Näytä kaikki

Piilota kaikki

Huijareita on riittänyt maailman sivu, ja nyt Internetin aikakaudella huijarit ovat ryhtyneet väijymään verkossa asioivia pahaa-aavistamattomia kuluttajia. Verkkohuijaukset ovat kasvussa, ja tekniikat, joilla huijarit luovat vilpillisiä sähköpostiviestejä sekä Web-sivustoja, kehittyvät jatkuvasti. Tässä artikkelissa kerrotaan siitä, kuinka verkkohuijauksilta voi välttyä.

Mitä verkkohuijauksella tarkoitetaan?

Yleinen verkkohuijauksen muoto, jota kutsutaan englanniksi nimellä phishing (kalastelu), perustuu roskapostin lähettämiseen. Roskaposti naamioidaan muistuttamaan oikean Web-sivuston tai yrityksen lähettämää viestiä. Tällainen yritys tai sivusto voi olla esimerkiksi luottokorttiyhtiö, pankki tai hyväntekeväisyysjärjestö. Väärennetyn viestin tarkoitus on huijata kuluttajaa luovuttamaan luottamuksellisia henkilötietoja. Valitettavasti moni pahaa-aavistamaton kuluttaja tulee huijatuksi ja luovuttaa esimerkiksi seuraavanlaisia henkilötietoja:

• sosiaaliturvatunnus
• salasana tai PIN-koodi
• pankkitilin numero
• pankki- tai luottokortin numero
• luottokortin tarkistusnumerot – CVD (Card Validation Code) (kortin kelvollisuuskoodi: Koodi, jota luottokorttiyhtiöt käyttävät luottokorttiveloitusten vahvistamiseen. Esimerkiksi American Express käyttää nelinumeroista koodia luottokortin etupuolella, ja Visa, MasterCard ja Discover käyttävät kolminumeroista koodia kortin takapuolella.) tai CVV (Card Verification Value)
• oma puhelinnumero ja osoite.

Vilpintekijät voivat käyttää tällaisia tietoja taloudellisesti hyödykseen useilla erilaisilla tavoilla. Keinoista tavallisimpia on henkilöllisyysvarkaus; huijari varastaa käyttäjän henkilötiedot ja omaksuu tämän henkilöllisyyden. Kyseinen henkilö voi tällöin

• hakea luottokorttia käyttäjän nimissä
• tyhjentää käyttäjän pankkitilin ja käyttää luottokortit luottorajaan saakka
• siirtää varoja käyttäjän sijoitus- tai säästötililtä käyttötilille ja nostaa pankkikortilla rahaa pankkiautomaateista eri puolilta maailmaa.

Vihjeitä verkkohuijauksilta välttymiseen on jäljempänä Ohjeita verkkohuijausten välttämiseksi ‑kohdassa.

Esimerkkejä verkkohuijauksista

Joitakin verkkohuijausesimerkkejä:

• Käyttäjälle ilmoitetaan väärennetyssä sähköpostiviestissä, joka muistuttaa oman pankin tai luottokorttiyhtiön lähettämää viestiä, että mikäli käyttäjä ei varmista tilinsä tietoja, tili suljetaan.
• Huutokauppahuijaus, jossa käytetään väärennettyä turvatalletussivustoa. Tällainen huijaus toteutetaan asettamalla nimikkeitä myyntiin kunnialliseen online-huutokauppaan ja houkuttelemalla käyttäjä suorittamaan maksu väärennettyyn turvatalletussivustoon.
• Vilpilliset online-myyntitapahtumat, joissa vilpintekijä haluaa maksaa todellista arvoa roimasti suuremman hinnan ja pyytää käyttäjää maksamaan erotuksen sekillä. Käyttäjä ei koskaan saa luvattua maksua, mutta huijari lunastaa sekin ja pistää erotuksen omaan taskuunsa. Kaiken lisäksi käyttäjän lähettämässä sekissä on pankkitilin numero ja muita pankkitietoja, osoite sekä puhelinnumero.
• Hyväntekeväisyyshuijaukset, joissa almu menee aivan muuhun kuin hyväntekeväisyyteen. Epärehelliset henkilöt hyödyntävät usein ihmisten hyväntahtoisuutta sumeilematta.

