Tämä juttu on julkaistu alun perin MPC:n numerossa .

Jonakin päivänä se tapahtuu. Saat viestin aiheesta, jota olet jo odottanut. Klikkaat linkkiä, syötät tietoja ja painat Enter. Sinne menivät, tietosi huijarille.

Kaikki näytti aivan normaalilta – paitsi pieni poikkeama selaimen osoiterivillä. Mutta juuri sillä kertaa et ollut tarkkana, koska olit poikkeuksellisen väsynyt, innoissasi tai huolissasi.

Sähköpostin sijaan saatat myös klikata puolihuolimattomasti tutulla sivulla olevaa uskottavan näköistä mainosta. Tai ladata ja asentaa tutun ilmaisohjelman klikkaamalla Seuraava-painiketta monta kertaa peräkkäin, aivan kuten olet tehnyt ennenkin. Tai maksaa nettihuutokaupasta ostamasi tuotteet pankkisiirrolla ennen kuin saat tuotteen.

Huijareita on joka puolella nettiä. Ja lisää tulee, koska verkkohuijaukset ovat niin kannattavia ja kiinnijäämisen riski pieni.

Vaikka huijausyritysten uskottavuus kasvaa vähitellen, vahingot voi yleensä välttää perehtymällä pikaisesti yleisimpiin huijaustyyppeihin ja niiden varoitusmerkkeihin. Huijaukset eivät ole yleensä erityisen hienostuneita, sillä yllättävän moni netinkäyttäjä ei tunne vaaran merkkejä kunnolla. Jos sinä tunnet, niin annathan tämän artikkelin luettavaksi sellaiselle, joka ei tunne yhtä hyvin.

Varo sähköpostin linkkejä

Sähköposti on huijareiden suurin suosikki, koska viestin lähettäjätiedot on helppo väärentää ja sähköpostilla tavoittaa satoja tuhansia ihmisiä nopeasti ja lähes ilmaiseksi.Sähköpostihuijauksilla yritetään yleensä saada vastaanottaja joko siirtymään huijarin nettisivulle tai luomaan suhde ja huijata sen varjolla rahaa.

Olennaisinta on muistaa, että viestin lähettäjän nimen ja sisällön perusteella ei voi välttämättä varmistua sen aitoudesta. Lähettäjäksi voi olla merkitty vaikka ystäväsi (ja viesti voi jopa tulla hänen kaapatulta sähköpostitililtään) ja sen sisältö voi olla täsmälleen saman näköinen kuin käyttämäsi nettipalvelun viestit aina ovat.

Nosta tarkkaavaisuuttasi heti, jos viestissä pyydetään sinulta jotain – yleensä klikkaamaan linkkiä tai vastaamaan. Linkin voi yleensä tarkistaa helposti viemällä hiiren osoittimen sen päälle. Jos osoitteen muoto on www.tuttupalvelu.com/tässävoiollamitävain123n&%, eli ennen ensimmäistä kauttaviivaa on palvelun oikea domain kuten netflix.com, osoite lienee oikea. Huijaussivujen osoitteissa on usein jokin tuttu osa, mutta väärässä kohdassa. Esimerkiksi osoite joku.com/www.netflix.com on selvä huijausosoite.

Kannattaa myös varoa, jos www-osoitteessa on @-merkki. Sitä käytetään normaalisti käyttäjätunnuksen välittämiseen verkkosivustolle, mutta huijari voi merkin avulla muuttaa ”käyttäjätunnukseksi” osoitteen sille sivulle, jossa hän haluaa sinun luulevan olevasi – ja piilottaa sitten huijaussivunsa todellisen osoitteen korvaamalla sen merkit niiden url-enkoodatuilla vastineilla.

Esimerkiksi linkki http://www.mpc.fi@%67%6F%6F%67%6C%65%2E%66%69 näyttää vievän MPC:n sivuille, mutta todellisuudessa linkki viekin osoitteeseen google.fi. @-merkin jälkeinen prosenttimerkkisekamelska on palvelimen oikea osoite url-enkoodattuna: selain lukee %67-merkkijonon g-kirjaimena, %6F:n o-kirjaimena, ja niin edelleen.

