Verkkopankkipalveluiden yleistyessä myös verkkopankkipetokset ovat yleistyneet. Pankkitietoihin liittyvistä tietojenkalasteluhuijauksista on tullut Internetin yleisimpiä rikollisuuden muotoja. Pankkitilien kirjautumistietojen lisäksi kyberrikolliset tavoittelevat taloudellista hyötyä varastamalla luotto- ja debit-korttitietoja. Mutta kuinka nämä kyberrikolliset toimivat ja mitä seurauksia siitä on yksittäisille ihmisille?
Mitä verkkopankkipetokset ovat?
Verkkopankkipetos tapahtuu, kun kyberrikollinen varastaa yksityishenkilön – tai yrityksen – digitaaliset verkkopankkitiedot ja saa pääsyn niihin liittyville pankkitileille tai luottokorteille. He käyttävät niitä hyödykseen ohjaamalla varoja suoraan pois tililtä tai toteuttamalla muuntyyppisiä taloudellisia petoksia. Lain näkökulmasta verkkopankkipetos tarkoittaa kaikenlaista rikollista toimintaa, joka toteutetaan pankin sovelluksen tai verkkosivuston kautta. Se tarkoittaa jonkun toisen tilin laitonta käyttämistä tai heidän varojensa laitonta hallintaa tai siirtämistä.
Pankkitoiminta on siirtynyt niin vahvasti verkkoon, että hyökkääjillä on monenlaisia mahdollisuuksia päästä harjoittamaan rikollista toimintaa. Vaikka pankit pyrkivät yhä enemmän turvaamaan digitaalisia palveluitaan ja suojaamaan asiakkaidensa tilejä, hyökkäykset ovat yhä kehittyneempiä ja näin muodoin hankalammin tunnistettavia ja ehkäistäviä.
Kuinka pankkihuijaus tapahtuu?
Kyberrikolliset houkuttelevat jatkuvasti kehittyvin keinoin pahaa-aavistamattomia uhreja paljastamaan pankkitietojaan ja näin mahdollistamaan pankkipetoksen toteuttamisen. Hyökkäykset ovat usein monimuotoisia ja niissä käytetään useita erilaisia tekniikoita, ja siksi niiden tunnistaminen on hankalaa. Tämän vuoksi on tärkeää, että kaikki verkkopankkipalveluita käyttävät ovat perillä tällaisten hyökkäysten luonteesta ja mahdollisuudesta sekä tietävät varautua niihin. Verkkopankkipetoksia on kahta päätyyppiä: tilin haltuunotto (Account Takeover – ATO) ja automaattiset siirtojärjestelmät (Automatic Transfer System – ATS).
Tilin haltuunotto
Tilin haltuunotot (ATO) ovat digitaalisia pankkipetoksia, joissa kyberrikolliset ottavat pankkitilin haltuun varastettuja tietoja käyttäen. Tällaisissa hyökkäyksissä käytetään usein sosiaalisen manipuloinnin tekniikoita tai haittaohjelmia, ja kaikkein kehittyneimmissä hyökkäyksissä käytetään molempia. Alla on joitakin yleisimpiä menetelmiä, joilla kyberrikolliset toteuttavat verkkopankkipetoksia ja tilien haltuunottoja:
- Tietojenkalastelu (phishing): Pankkitietoihin liittyvissä tietojenkalasteluhuijauksissa tietojenkalastelija tekeytyy uhrin pankiksi, lähettää sähköpostia ja pyytää vahvistamaan kirjautumistiedot. Sähköpostissa on tavallisesti linkki aidoksi verkkosivuksi tekeytyneelle väärennetylle verkkosivulle. Ja kun käyttäjä syöttää kirjautumistiedot, tietojenkalastelija varastaa ne. Siksi pankit muistuttavat asiakkaitaan säännöllisesti siitä, että pankki ei milloinkaan pyydä luottamuksellisia tietoja, kuten salasanoja tai PIN-tunnistenumeroita. Onnistumisen mahdollisuuksien parantamiseksi tietojenkalasteluviesteissä varoitellaan myös tyypillisesti siitä, että pankki jäädyttää tai lukitsee tilin, jos asiakas ei klikkaa linkkiä ja jättää tiedot vahvistamatta.