Ongelman tekee hankalaksi se, että vilpillisen viestin erottaminen voi ensinäkemältä olla hankalaa. Vilpillisissä sähköpostiviesteissä on usein linkkejä esimerkiksi todellisten yritysten logoihin. Seuraavia asioita kannattaa kuitenkin pitää silmällä:

• Sähköpostiviestissä pyydetään henkilötietoja  Useimmat kunnolliset yritykset eivät pyydä asiakkailta henkilötietoja sähköpostitse. Henkilötietoja pyytävään viestiin kannattaa aina suhtautua erittäin suurella varauksella, vaikka se näyttäisikin kovin aidolta ja asialliselta.
• Hoputtava sävy  Vilpilliset sähköpostiviestit ovat tavallisesti sävyltään kohteliaita ja myötäileviä. Tällainen sähköpostiviesti yrittää melkein aina saada käyttäjän lähettämään vastauksen tai napsauttamaan viestissä olevaa linkkiä. Vilpintekijä yrittää tavallisesti saada viestiin kiireen tunnetta, jotta ihmiset vastaisivat nopeasti ja sen kummemmin miettimättä. Toisin kuin aito pankin tai verkkokauppiaan lähettämä viesti, väärennetty sähköpostiviestit EI tavallisesti ole suoraan käyttäjälle osoitettu. Seuraava esimerkki on otettu todellisesta sähköpostihuijauksesta (suomeksi käännettynä):
  
  

  Arvoisa pankkimme asiakas. Tilitietonne on päivitettävä tilin käyttämättömyyden sekä tiliin liittyvien väärinkäyttöilmoitusten vuoksi. Jos tilitietoja ei päivitetä, tili poistetaan. Vahvista tilitietosi napsauttamalla oheista linkkiä.

• Väärennetyt linkit  HTML (HTML-kieli: Standardi merkintäkieli, jota käytetään Webin asiakirjoissa. HTML-tunnisteilla määritetään, kuinka Web-selainten tulee näyttää sivun elementit, kuten teksti ja kuvat, ja kuinka selainten tulee reagoida käyttäjien toimiin.)-muotoisissa viesteissä käyttäjää pyydetään napsauttamaan linkkiä, jossa on todellisen yrityksen nimi tai osa nimestä. Linkit on kuitenkin usein naamioitu, eli linkki avaa näkyvissä olevan osoitteen asemesta jonkin muun sivuston, joka on tavallisesti tekeytynyt todellisen yrityksen Web-sivustoksi. Kuten esimerkistä näkyy, Outlook näyttää linkin todellisen osoitteen keltaisessa ruudussa, kun hiiren osoitinta pidetään linkin kohdalla. Merkillinen numerosarja ei muistuta lainkaan linkissä näkyvää yrityksen Web- eli URL (URL (Uniform Resource Locator): Osoite, joka määrittää protokollan (kuten HTTP tai FTP) ja kohteen (kuten objektin, asiakirjan tai Web-sivun) sijainnin Internetissä tai intranetissä. Esimerkiksi: http://www.microsoft.com/.)-osoitetta. Tämä on selvä merkki siitä, että kaikki ei ole kohdallaan.

  

  Vilpintekijä saattaa myös käyttää URL-osoitetta, joka ensisilmäyksellä vaikuttaa tunnetulta yritykseltä, mutta joka lähemmin tarkasteltuna osoittautuu hieman alkuperäisestä poikkeavaksi. Esimerkiksi osoitteesta www.microsoft.com voisi tehdä seuraavia muunnoksia huijaustarkoituksessa:

  www.micosoft.com

  www.verify-microsoft.com

  www.mircosoft.com.