Huomaa myös, että linkki voi olla naamioitu näyttämään tekstissä aidolta. Useimmat nykyaikaiset sähköpostiohjelmat käyttävät oletusarvoisesti html-muotoiltuja viestejä. Niissä on helppo muotoilla esimerkiksi teksti http://mpc.fi linkiksi osoitteeseen http://huijaussivu.net. Todellinen osoite näkyy kuitenkin osoittamalla linkkiä hiirellä – tai ainakin selaimen osoiterivillä, jos linkkiä ehtii klikata.

Osoiterivilläkin näkyvä osoite voi johtaa huijaussivulle, jos huijari on käyttänyt siinä sellaisia ei-länsimaisia kirjaimia, jotka näyttävät hyvin samanlaisilta kuin länsimaiset. Esimerkiksi kyrillinen а-kirjain näyttää lähes identtiseltä länsimaisen a-kirjaimen kanssa. Silmin eroa ei helposti näe, mutta aito tuttupalvelu.com ja kyrillisellä a-kirjaimella kirjoitettu tuttupаlvelu.com ovat todellisuudessa eri sivustoja.

Tämänkään takia sähköpostitse tulleita linkkejä ei kannata klikata, vaan tututkin osoitteet kannattaa kirjoittaa itse selaimen osoitekenttään.

Muista myös, että verkkopankit, PayPal, verkkokaupat ja selainpohjaiset sähköpostipalvelut sekä useat muut luottamuksellisia tietoja sisältävät verkkopalvelut käyttävät salattua tiedonsiirtoa, jolloin osoite alkaa https:llä eikä http:llä (Lisää aiheesta sivulla 56).

Älä meilaa tunnuksiasi

Pankit eivät koskaan ota yhteyttä sähköpostilla, tekstiviestillä tai puhelimella. Älä koskaan klikkaa ”pankilta” tulleessa sähköpostissa olevaa linkkiä, äläkä ainakaan syötä tunnuksiasi sivulle johon jouduit, vaikka se näyttäisikin kuinka aidolta tahansa. Ainoa turvallinen tapa käyttää verkkopankkia on pankin oman www-sivun kautta.

Pankit eivät lähesty asiakkaitaan tällä tavalla sähköpostilla. Nordean nimissä lähetty viesti osoittautuu huijaukseksi myös kirjoitusvirheiden ja muualle vievän linkin ansiosta.

Jos viestissä pyydetään lähettämään tunnuksesi, salasanasi tai luottokorttinumerosi, on kyseessä huijaus. Kukaan asiantunteva palvelun ylläpitäjä ei pyydä sellaista. Älä ikinä lähetä näitä tietoja, jos joku pyytää niitä sähköpostilla. Myös muiden henkilötietojen lähettämistä kannattaa aina harkita vakavasti.

Yleinen huijaustyyppi on sellainen, jossa saat viestin tuttavaltasi, jonka osoitekirja on tavalla tai toisella otettu käyttöön, kun tämä on esimerkiksi huomaamattaan antanut jollekin verkkopalvelulle oikeudet siihen. Viestissä kerrotaan, että tuttavasi tykkää palvelusta X ja haluaa pyytää sinut mukaansa. Älä liity. Tai ainakin varmista asia ensin tuttavaltasi.

Tutulta tulevassa viestissä saattaa myös olla vaikkapa jaettava Google Drive -asiakirja, jota klikkaamalla joutuu aidon Googlen näköiselle sisäänkirjautumissivulle. Mikäli annat käyttäjätietosi, saa huijari Google-tunnuksesi ja kaikille Google-yhteystiedoillesi lähetetään sama viesti.

Viestin liitetiedostoja on myös aina syytä varoa. Erityisesti, jos et odota saavasi sellaista. Jos viestin sisältö on lisäksi hyvin lyhytsanainen tai vähänkään outo, varmista lähettäjältä, että hän on todella lähettänyt liitteen.

Rahasi viedään varmasti

Saitko sähköpostin, joka sai sinut innostumaan, pelästymään tai tuntemaan sympatiaa? Jos lähettäjä ei ole tuttusi ja viestin sisältö täysin uskottava toisellakin lukemalla, yritetään sinua todennäköisesti huijata. Varsinkin kaikki viestit, joissa luvataan rahaa tai pyydetään sitä, ovat lähtökohtaisesti hyvin epäilyttäviä.

