Lastensuojelun viesteiksi verhoiltu kalasteluyritys oli vakavampi kuin ensin luultiin – Yrityksen koko kassa tyhjeni, rikollisille jopa 200 000 euroa

Viime viikolla Kyberturvallisuuskeskus kertoi vahvan tunnistautumisen kalasteluyrityksistä, jotka olivat viranomaisen mukaan johtaneet yrityksissä enimmillään sadan tuhannen euron menetyksiin.

Kalasteluyrityksissä henkilölle oli lähetetty tekstiviesti, jossa kerrottiin lastensuojelusta saapuneesta turvaviestistä. Tekstiviestissä olleesta linkistä käyttäjä ohjattiin kalastelusivulle, jossa tekaistun viestin lukemista varten pyydettiin kirjautumaan pankkitunnuksilla ja mobiilivarmenteella.

Yrittajat.fin saamien tietojen mukaan huijauksella on onnistuttu tyhjentämään yksittäisen yrityksen koko kassa ja suurimmillaan menetys on ollut yhden yrityksen kohdalla noin 200 000 euroa.

Netvisorista vastaava Visma Solutions on tutkinut asiaa tiiviisti viime viikon tiistaista, jolloin yritys sai tietoa vahvan tunnistautumisen kalastelusta. Kalasteluviestejä on lähetetty myös muun muassa Fennoan asiakkaille.

– Asiakkaidemme keskuudessa menetetty kokonaissumma liikkuu yhteensä muutamissa sadoissa tuhansissa euroissa, tietoturva- ja tietosuojajohtaja Riku Tarkiainen kertoo. Hänen mukaansa tutkinta on edelleen käynnissä ja asiaa selvitetään yhdessä viranomaisten kanssa.

Yritysasiakkaan sopimukset sekä kyseisen käyttäjän palveluun määritetyt käyttöoikeudet määrittävät, onko rahan siirtäminen Netvisor-palvelun kautta mahdollista.

Käyttäjä autuaan tietämätön

Julki tulleissa tapauksissa käyttäjälle on saatettu lähettää tekstiviesti, jolla ilmoitetaan kohta saapuvasta mobiilivarmenteen tunnistuksesta tai annetaan linkki sivustolle, joka pyytää syöttämään pankkitunnukset. Tämän jälkeen rikollinen hyödyntää käyttäjän puhelinnumeroa tai pankkitunnuksia kirjautuakseen mobiilivarmenteella johonkin palveluun, kuten Netvisoriin. Jos käyttäjä on erehtynyt antamaan mobiilivarmenteen pin-koodinsa tai pankkitunnuksensa, rikollinen pääsee sisään palveluun.

– Käytännössä kalastelusivulla on ollut pankkien logoilla varustetut linkit samaan tapaan kuin esimerkiksi Suomi.fi -palvelussa. Kalastelun avulla rikollinen on saanut kertaluonteisen pääsyn Netvisoriin käyttäjän identiteetillä, Tarkiainen kertoo. Mobiilivarmenne on käytössä lukuisissa viranomaispalveluissa kuten Kelan ja verottajan palveluissa. 

Netvisoriin kirjaudutaan pankkitunnuksilla ja mobiilivarmenteella tai mobiilisovelluksella. Sovelluksen kautta rikolliset eivät ole päässeet palveluun. Tarkiaisen mukaan huijari on ollut kalasteluhetkellä valmiina kirjautumaan Netvisoriin, kun käyttäjä on luovuttanut tarvittavat tiedot sisäänkirjautumista varten. Käyttäjällä ei ole ollut tietoa siitä, että rikollinen yrittää kirjautua hänen yrityksensä Netvisor-tilille.

– Kaikki operaattorit eivät kerro mobiilivarmenteessa, mihin palveluun kirjautumiseen varmennetta kulloinkin käytetään. Osa operaattoreista näyttää vain operaattorin nimen.

Huijarit olisivat Tarkiaisen mukaan voineet käyttää samaa kalastelua myös kirjautuakseen verkkopankkiin. Vielä ei ole selvillä, millä perusteilla kalastelun uhrit on valittu.

– Epäilyksemme on, että tämä on ollut laaja kalasteluyritys. Mitään viitteitä ei ole siitä, että kalastelu olisi yritetty kohdistaa vain Netvisorin asiakkaisiin.

Yksi ylimääräinen tunnistautumisvaihe

Visma Solutions lisäsi viime viikon perjantaina Netvisor-palveluun ominaisuuden, joka lisää yhden ylimääräisen vahvan tunnistautumisen maksun lähettämiseen.

– Tämä on jatkossa pysyvä käytäntö vastaavaan tapaan kuin verkkopankeissa, Tarkiainen sanoo. Hänen mukaansa osa asiakkaista on kritisoinut vahvistettua maksuprosessia.

– Pääasiallisesti palaute on ollut positiivista, mutta toki tällainen muutos voi tuoda ihmisille hetkellistä harmia. Joissakin palautteissa on kritisoitu maksamisprosessin vaikeutumista. Ohjelmistotalona olemme tottuneet siihen, että saamme palautetta, kun asiat muuttuvat. Teemme tämän puhtaasti asiakkaiden turvallisuuden takia.

Mobiilivarmenteen käyttäjille suositellaan häirinnänestokoodin käyttöönottoa, joka voi vaikuttaa mobiilivarmenteen kalastelua.

– Se ei toki estä kalastelua, mutta tekee siitä vaikeampaa, Tarkiainen jatkaa.