  Microsoft on hiljattain voittanut useita kanteita sellaisia henkilöitä vastaan, jotka ovat hyödyntäneet Microsoftin URL-osoitetta muistuttavia osoitteita. Tämä on kuitenkin edelleen yleinen huijauksen muoto. Usein toiminta tapahtuu maiden rajojen yli, mikä vaikeuttaa toimiin ryhtymistä.

• Viestin runko on kuva  Sähköpostihuijauksissa käytetään usein tekstin asemesta kuvia roskapostisuodattimien välttämiseksi. Jos roskapostissa on tavallista tekstiä, Outlookin roskapostisuodatin siirtää todennäköisesti viestin Roskaposti-kansioon. Kun viestin sisältö on kuva, kyseessä on tavallisesti samalla hyperlinkki (hyperlinkki: Kuva tai värillinen ja alleviivattu teksti, jota napsauttamalla käyttäjä voi siirtyä toiseen tiedostoon, tiettyyn tiedoston kohtaan tai Web-sivulle Webissä tai intranetissä. Hyperlinkkien avulla voi siirtyä myös uutisryhmiin tai Gopher-, Telnet- ja FTP-sivustoille.). Jos kohdistin muuttuu käden kuvaksi, kun hiiren osoitin siirretään viestin sisällön kohdalle, kyseessä on hyperlinkki.
  
  

  Sähköpostiviesteissä voi olla myös kuvia, jotka on linkitetty roskapostin lähettäjän palvelimeen ja jotka toimivat jäljitteinä (jäljite: Ulkoinen viittaus, esimerkiksi kuvatiedosto, joka on linkitetty ulkoiseen Web-palvelimeen ja joka liitetään HTML-muotoiseen viestiin. Sitä voidaan käyttää varmistamaan, että sähköpostiosoitteesi on voimassa oleva osoite, jos viesti avataan ja kuvat ladataan.). Kuvat ladataan, kun käyttäjä avaa sähköpostiviestin. Palvelimeen välitettävien tietojen perusteella roskapostin lähettäjälle selviää, että kyseessä on käytössä oleva sähköpostiosoite, ja roskaposteja voi tulla jatkossakin. Outlook torjuu tällaiset ulkoiset kuvat automaattisesti. Lisätietoja on kohdassa Tietoja automaattisesti latautuvien kuvien torjumisesta yksityisyyden suojaamiseksi.

• Liitetiedostot  Sähköpostihuijauksissa käyttäjiä myös usein houkutellaan avaamaan liitetiedosto, joka tartuttaa tietokoneeseen viruksen. Jätä epäilyttävien sähköpostiviestien liitetiedostot avaamatta. Tarkista kaikki liitetiedostot ajantasaisella virustentorjuntaohjelmalla (englanninkielinen) ennen avaamista. Voidakseen paremmin suojata käyttäjän tietokonetta Outlook ja Microsoft Outlook Express torjuvat automaattisesti tietyt liitetiedostotyypit, jotka voivat levittää viruksia. Lisätietoja on kohdassa Miten Outlook auttaa suojaamaan tietokonetta viruksilta.
• Liian hyviltä kuulostavat lupaukset  Kannattaa käyttää tervettä järkeä ja suhtautua hyvin epäluuloisesti rahalupauksiin ja tarjouksiin, jotka kuulostavat liian hyviltä ollakseen totta.

Mistä vilpillisen Web-sivuston tunnistaa?

Muiksi sivustoiksi tekeytyneissä Web-sivustoissa on vilpillisten sähköpostiviestien tavoin vakuuttavan näköisiä logoja ja Web-linkkejä. Tämä hankaloittaa vilpillisen Web-sivuston tunnistamista. Paras keino on etsiä sellaisia kohteita, joita aidoista Web-sivustoista tavallisesti löytyy:

• SSL-suojaus  Asialliset Web-sivustot käyttävät SSL (Secure Sockets Layer) (SSL-standardi (Secure Sockets Layer): Netscape Communicationsin kehittämä avoin standardi, jonka avulla luodaan suojattu tiedonsiirtokanava luottamuksellisten tietojen, kuten luottokorttinumeroiden, siirtämistä varten.) ‑suojausta tai jotakin muuta sellaista tekniikkaa, joka suojaa käyttäjän henkilötietoja, kun käyttäjä avaa uuden käyttäjätilin tai kirjautuu sivustoon. Suojatun sivuston merkkinä selaimen tilarivillä on lukkokuvake ja selaimen osoiterivillä on merkkijonon http:// asemesta merkkijono https://.
  