Yksi tyypillisimmistä tavoista huijata on kertoa, että saat jostain syystä paljon rahaa, kunhan ensin lähetät vähän rahaa. ”Kaukainen sukulaisesi” voi olla kuollut tai afrikkalainen liikemies voi tarvita apua ”suuren rahasumman siirtämisessä”. Tämäntyyppisiä yrityksiä kutsutaan usein nigerialaiskirjeiksi huijaustyypin tunnetuimman alkuperämaan mukaan.

Voisi luulla, että tuntemattoman afrikkalaisen lähettämä sijoitusvinkki herättäisi kenen tahansa epäilykset, mutta aina löytyy täysijärkisiä ja varakkaitakin ihmisiä, jotka menevät lankaan. Suomessa tiettävästi suurin yksittäinen nigerialaiskirjetyyppinen huijaus liittyy Hämeenlinnaan suunnitellun autokeskuksen, Sunny Car Centerin, rahoitukseen. Rikoksen tutkinta on vielä kesken, eikä yksityiskohtia huijaustavasta ole vielä julkaistu.

Huijari voi myös yrittää vakuutella, että koneeltasi on löytynyt laitonta materiaalia. Tuskin on, ja vaikka olisikin, rahan lähettäminen ei auta.

Erittäin fiksu huijaus on sellainen, jossa lähetetään sähköpostia verkkotunnuksen omistavalle henkilölle, jonka tunnus on oikeasti lähiaikoina raukeamassa. Verkkotunnuksen voimassaoloajat ovat julkista tietoa ja yleensä myös tunnuksen ylläpitäjän tiedot ovat saatavissa. Viestissä huijari sitten pyytää saajan luottokorttitietoja verkkotunnuksen uusimiseksi.

Verkkotunnus kannattaa aina uusia sen verkkopalvelun kautta, josta tunnuksen on varannut.

Muista, että huijaus voi alkaa hyvin hienovaraisesti. Aluksi lähettäjä ei pyydä mitään ja voi jopa tarjota sinulle jotakin, mutta ennen pitkää pyyntö tulee. Jos jokin tuntuu melkein liian hyvältä ollakseen totta, se on.

Ne ovat Facebookissakin

”Kaikki” ovat nykyään Facebookissa, myös huijarit. Facebookissa kannattaa varoa erityisesti kaikkein houkuttelevimpien linkkien klikkaamista.

”Katso, miten kävi kun isä näki tyttärensä webcam-esityksen” kehotti muutama vuosi sitten Facebook-julkaisu, joka saattoi olla kaverin jakama tai tykkäämä. Julkaisua klikkaamalla joutui nettisivulle, jossa piti vielä klikata muutamaa linkkiä saadakseen videon nähtäville. Nämä klikkaukset näkyivät Facebookissa tykkäämisenä ja lopulta käyttäjälle tarjottiin mahdollisuutta voittaa kännykkä. Jos syötti puhelinnumeronsa, tuli liittyneeksi maksulliseen tekstiviestipalveluun. Vaikka ei syöttänytkään, oli jo levittänyt tätä niin sanottua clickjacking-huijausta.

Viime aikoina Facebookissa on liikkunut paljon julkaisuja, joilla voi testata henkisen ikänsä, älykkyytensä tai kuka on edellisessä elämässään ollut. Suuri osa testeistä on harmittomia ja jotkut jopa hauskoja, mutta koska ne ovat niin suosittuja, ovat myös huijarit tulleet apajille.

Monien testien takana on what-character-are-you.com. Se on tuottanut muun muassa testit Pystytkö läpäisemään Pisa-testin, Keitä esi-isäsi olivat ja Voimmeko ottaa vain 20 kysymyksen avulla selvää siitä, kuka sinä olet. Palvelu antaa testistä aina hyvät pisteet, vastasi käyttäjä mitä tahansa. Näin käyttäjä jakaa tuloksensa varmemmin ja testi jatkaa leviämistään. Palvelun tarkoituksena lienee kerätä mahdollisimman paljon kävijöitä sivuilleen, jotta niille tulisi mahdollisimman paljon mainosnäyttöjä.

Ainakaan tähän mennessä sivut eivät ole levittäneet haittaohjelmia, mutta pelkästään virheellisten tulosten levittämisen takia palvelua voi pitää huijauksena ja hyvänä esimerkkinä siitä, miten suosittuja palveluita aletaan nopeasti käyttää hyväksi.