- Urkinta puhelimen välityksellä (vishing): Nämä phishing-tietojenkalastelua muistuttavat hyökkäykset toteutetaan sähköpostin sijaan puhelimella. Hyökkääjä ilmoittaa soittavansa uhrin pankista ja huijaa hänet jakamaan tilitietojaan ja kirjautumistunnuksiaan puhelimitse. Näin hyökkääjä saa täyden pääsyn tilille sekä tilin hallintaansa. Joissakin tilanteissa hyökkääjä pyrkii urkkimaan henkilötietoja, joita hän voi hyödyntää myöhemmin verkkopankkipetoksissa, tai uhri voidaan jopa houkutella tekemään suoria tilisiirtoja.
- Näppäilyn tallentimet: Nämä ovat tietyn tyyppisiä haittaohjelmia – troijalaisia – jotka valvovat tietokoneen näppäimistön käyttöä. Kun ohjelma havaitsee, että käyttäjä avaa esiasetusten listalla olevan pankin verkkosivuston, se kirjaa näppäinpainallukset muistiin ja käytännössä varastaa näin pankkitilin kirjautumistunnukset, jotta hyökkääjä voi myöhemmin kirjautua tilille ja anastaa sieltä varoja.
- Haittaohjelmat: Kyberrikolliset käyttävät erilaisia haittatarkoituksiin laadittuja ohjelmia tarvitsemiensa tietojen varastamiseen. Ne alkavat usein pankkisähköpostihuijauksina, joissa uhri saadaan usein tietämättään lataamaan viruksen tartuttamia liitteitä laitteisiinsa. Haittaohjelma jäljittelee tämän jälkeen aitoa verkkopankki-istuntoa ja saa uhrin antamaan tietonsa, jotka hyökkääjä sitten varastaa omiin huijaustarkoituksiinsa. Yleisimpiä verkkopankkipetoksissa käytettäviä haittaohjelmia ovat etäkäyttöiset troijalaiset, joiden avulla hyökkääjät voivat etähallita laitetta, selaimen ja pankin sovelluksen välistä dataa sieppaavat väliintulo-ohjelmat, overlay-tyyppiset haittaohjelmat, jotka niin ikään varastavat luottamuksellisia tietoja verkkosivuston tai sovelluksen kautta, ja niin kutsutut sniffer-vakoiluohjelmat, jotka tarkkailevat tekstiviestejä kertakäyttösalasanojen varalta.
- Salasanojen varastaminen: Joissakin tilanteissa verkkopankkeihin kohdistuvia kirjautumishuijauksia voidaan toteuttaa myös silkalla volyymillä tai sanakirjahyökkäyksillä. Salasanoja arvaillaan satunnaisesti, kunnes oikea salasana löytyy ja hyökkääjä pääsee sen avulla kyseiselle pankkitilille.
- Wi-Fi-verkkojen hakkerointi: Internetyhteydet ovat usein alttiita kyberrikollisten hyökkäyksille. Tämä koskee erityisesti suojaamattomia julkisia Wi-Fi-verkkoja, joissa ei juuri ole suojausmekanismeja. Murtautumalla näihin verkkoihin hyökkääjät pääsevät käsiksi kaikkiin niiden kautta lähetettäviin tietoihin, myös pankkitietoihin.
- SIM-kortin vaihto: Tätä kyberrikollisuuden muotoa käytettäessä uhrin puhelinnumero varastetaan sosiaalisen manipuloinnin tekniikoilla ja siirretään hyökkääjän hallussa olevalle SIM-kortille. Näin hyökkääjä pääsee käsiksi kaikkeen siihen, mikä puhelinnumeroon on yhdistetty. Tämä tarkoittaa usein myös pankkitilejä, sillä rikollinen saa näin pankkien käyttämään moniosaiseen todennukseen liittyvät kertakäyttöiset salasanat haltuunsa.