   Tärkeää   Pidä mielessä, että linkki voi Väärennetyt linkit ‑osan naamioidun linkin tavoin tekeytyä muotoon https://.

• Web-sivuston digitaalinen sertifikaatti  SSL:n hyviä puolia on myös valtuutustietojen todentaminen (käyttäjäntunnistus: Monen käyttäjän ympäristössä tai verkkoympäristössä käytetty käyttäjien sisäänkirjautumistietojen tarkistusmenetelmä. Nimeä ja salasanaa verrataan valtuutettujen käyttäjien luetteloon ja jos vastaavat tiedot löytyvät, sisäänkirjautuminen hyväksytään ja käyttäjä saa hänelle kuuluvat käyttöoikeudet.) eli Web-sivuston tunnistaminen käyttäjää varten. SSL toteuttaa todennuksen digitaalisella sertifikaatilla. Kun sivusto avataan, se tarjoaa digitaalista sertifikaattia selaimelle. Voit tarkastella sertifikaattia kaksoisnapsauttamalla selaimen oikeassa alakulmassa olevaa lukkokuvaketta ja tutkimalla Myönnetty-kenttää. Sertifikaatin nimen pitäisi vastata avaamasi sivuston nimeä. Jos sivusto todella on Metsälän pankin sivusto, Myönnetty-kentän nimen pitäisi vastata URL-osoitetta metsalanpankki.com. Jos nimet eivät vastaa toisiaan, kyseessä voi olla pankin sivustoksi tekeytynyt sivusto. Muista taas kiinnittää huomiota nimen kirjoitusasuun, joka voi tekeytyneessä sivustossa olla hienoisesti erilainen. Jos sertifikaatti on vanhentunut, jos sertifikaatin myöntäjä ei luota sertifikaattiin tai jos sertifikaatin nimi ei vastaa osoiterivillä näkyvää nimeä, Microsoft Internet Explorer tuo näyttöön varoitussanoman.

  

  Lisätietoja sertifikaatista saat napsauttamalla Tiedot‑välilehteä. Jos et ole varma siitä, onko kyseessä asianmukainen sertifikaatti, kannattaa pelata varman päälle ja sulkea Web-sivusto henkilötietoja antamatta. Lisätietoja sivuston turvallisuuden selvittämisestä on kohdassa Tietoja siitä, kuinka Internet Explorer pitää tiedot suojattuina.

