kuin konnien käsikirjoittamia.

”Olin jo toinen jalka lomalla, enkä kiinnittänyt sen enempää huomiota ensimmäisen viestin pieniin kirjoitusvirheisiin”, kertoo Bülow ja lisää, että viestin lähettäjä ja lähettäjän sähköpostiosoite olivat oikein.

Huijarit olivat vain luoneet uuden sähköpostitilin ja käyttäneet sen lähettäjänimenä kerhon puheenjohtajan nimeä.

Viestivaihdossa kerhon kassanhoitajan kanssa huijarit käyttivät eri vastausosoitetta, joka tulee näkyviin vain, jos alkuperäisen viestin lähettäjänimi valitaan.

Vasta viestin tietojen vastausosoite paljasti, että viesti ei tullut oikealta lähettäjältä.

Joka neljäs kokenut kalastelua

"Olihan se aivan sietämättömän raivostuttava kokemus, mutta olemme muuttaneet rutiineja nyt niin, että isommat summat pitää vahvistaa tekstiviestillä”, kerhon puheenjohtaja Ludvigsen kertoo.

Tanskalaisen pörssiyhtiö Brødrene A. & O. Johansenin tietoturvapäällikkö Henning Mortensen arvioi, että vähintään neljännes tanskalaisyrityksistä on joutunut toimitusjohtajahuijauksen kohteeksi.

"Toimitusjohtajahuijauksia (CEO Fraud) tehdään jatkuvalla syötöllä. Huijauksiin lankeaa kuitenkin melko harva yritys, koska huijauksista on tiedotettu paljon. Uhriksi joutuneelle asia on vakava, sillä kyse on yleenä isoista summista”, toteaa Mortensen.

Jyllingen purjehdusseura yritti saada rahansa takaisin, mutta summa oli ehditty siirtää toiselle tilille ulkomaille, missä sitä ei voitu enää seurata.

Suomessa Viestintävirasto varoittaa yrityksiin kohdennetusta sähköpostitunnusten kalastelusta. Viimeksi kesäkuussa Suomessa havaittiin runsaasti tietojenkalasteluun tähtääviä sähköpostiviestejä. Kampanja oli kohdennettu lähinnä yritysten johdolle ja IT-ylläpidossa työskenteleville henkilöille.

Tietojenkalastelulta ei välty yksityiskäyttäjäkään. Juuri nyt on ajankohtainen huijauskampanja, jossa Verohallinnon nimissä lähetetyssä viestissä kerrotaan vastaanottajan saavan palautuksia. Viesti ohjaa kuitenkin sivulle, jolla yritetään varastaa luottokortti- ja pankkitiedot.

Näin vältät toimitusjohtajahuijauksen (CEO Fraud):

  • Tarkista lähettäjän tiedot sähköpostiviestistä: Onko vastausosoite eri kuin lähetysosoite?
  • Sopikaa, että maksut vahvistaa useampi henkilö – myös eri välineissä (esimerkiksi puhelimitse tekstiviestillä)
  • Tutki viestin kieliasua. Huijausviestissä voi olla siinä epätavallisen paljon kirjoitusvirheitä tai viestin muotoilu voi poiketa lähettäjän tyylistä. 

Ehkä sinua kiinnostaa...