Uskottavan näköisessä viestissä kehoitetaan uudelleenaktivoimaan Netflixin jäsenyys. Linkki johtaa kuitenkin jonnekin aivan muualle kuin videopalvelun sivuille.

Testit ja kyselyt voivat olla myös tietojenkalastelukysymyksiä, joilla pyritään selvittämään henkilökohtaisia tietojasi myöhempää huijaustarkoitusta varten.

Mitä Facebookissa sitten uskaltaa klikata ja tykätä? Monista huijauksista tiedetään nopeasti Facebook-sivulla FB:n vaarat ohjesivusto. Tästä vapaaehtoisvoimin ylläpidetystä sivusta kannattaa tykätä! Olennainen apu kaikissa epäilyttävissä tapauksissa on tietenkin Google. Et yleensä ole ensimmäinen, joka huijaukseen törmää.

Jos alat pelata jotakin Facebook-peliä tai käyttää muuta sovellusta, tarkista mitkä oikeudet sovellus saa. Lupaa ei kannata antaa automaattisesti etenkään tilanteissa, joissa oikealle sovellukselle on annettu aiemmin lupa, ja se kysyy sitä uudelleen. Sovellusten lähettämissä viesteissä pitäisi lukea ”via Sovelluksennimi”. Jos viestissä lukee ”via Sovelluksennimi jotakinmuutaperässä”, saattaa kyseessä olla huijausyritys.

Todelliset sovellukset tunnistaa varmimmin application ID -sovellustunnuksesta, joka näkyy oikean sovelluksen julkaisun osoitteessa ja selaimen alapalkissa, kun vie kohdistimen sovelluksen nimen kohdalle.

Liian hyvät kaupat?

Pelkästään huijauksia varten rakennettujen sivujen lisäksi huijausyrityksiä voi esiintyä kaikissa nettipalveluissa, joihin käyttäjät saavat syöttää sisältöä. Erityisen sopivia huijauspaikkoja ovat huutokaupat ja muut palvelut, joissa voi ostaa ja myydä.

Myydessä kannattaa varoa ylihintaisia ostotarjouksia sekä liian hyviä tai epätavallisia kauppaehtoja. Kannattaa vaatia maksu etukäteen (vaikka itse etukäteen ei kannatakaan maksaa) tai viimeistään luovutushetkellä. Suomessa shekit ovat harvinaisia, mutta ulkomaiset ostajat saattavat tarjota jopa yli myyntisumman kirjoitettuja katteettomia shekkejä, joista vaaditaan tilisiirrolla tai muulla tavoin palauttamaan ylimenevä osa. Suomen rajojen ulkopuolelta tulevat suuret maksusuoritukset voivat jopa johtaa rahanpesuselvittelyihin.

Auslogics Duplicate File Finder asentaa koneelle selaimen asetukset sotkevan Spigot-mainosohjelman, jos käyttäjä ei älyä valita pika-asennuksen sijaan mukautettua asennusta ja poista valintaa turhien lisäosien kohdalta.

Jos lähetät tuotteen postin välityksellä, pakkaa se hyvin, ja jos vastaanottaja väittää, että tavara on vaurioitunut matkalla ja vaatii kaupan purkamista, pyydä ostajaa ensin palauttamaan tavara.

Ostaessasi harkitse vakavasti, uskallatko maksaa tuotteen ennakkoon. Älä käytä ainakaan Western Unionin tapaista palvelua, jossa ei ole minkäänlaista ostosuojakäytäntöä. Älä myöskään luovuta luottokorttitietoja sellaisenaan, vaan käytä luottokorttitietojen suojaamiseen mieluummin mahdollisuuksien mukaan esimerkiksi PayPalia.

Yksityisten välisessä rahansiirrossa PayPal on riskaabeli, koska yksilöinti perustuu sähköpostiosoitteeseen. Siksi yksityishenkilöiden välisessä kaupassa kannattaa käyttää välittäjinä huutokauppa- tai kirpputorisivustoja, jotka luokittelevat myyjät ja ostajat. Ostajan saamien pisteiden ja kommenttien perusteella voi monesti luottaa riittävällä varmuudella toisen osapuolen rehellisyyteen.

