Viesti näyttää tulevan kollegalta, ja siinä kysytään käyttäjätunnuksia sisäiseen verkkoon. Tai ehkä klikkaat sähköpostistasi linkkiä webmailiin, jonka ulkoasu on muuttunut hiukan sitten viime näkemän. Annatko kirjautumistietosi empimättä, vai osaatko epäillä tietojenkalastelua tai valelaskua?
Yritysten ja työntekijöiden käyttäjätunnukset ja salasanat joutuvat rikollisiin käsiin yleensä sähköpostihuijausten ja valesivustojen kautta. Tiedot voivat vääriin käsiin joutuessaan aiheuttaa paljon harmia. Urkittua tietoa voidaan käyttää esimerkiksi valelaskujen tehtailuun, tai rikolliset voivat päästä käsiksi liikesalaisuuksiin.
Etenkin lomat ovat yrityksissä huijausten suhteen riskiaikaa. Arjen rutiinit muuttuvat lomakaudella, ja laskuja hyväksyvät sijaiset. Jos perehdytys on jäänyt puolitiehen, kesätyöntekijä menee helposti halpaan: uusille työyhteisön jäsenille pitäisi tarkkaan kertoa, keneltä ja millaisia laskuja omassa toimenkuvassa on odotettavissa.
Kalastelulta voi välttyä, kun toimii salasanojen ja tunnusten kanssa huolellisesti. Tietojenkalasteluviestit kehittyvät, eikä niitä ole aina helppo erottaa muusta sähköpostiliikenteestä. Suojautuminen on jokaisen työntekijän vastuulla, mutta myös ohjeistusten on oltava ajan tasalla.
Office-tunnukset tietojenkalastelijoiden suosiossa
Viestintävirasto varoitti jo kesäkuussa 2018 Office 365 -ympäristössä tehdyistä laajoista tietojenkalasteluyrityksistä. Varoitus on yhä voimassa ja ajankohtainen. Huhtikuussa 2019 Kyberturvallisuuskeskus julkaisikin erillisen pdf-oppaan riskien vähentämiseksi.
– Huomasimme Microsoftin Office 365 -ympäristössä ensimmäisen tietojenkalasteluaallon syksyllä 2017. Toinen tuli keväällä 2018, ja saman vuoden loppukeväästä voidaan puhua jo hyökyaallosta, Viestintäviraston tietoturva-asiantuntija Tomi Kinnari kertoo.
– Tietojenkalastelu on kohdistunut yhä useammin juuri yritysten päättäjiin, johtoryhmäläisiin ja talousasioista vastaaviin henkilöihin.
Päättäjien tunnusten päätyminen vääriin käsiin mahdollistaa monenlaista kiusaa. On mahdollista esimerkiksi lähettää kiireellisiä maksupyyntöjä, jotka näyttävät tulevan johtoportaalta. Työntekijöiden sähköpostiin voidaan myös ujuttaa edelleenlähetyssääntöjä, joiden perusteella sähköpostikansioiden sisällöt päätyvät rikollisiin käsiin. Näin kerättyjen laskutustietojen avulla rikolliset voivat lähettää huijauslaskuja, jotka vaikuttavat olevan esimerkiksi korjauksia oikeisiin laskuihin.
Yrityksen kannattaakin ohjeistaa työntekijöitään varmistamaan, että he käyttävät tunnuksiaan ja salasanojaan suojattujen yhteyksien kautta ja oikeissa URL-osoitteissa – tällöin verkossa ollaan varmasti oikeassa palvelussa, ei huijaussivustolla. Turvallinen tapa on kirjoittaa verkkopalvelun verkko-osoite selaimen osoiteikkunaan itse sen sijaan, että klikkaisi sähköpostiviestissä olevaa linkkiä.
Linkistä aukeavan sivun URL-osoite kannattaa tarkistaa huolellisesti, jotta välttää tietojenkalastelulta.
Huijauslaskut ja -puhelut tulevat taas
Puhelu tulee hyvin asialliselta, jopa viralliselta kuulostavasta taholta, ja soittaja haluaa ystävällisesti tarkistaa, pitävätkö yritystäsi koskevat tiedot paikkaansa. Soittoon vastannut yrittäjä itse tai yrityksen työntekijä uskoo puhuvansa esimerkiksi suurten kansallisten toimijoiden kanssa ja vastaa kysymyksiin.