Automatic Transfer Systems (ATS)
Teknologian ja kyberturvallisuuden kehittymisen myötä tilien haltuunotoista (ATO) on tullut huomattavasti vaikeampia toteuttaa. Tätä kiertääkseen ja verkkopankkipetosten toteuttamista jatkaakseen kyberrikolliset ovat kehittäneet uusia automaattisia tekniikoita hyökkäysten tehokkaaseen toteuttamiseen tavalla, joka heikentää identiteettivarkauden havaitsemisen mahdollisuuksia. Kyseessä ovat niin kutsutut automaattiset siirtojärjestelmät (Automatic Transfer System – ATS), eikä niitä käyttävän hyökkääjän tarvitse turvautua kirjautumishuijauksiin. Sen sijaan nämä automaattiset järjestelmät tarkkailevat käyttäjän toimintaa tietokoneella. Kun käyttäjä kirjautuu pankkitililleen, tämä haittaohjelma lisää komentosarjan aidolle sivulle ja käynnistää rahasiirtoja, joita käyttäjä ei huomaa ennen kuin on liian myöhäistä. Näin hyökkäjän ei tarvitse vaivautua keräämään käyttäjän tietoja tai läpäisemään moniosaisia todennusmekanismeja.
Tilin haltuunotto (ATO) vs. automaattinen siirtojärjestelmä (ATS)
Vaikka nämä kaksi verkkopankkipetosta ovat erilaisia ja tavoite on molemmissa sama – saada varoja laittomasti haltuunsa ja toteuttaa taloudellinen petos – niiden toteutustavat ovat huomattavan erilaisia.
- ATS-hyökkäykset toteutetaan automaattisesti haittaohjelmalla. Tilin haltuunottohuijaukset (ATO-hyökkäykset) edellyttävät kyberrikollisilta manuaalista työtä, sillä heidän on hyödynnettävä sosiaalista manipulointia.
- ATS-haittaohjelmat on kalibroitava tarkasti, ja ne on räätälöitävä erikseen kutakin verkkopankkisovellusta varten. Nämä hyökkäykset vaativatkin huomattavasti enemmän vaivannäköä, mutta niitä on myös hankalampi havaita.
- Koska ATS-hyökkäykset toimivat aitojen pankkisovellusten ja verkkosivustojen sisällä, ne voivat yksinkertaisesti odotella, että käyttäjä antaa tunnistautumistietonsa. Hyökkääjien ei tällöin tarvitse erikseen varastaa näitä tietoja tai suoriutua moniosaisesta todennuksesta.
Identiteettivarkaus lyhyesti
Pankkitietoihin liittyvissä identiteettivarkauksissa kyberrikolliset varastavat henkilön identiteetin tarkoituksenaan toteuttaa taloudellinen petos. Hankkimalla henkilötietoja, kuten nimiä, syntymäaikoja ja henkilötunnuksia, hyökkääjät voivat käynnistää monenlaisia toimia. Pankkitilitietoihin liittyvillä identiteettivarkauksilla – sekä identiteettivarkauksilla niiden laajemmassa merkityksessä – voi olla vakavia ja kauaskantoisia seurauksia hyökkäysten uhreille. Niitä ovat esimerkiksi seuraavat:
- Varojen anastaminen pankkitileiltä.
- Uusien pankkitilien avaaminen, uusien luottokorttien hankkiminen tai uusien lainojen ottaminen uhrin nimissä.
- Henkilötunnuksiin liittyvien sosiaalietuuksien hyödyntäminen (esimerkiksi terveydenhoito, sosiaaliturvamaksut ja työttömyys).
- Luottotietojen tärveleminen.
- Veropetoksen tekeminen tai veronpalautusten varastaminen.
- Asuntolainojen ja muiden lainanhoitojen laiminlyönti.
- Verkossa olevien tilien haltuunotto (esimerkiksi sähköpostit ja someprofiilit sekä haittavaikutuksia aiheuttava uhriksi tekeytyminen).
- Uhrin pakottaminen aikaa ja rahaa vievään identiteetin palauttamisprosessiin identiteetin ja maineen palauttamiseksi.
- Uhrin henkilötietojen jättäminen pysyvästi pimeään verkkoon.
- Merkittävän psyykkisen ja taloudellisen rasitteen aiheuttaminen.
Millaisia henkilökohtaisia seurauksia verkkopankkipetoksella voi olla uhrille?
Pankkitietoihin liittyvillä identiteettivarkauksilla voi ikävä kyllä olla vakavia seurauksia hyökkäyksen uhriksi joutuvalle yksilölle tai yritykselle. Jo pelkästään taloudelliset menetykset ovat vakava huolenaihe, mutta myös muut seuraukset on tärkeää ottaa huomioon.