Epäilyttävän edullisen tuotteen osuessa kohdalle kannattaa etsiä vastaavia tuotteita ja katsoa, onko niissä käytetty samaa kuvaa. Jos on, tuotteesta voi pyytää lisäkuvia ja -tietoja, jotta voi varmistua, että myyjällä todella on kyseinen tuote.

Jos huijari on saanut haltuunsa jonkun toisen käyttäjän tilin, hän pyrkii tyypillisesti tekemään kaupat poikkeuksellisen nopeasti ja edullisin ehdoin. Esimerkiksi Huuto.net-kauppasivuston tunnuksia saatiin taannoin kaapattua muissa verkkopalveluissa tapahtuneiden tietovuotojen avulla.

Varminta on tehdä kaupat kasvokkain. Siksi on hyvin epäilyttävää, jos lähiseudulla asuva myyjä tarjoaa vain postitoimitusta. Varo myös postiennakkoa, jos myyjästä ei ole selvitettävissä mitään taustatietoja tai et käytä palvelua, jossa voit varmentua myyjän aikaisemmasta onnistuneesta myyntitoiminnasta.

Viime aikoina netissä on myös vuokrattu ja jopa myyty asuntoja ilman tapaamista. Älä koskaan lähetä vuokraennakkoa tai edes osaa kauppahinnasta näkemättä asuntoa ja varmistamatta sen omistajuutta. Asuntokaupoissa, joissa ei käytetä kiinteistönvälittäjää, kaupat kannattaa tehdä pankissa.

Identiteettiongelma

Netissä on paljon hyviä deittipalveluja, mutta kaikki niiden käyttäjät eivät ole liikkeellä puhtain paperein. Viestittelyssä ei ole sinänsä mitään vaaraa, mutta rahaa ei pidä lähettää ikinä, vaikka olisi kuinka rakastunut. Ei ainakaan, jos ei ole tavannut toista osapuolta. Eikä kyllä muutaman tapaamisenkaan jälkeen. Vaikka tämä olisi sinulle päivänselvää, niin kaikille lähipiirissäsi ei välttämättä ole. Onko joku keski-ikäinen tai vanhempi yksinelävä tuttavasi tilanteessa, jossa häntä kannattaisi varoittaa ystävällisesti?

Varo myös nettimainoksia, joissa kerrotaan sinun olevan 100 000 000. kävijä ja voittaneen jotain tai saaneen uusia viestejä, koneestasi löytyneen vanhentuneita ajureita, viruksia tai muuten vain hidastuneen. Tällaisia mainoksia näkee usein täysin asiallisillakin sivuilla. Mainosten takana voi olla minkälainen huijaus tahansa tai haittaohjelmia levittävä sivu.

Erityisen varovainen kannattaa olla, jos googlaa ilmaisia ohjelmia, taustakuvia tai mitä tahansa ”kuumaa kamaa”, kuten julkkisten alastonkuvia. Erityisesti kaikki nopeasti pinnalle nousevat kohuaiheet ovat hämärämiesten suosiossa.

Nettihuijauksiin voidaan laskea myös ne ilmaisohjelmat, joiden mukana asentuu selaimen asetuksia muuttavia lisäosia ja muita ei välttämättä suoranaisesti vaarallisia mutta käyttöä hankaloittavia lisukkeita. Monesti lisäosien asentamisen voi välttää poistamalla asennusvaiheessa kaikki osat kuten selaimen työkalurivit (esimerkiksi Yahoo! Toolab), joita ei tarvitse. Hyvä apu ohjelmien asennuksessa on unchecky.com .

Joskus koneelle voi asentua selaimen kaappaava haittaohjelma. Ne muuttavat tyypillisesti selaimen aloitus- ja hakusivut ja voivat ohjata esimerkiksi väärennetylle Gmail-sivulle, kun yrität päästä sähköpostiisi. Huijaussivun tunnistaa siitä, ettei selaimen osoiterivillä ole sama https://mail.google.com/-alkuinen osoite kuin normaalisti. Jonkinlainen google.com-teksti osoiterivillä kyllä todennäköisesti on.

Tällaiselta sivulta ei tietenkään pidä yrittää kirjautua sähköpostiin. Jos sähköpostin tunnukset joutuvat vääriin käsiin, niitä voi käyttää hyväksi monella tavalla – pahimmassa tapauksessa viedä rahat ja varastaa käyttäjän identiteetin.