Ohjeita verkkohuijausten välttämiseksi

• Älä vastaa henkilötietoja pyytäviin sähköpostiviesteihin  Suhtaudu suurella varauksella yrityksen tai henkilön lähettämiin sähköpostiviesteihin, joissa sinulta pyydetään henkilötietoja tai joissa sinua pyydetään vahvistamaan tai täydentämään lähetetyt henkilötiedot. Soita sen sijaan numeroon, joka löytyy esimerkiksi omasta tiliotteesta; älä soita sähköpostiviestissä olevaan numeroon. Älä myöskään luovuta henkilötietojasi puhelimitse, jos soittajan henkilöllisyydestä ei ole varmaa tietoa.  
• Älä napsauta epäilyttäviä linkkejä  Älä napsauta epäilyttävien viestien linkkejä, sillä ne eivät välttämättä ole luotettavia. Web-sivustot kannattaa sen sijaan avata kirjoittamalla URL-osoite selaimeen tai valitsemalla sivusto Suosikit-luettelosta.
• Käytä vahvoja salasanoja ja vaihda niitä usein   Vahvoja salasanoja kannattaa käyttää, jos käyttämäsi sähköpostitili sallii niiden käytön. Vahvoissa salasanoissa käytetään pieniä ja suuria kirjaimia, numeroita sekä merkkejä, mikä hankaloittaa salasanan arvaamista. Oikeita sanoja ei kannata käyttää. Käytä jokaisessa sähköpostitilissä eri salasanaa ja vaihda salasanat säännöllisesti. Kaikkien salasanojen muistaminen ei aina ole helppoa, joten kirjoita ne ylös tai tallenna ne USB-toimiavaimeen tai johonkin vastaavaan laitteeseen. Muista kuitenkin säilyttää niitä lukkojen takana. Lisätietoja vahvojen salasanojen luomisesta ja salasanojen muistamisesta sekä säilyttämisestä on kohdassa Vahvojen salasanojen luominen (englanninkielinen).
• Älä lähetä henkilötietoja tavallisissa sähköpostiviesteissä  Tavallisia sähköpostiviestejä ei salata, joten tavallinen sähköpostiviesti on vähän niin kuin postikortti. Jos välttämättä haluat suorittaa henkilökohtaisia tapahtumia sähköpostitse, allekirjoita ja salaa viestit digitaalisesti Outlookissa S/MIME (S/MIME (Secure Multipurpose Internet Mail Extensions): Sähköpostiviestien suojausmääritys, joka käyttää X.509-muotoisia digitaalisia sertifikaatteja ja erilaisia salausalgoritmeja (esimerkiksi 3DES).)-suojausta käyttäen. MSN®, Hotmail®, Outlook Express, Microsoft Office Outlook Web Access, Lotus Notes, Netscape ja Eudora tukevat S/MIME-suojausta.
• Asioi vain sellaisten yritysten kanssa, jotka tunnet ja joihin luotat  Kannattaa asioida vain tunnettujen hyvämaineisten yritysten kanssa. Yrityksen Web-sivustossa pitäisi aina olla tietosuojalausunto, jossa ilmoitetaan erikseen, että yritys ei luovuta käyttäjän nimeä tai tietoja eteenpäin.
• Varmista, että Web-sivustossa käytetään salausta  Selaimen osoiterivillä Web-osoitteen alussa pitäisi olla merkkijono https:// merkkijonon http:// asemesta. Kannattaa myös tarkastella sivuston digitaalista sertifikaattia kaksoisnapsauttamalla lukkokuvaketta . Sertifikaatin Myönnetty-kentän nimen pitäisi vastata avaamasi sivuston nimeä. Jos epäilet sivuston olevan jotakin muuta kuin sen pitäisi, sulje se heti ja tee asiasta ilmoitus. Älä noudata sivuston ohjeita.
• Tietokoneen suojauksen parantaminen  On erittäin tärkeää, että tietokoneessa on palomuuri, että tietokone on päivitetty ajan tasalle ja että tietokoneessa on virustentorjuntaohjelmisto. Lisätietoja on Protect your PC ‑sivustossa. Mainitut suojaustoimet ovat tärkeitä etenkin, kun Internet-yhteys muodostetaan kaapeli- tai DSL (Digital Subscriber Line) ‑modeemilla. Lisätietoja viruksilta suojautumisesta on kohdissa Suosituksia viruksilta suojautumista vastaan ja Roskapostin estämisen parhaat käytännöt.
• Seuraa tapahtumia  Käy tilausvahvistukset ja luottokortin erittelytiedot sekä tiliotteet heti läpi, jotta sinua ei varmasti ole laskutettu mistään ylimääräisestä. Ilmoita heti kaikista epäselvyyksistä soittamalla otteessa tai erittelyssä näkyvään numeroon. Kun käytät verkko-ostoksissa vain yhtä luottokorttia, tapahtumien seuraaminen on helpompaa.
• Käytä Internet-tapahtumissa luottokortteja  Useimmissa maissa käyttäjän henkilökohtainen vastuu on väärinkäytön sattuessa verrattain pieni. Jos sen sijaan käytät esimerkiksi tililtä suoraan veloittavaa pankkikorttia, omavastuuna on koko pankkitilin saldo. Internet-ostoksissa kannattaa niin ikään käyttää luottokorttia, jonka luottoraja on suhteellisen pieni, jotta summat jäävät väärinkäytösten sattuessa mahdollisimman pieniksi. Moni suuri luottokorttiyhtiö on myös ryhtynyt tarjoamaan verkko-ostoksia varten asiakkailleen virtuaalisia kertakäyttöluottokorttinumeroita, jotka vanhenevat kuukaudessa tai kahdessa. Lisätietoja nopeasti vanhentuvista virtuaaliluottokorttinumeroista saat pankistasi.