Aluksi mistään ei käy ilmi, että kyseessä olisi maksullinen palvelu. Laskusta mainitaan nopeasti ja hyvin ohimennen puhelun lopulla. Parin viikon kuluttua saapuu hakemistopalvelun lasku.
– Edellä kuvattu hakemistopalveluhuijaus on edelleen tyypillisin tapaus, joista yrittäjät ovat yhteyksissä meihin, kertoo lainsäädäntöasioiden päällikkö Tiina Toivonen Suomen Yrittäjistä.
Viime vuosina ovat lisääntyneet myös laskuväärennökset sekä niin kutsutut toimitusjohtajahuijaukset. Laskuväärennöksessä tavallinen lasku on joutunut jossain vaiheessa toimitusketjua huijarin käsiin, ja tämä vaihtaa laskun saajan tilinumeron omaansa.
Toimitusjohtajahuijauksessa puolestaan johtajan assistentti tai yrityksen taloushallinnossa työskentelevä saa viestin, joka vaikuttaa tulevan johtajalta itseltään. Siinä kehotetaan maksamaan oheinen lasku tai tekemään tilisiirto pikaisesti. Tällöin kyse on identiteettivarkaudesta.
Valelaskuihin varautumista helpottaa se, että hyväksyntäprosessit ovat lomallakin selvät. Loma-aikaan laskuja käsittelevien tulisi tietää mahdollisimman tarkkaan, millaisia laskuja on odotettavissa.
Identiteettivarkaus voi kohdistua yritykseenkin
Identiteettiä voidaan yrittää varastaa yksityishenkilön lisäksi yritykseltäkin. Patentti- ja rekisterihallitus saa muutosilmoituksen, jossa vaihdetaan nimiä yrityksen johtoon, hallitukseen, tai yrityksen osoite.
– Kun muutos on voimassa, huijari voi hyödyntää vääriä tietoja monin tavoin. Tosin PRH on nyt tarkentanut käytäntöjään ilmi tulleiden tapausten takia, Suomen Yrittäjien Tiina Toivonen kertoo.
Uusin keino on lähettää laskumuotoinen kirje yritykselle, jonka tavaramerkin uudistus on käsillä. Kirje vaikuttaa tulevan viranomaistaholta, ja se antaa ymmärtää, että palvelun käyttö olisi pakollista. ”Tavaramerkin uudistuspalvelu” maksaa esimerkiksi tuhat euroa, kun yritys voi sen tehdä aivan hyvin itsekin noin parin sadan euron kustannuksella.
Estä huijaukset ja tietojenkalastelu näin
- Tarkista epäilyttävän lähettäjän sähköpostiosoite tai linkin kautta avautuneen kirjautumissivun URL-osoite huolellisesti. Turvallisinta on kirjoittaa verkko-osoite itse.
- Tarkista laskutusperuste vielä kerran, jos lasku näyttäisikin tulleen oikeasta osoitteesta, kuten esimieheltä, mutta summa tai syy epäilyttää.
- Jos saat laskun palvelusta, jota et ole tilannut, lähetä napakka reklamaatio ja ilmoita, että lasku on aiheeton. Älä peruuta tai irtisano mitään, koska sopimusta ei ole alun perinkään syntynyt. Todistetusti reklamoitua laskua ei lain mukaan saa periä.
- Tee rikosilmoitus etenkin, jos kyseessä on väärennetty lasku tai identiteettivarkaus, kuten toisen nimissä ja tunnuksilla lähetetty sähköposti.
- Ohjeista työntekijät, myös kesälomasijaiset ja harjoittelijat, asianmukaisista menettelytavoista ja siitä, ketkä yrityksessä vastaavat laskujen käsittelystä ja maksusta.
- Jos epäilet joutuneesi tietojenkalastelun uhriksi, tapaus kannattaa selvittää olemalla yhteydessä kalasteltuja tunnuksia hallinnoivaan organisaatioon, esimerkiksi oman yrityksen IT-tukeen.