Jos epäilet, että selaimesi on kaapattu, sulje selain ja pyri uudelleen samalle sivulle tai kokeile toista selainta. Jos ongelma toistuu, etsi sivusto googlella siltä varalta, että kirjoitit osoitteen väärin. Jos ongelma ei poistu, aja ilmainen tarkistus esimerkiksi F-Securen online-skannerilla ( f-secure.com/en/web/home_global/online-scanner ) ja googlaa selainkaapparin poisto-ohjeita oireidesi perusteella – tai pyydä kokeneempi käyttäjä apuun, esimerkiksi osoitteesta mpc.fi/kysy .

Tuottoisampaa kuin huumekauppa

Nettihuijauksista aiheutuu valtavat rahalliset menetykset. Esimerkiksi FBI:n yhteydessä toimivaan Internet Crime Complaint Centeriin tehtiin vuoden 2013 aikana noin 300 000 huijausilmoitusta, joissa raportoitiin 800 miljoonan dollarin menetyksistä.

Britanniassa verkossa tapahtuneiden luottokorttihuijausten määrä kasvoi samana vuonna 24 prosenttia menetysten ollessa noin 300 miljoonaa puntaa. Britannian National Fraud Authority arvioi vuonna 2013 internetpetoksen kohteen menettäneen keskimäärin 3 700 puntaa.

Europol on arvioinut tietotekniikkaan liittyvän rikollisuuden olevan maailmassa kokonaisuudessaan 290 miljardin euron luokkaa tehden siitä rikollisille tuottoisamman bisneksen kuin huumausainekauppa, joten internetrikollisuuteen on syytä suhtautua vakavasti.

Vuoden 2014 lukuja ei ole vielä julkaistu, mutta mikään ei viittaa huijausten määrän ainakaan vähentyneen.

Muista ainakin nämä

1. Jos saat viestin tuntemattomalta, mieti miksi juuri sinua lähestytään? Mitä sinulta tosiasiassa halutaan? Mitä riskejä sinulle koituu, jos teet niin kuin kehotetaan?

2. Jos saat vähänkään erikoiselta tuntuvan sähköposti- tai Facebook-viestin tutulta, varmista että hän on todella lähettänyt sen.

3. Mieti aina hetki ennen kuin klikkaat sähköpostissa olevaa linkkiä tai liitetiedostoa.

4. Älä koskaan luovuta salasanojasi, pankkitunnuksiasi tai henkilötietojasi sähköpostissa.

5. Tarkista selaimen osoiterivi ennen kuin syötät tunnuksen ja salasanan tai luottokorttitiedot.

Kommentti: Näin tulin (melkein) huijatuksi

Jouni Junkkaala, MPC:n (nykyään Mikrobitin) toimituspäällikkö

”Netflixissä käyttämäsi luottokortti on vanhentunut. Klikkaa tästä vaihtaaksesi kortin tiedot.”

Klikkaan aamutokkurassa sähköpostin linkkiä ja alan syöttää tietoja nettisivun lomakkeeseen. Tuttu juttu, Visa-korttini on juuri vanhentunut, joten olen joutunut viime aikoina vaihtamaan korttitiedot useaan palveluun.

Syötän henkilötiedot ja kaivan uuden luottokortin esiin syöttääkseni numerot, kun aivoni alkavat vihdoin toimia. Mitä oikein olen tekemässä? Syöttämässä luottokorttitietoja ties mille sivulle! Sivulla on Netflixin tutut elementit, mutta selaimen osoiterivi paljastaa karusti, että kyseessä on tietojenkalasteluyritys.

Nolottaa. Tällaiseen aloittelijamokaan ei olisi pitänyt langeta. Olkoonkin, että aivot olivat aamuasennossa ja korttitietojen vaihtopyyntö osui uskottavaan saumaan.

Enkä ollut ainoa. Tämän lehden päätoimittajakin kertoi klikanneensa samaa linkkiä, koska hänelläkin tietojen vaihtaminen oli ajankohtaista.

Emme kumpikaan lopulta menneet lankaan, minkä voisi laskea vaikka sen ansioksi, että seuraamme säännöllisesti MPC:n uutisia.