Verkkopankkipetosten taloudelliset seuraukset ovat vakavia, ja ne voivat olla tuhoisia niin yksilöille kuin organisaatioillekin. Varastettavista tiedoista riippuen hyökkääjä saattaa tyhjentää pankkitilejä, sulkea ja avata uusia tilejä, tärvellä luottotiedot, tehdä veropetoksen, varastaa eläkerahastojen säästöt ja vaikeuttaa asuntolainojen hoitamista. Näiden hyökkäysten seurauksia setviessään uhreille voi koitua lisää taloudellisia tappioita esimerkiksi oikeuskulujen muodossa.
Pankkitietoihin liittyvä identiteettivarkaus voi vaikuttaa huijauksen uhrin mielenterveyteen. Itsensä uhrin asemasta löytäessään itse kullekin voi tulla mitä erilaisempia tunnereaktioita järkytyksestä suuttumukseen, pelkoon ja avuttomuudentunteeseen. Identiteetin palauttamisprosessi voi aiheuttaa huomattavaa stressiä, ja uhri kokee usein tarvetta syyttää jotakuta siitä, että hänelle on päässyt käymään tällä tavalla.
Voiko verkkopankkipetoksia ehkäistä?
Todellisuudessa verkkopankkitoimintaan liittyvältä tietojenkalastelulta ja verkkopetoksilta ei koskaan voida täysin välttyä. Jokainen voi kuitenkin ryhtyä toimiin, joilla tällaisen toiminnan onnistumisen mahdollisuuksia voidaan pienentää tai vaikutuksia lieventää. Seuraavat vinkit kannattaa pitää mielessä:
- Käytä eri pankkien tileillä aina yksilöllisiä kirjautumistunnuksia.
- Ota täydentävä suojauskerros käyttöön ottamalla moniosainen tai biometrinen todennus käyttöön.
- Älä milloinkaan klikkaa sähköpostiviestien linkkejä vaan siirry pankin aidolle verkkosivustolle suoraan kirjoittamalla osoite itse verkkoselaimeen.
- Varmista, että laitteiden pankkisovellukset ovat aitoja. Lataa ne pankin sivuilta tai luotetuista sovelluskaupoista ja huolehdi siitä, että niiden päivitykset ovat ajan tasalla.
- Tutustu pankin tietoturva- ja yksityisyyskäytänteisiin. Useimmat pankit esimerkiksi kertovat selvin sanoin, etteivät milloinkaan kysele käyttäjältä tämän PIN-koodia.
- Kirjaudu pankkitileille vain suojattujen Internet- tai Wi-Fi-yhteyksien välityksellä. Sellaisia ovat esimerkiksi WEP-, WPA- tai WPA2-suojatut yksityiset kotiverkot.
- Tarkista pankki- ja luottokorttiotteet säännöllisesti ja selvitä epäilyttävät tapahtumat ottamalla viipymättä yhteyttä pankkiin.
- Suojaa Internet-yhteytesi virtuaalisella yksityisverkolla (VPN) ennen kirjautumista digitaalisiin pankkijärjestelmiin.
- Suojaa laitteet virustentorjuntaohjelmistoilla ja huolehdi siitä, että ne ovat aina ajan tasalla ja niiden viimeisimmät korjauspäivitykset on asennettu.
Välttyminen pankkitietoihin liittyviltä identiteettivarkauksilta
Verkkopankkivarkaudet kehittyvät jatkuvasti, ja niiden havaitseminen on yhä haastavampaa. Uhreiksi joutuville yksityishenkilöille ja yrityksille tällaisilla hyökkäyksillä voi kuitenkin olla merkittäviä taloudellisia, sosiaalisia ja psyykkisiä vaikutuksia. Perehtymällä verkkopankkipetosten eri muotoihin ja käyttämällä digitaalisia tietoturvaominaisuuksia sekä terveeseen järkeen perustuvia suojamekanismeja kyberrikollisten mahdollisuudet ottaa tilejä haltuunsa tai tartuttaa laitteisiin ATS-haittaohjelmia voidaan minimoida.
Hanki Kaspersky Premium + 1 VUODEN MAKSUTON Kaspersky Safe Kids. Kaspersky Premium sai viisi AV-TEST-palkintoa parhaasta suojauksesta, parhaasta suorituskyvystä, nopeimmasta VPN:stä, hyväksytyistä lapsilukoista Windowsissa ja parhaista lapsilukoista Androidissa.
Aiheeseen liittyviä artikkeleita ja linkkejä:
Aiheeseen liittyvät tuotteet ja palvelut: