Kyberturvallisuus – yrityksiä erehdytetään ovelilla sähköpostihuijauksilla

Viime viikkoina olemme saaneet lukea, miten Konecranes (pörssitiedote) ja Affecto ovat tulleet julkisuuteen ulkomaisiin tytäryhtiöihinsä kohdistuneiden miljoonaluokan petoksien johdosta. Tapauksissa epäillään hyödynnetyksi identiteettivarkautta. FBI:n mukaan pelkästään amerikkalaisiin yrityksiin kohdistuneet sähköpostihuijaukset ovat aiheuttaneet kahden vuoden aikana yli miljardin euron vahingot! Tällaisia huijauksia on myös yritetty Suomessa. Mm. kesäkuussa 2014 Itä-Uudenmaan poliisi vahvisti, että kansainvälisen konsernin Suomessa sijaitsevalta tytäryhtiöltä yritettiin huijata sähköpostin ja puhelimen avulla yli 700 000 euroa, mutta varat saatiin pysäytettyä ja nyt Helsingin poliisilaitos varoittaa samasta ilmiöstä.

Tyypillinen ilmiö on, että yrityksiä, niin pieniä kuin suuria lähestytään erittäin uskottavilla manipulointiyrityksillä, jotka rakentuvat sähköpostin varaan. Huijausyritykset voidaan jakaa karkeasti kahteen kategoriaan:

  1. Valelaskutus (Invoice Scam)

Yritystä lähestytään viestillä, jossa ilmoitetaan toimittajan yhteystietojen muuttuneen ja annetaan uusi tilinumero, jonne laskut tulisi maksaa. Viestin lähettäjätiedot on tyypillisesti väärennetty enemmän tai vähemmän taidokkaasti. Esimerkiksi jos oikea toimittajan yhteyshenkilön sähköpostiosoite on etunimi.sukunimi@yritys.com, väärennetty viesti voi tulla osoitteesta etunimi.sukunimi@yritys1.com. Viestin ulkoasu voi olla lähes identtinen oikean kirjeenvaihdon kanssa, sillä huijari on voinut saada haltuunsa toimittajan asiakaslistoja esimerkiksi tietovuotojen perustella tai jopa murtautumalla toimittajan tietokantoihin. Näiden tietojen avulla yrityksiä voidaan lähestyä hyvin räätälöidyillä viesteillä, jotka lähetetään täsmälleen niihin taloushallinnon osoitteisiin, joissa laskuja käsitellään, erotuksena kuluttajiin kohdistettuihin (massa)huijauksiin, joissa viestejä lähetetään sattumanvaraisiin osoitteisiin.

  1. Toimitusjohtajahuijaus (CEO Fraud)

Tässä huijaustavassa yrityksen taloushallinnon työntekijää lähestytään sähköpostilla, joka vaikuttaa tulevan yrityksen toimitusjohtajalta (tai talousjohtajalta). Viestissä selostetaan, että tekeillä on yrityskauppa, johon liittyen tulisi suorittaa huomattava kauppasumma. Viesti voi olla peräisin väärennetystä osoitteesta tai joissain tapauksissa johtajan aidosta, mutta hakkeroidusta gmail- tai vastaavasta sähköpostitilistä. Viestintään liittyy tyypillisesti painotusta asian ehdottomasta luottamuksellisuudesta, sekä tarpeesta saada varat siirtymään pikaisesti, jottei kauppa vaarantuisi. Näin pyritään saamaan varat nopeasti huijareiden ja ehkäisemään, että uhri puhuisi asiasta kollegoilleen, joka voisi paljastaa tekeillä olevan petoksen..

Huijari saattaa tehostaa huijausta soittamalla uhrille ja esiintyen esimerkiksi yrityskauppaa hoitavana lakimiehenä. Puhelimen päässä voi olla taho, joka puhuu virheetöntä englantia ja käyttää uskottavaa ammattikieltä. Huijari on monesti onkinut tietoonsa yrityskohtaista tietoa, esimerkiksi ketkä johdosta ovat lomalla tai työmatkalla (helppo selvittää out-of-office viesteistä, jos niiden näkyvyyttä ei rajoiteta) ja käyttää tätä argumentaationsa lisätehosteena. Yrityskauppa Thaimaassa on skenaariona paljon todennäköisempi, jos toimitusjohtaja sattuu olemaan siellä juuri työmatkalla. Jos uhri nielaisee koukun, saadaan siirrettyä huomattavia summia, jotka voivat kohota jopa kymmeniin miljooniin euroihin. Yhdysvaltalaiselta Ubiquiti Networksilta huijattiin 46,7 miljoonaa dollaria, joka on julkisuuteen tuoduista tapauksista toistaiseksi suurin.

Huomionarvoista on, ettei tämä kyberpetosrikollisuuden muoto vaadi mitään sen kummempaa teknistä osaamista – eikä kääntäen teknisten haittaohjelmahyökkäysten ja vastaavien torjuntaan hankitusta ratkaisuista ole juurikaan hyötyä, koska toiminta perustuu ihmisten manipulointiin ja on hyvin tarkasti kohdennettua. Manipulointiin perustuvan huijaukseen voi varautua vain kehittämällä toimintaprosessejaan.

Jos olet joutunut tällaisen huijauksen uhriksi, ota pikaisesti yhteyttä pankkiisi maksun peruuttamiseksi, sekä tee rikosilmoitus poliisille. Vaikka rikollinen ei onnistuisi siirtämään rahaa, kannattaa silti käydä tekemässä rikosilmoitus, jotta ilmiö ei jää piilorikollisuudeksi. Ennaltaehkäisevinä toimina henkilökunnan kouluttaminen tunnistamaan tällaisia huijausyrityksiä on erinomaisen tärkeää. Esimerkiksi perusasioina tulisi käydä läpi minkä suuruisia maksuja voi käsitellä yksin, mitä kanavia pitkin johdon korkean prioriteetin toimeksiannon tulevat, miten toimittajan laskutustietojen muutokset käsitellään. Kannattaa myös selvittää, mitä kaikkia tietoja yrityksestä ja sen henkilökunnasta antaa julkisuuteen tietoisesti tai tiedostamattaan.

Lisätietoja:

Helsingin poliisilaitoksen tiedote: https://www.poliisi.fi/helsinki/prime101_fi.aspx/1/0/helsingin_poliisi_varoittaa_yrityksia_meneillaan_olevasta_huijauksesta_38792

Valelaskuista suomeksi kuluttajanäkökulmasta: http://www.kkv.fi/Tietoa-ja-ohjeita/Ostaminen-myyminen-ja-sopimukset/huijaukset/valelaskut/

Valelaskuista englanniksi https://www.scamwatch.gov.au/news/invoice-email-scam-now-targeting-australian-businesses

Toimitusjohtajahuijauksesta englanniksi http://krebsonsecurity.com/2015/08/fbi-1-2b-lost-to-business-email-scams/

Elias Alanko

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out /  Muuta )

Google photo

Olet kommentoimassa Google -tilin nimissä. Log Out /  Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out /  Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out /  Muuta )

Muodostetaan yhteyttä palveluun %s