Kuinka voi tehdä ilmoituksen verkkohuijauksesta ja henkilöllisyysvarkaudesta?

Jos epäilet saaneesi vilpillisiä sähköpostiviestejä tai joutuneesi verkkohuijauksen kohteeksi, voit tehdä ilmoituksen seuraaville tahoille:

• FBI   FBI: Internet Fraud Complaint Center (IFCC) toimii yhteistyössä viranomaisten ja elinkeinoelämän kanssa kaikkialla maailmassa voidakseen tehokkaasti sulkea verkkohuijauksia tekevät sivustot ja saattaakseen tekijät edesvastuuseen.
• FTC   Jos epäilet henkilötietojasi joutuneen vääriin käsiin tai tulleen varastetuiksi, tee selvitys asiasta FTC: National Resource for Identity Theft ‑organisaatiolle ja tutustu kyseisen sivuston vahinkojen lieventämisohjeisiin.
• Välitä väärennetyt sähköpostiviestit viranomaisille   Verkkohuijausten selvittäminen helpottuu, kun käyttäjät välittävät väärennetyt viestit viranomaisille. Tässä joitakin osoitteita, joihin voit tehdä ilmoituksen epäilyttävästä sähköpostiosoitteesta:
  • reportphishing@antiphishing.com – APWG (Anti-Phishing Working Group) on järjestö, joka pyrkii poistamaan kasvussa olevien verkko- ja sähköpostihuijausten aiheuttamatta identiteettivarkaudet ja petokset.
  • spam@uce.gov – FTC:n sähköpostiosoite.
  • abuse@msn.com – MSN:n sähköpostiosoite.
  • abuse@microsoft.com – Microsoftin sähköpostiosoite.
  Tee seuraavat toimet käyttämässäsi sähköpostiohjelmassa.

  Outlook

  1. Avaa väärennetty viesti, josta haluat tehdä ilmoituksen, ja valitse Näytä-valikosta Asetukset.
  2. Valitse Internet-otsikot-ruudun koko teksti.
  3. Kopioi otsikkotiedot kokonaisuudessaan CTRL+C-näppäinyhdistelmällä ja valitse Sulje.
  4. Valitse Välitä väärennetyssä viestissä, josta haluat tehdä ilmoituksen.
  5. Kirjoita Vastaanottaja-riville sen viranomaisen sähköpostiosoite, jolle haluat tehdä ilmoituksen.
  6. Napsauta viestin tekstialuetta ja liitä otsikkoteksti sähköpostiviestiin CTRL+V-näppäinyhdistelmällä.
  7. Valitse Lähetä.

  Outlook Express

  1. Napsauta viestiluettelossa väärennettyä viestiä, josta haluat tehdä ilmoituksen.
  2. Valitse Välitä.
  3. Kirjoita Vastaanottaja-riville sen viranomaisen sähköpostiosoite, jolle haluat tehdä ilmoituksen.
  4. Valitse Lähetä.

  Hotmail

  1. Napsauta viestiluettelossa väärennettyä viestiä, josta haluat tehdä ilmoituksen.
  2. Valitse Välitä.
  3. Kirjoita Vastaanottaja-riville sen viranomaisen sähköpostiosoite, jolle haluat tehdä ilmoituksen.
  4. Valitse Lähetä.

  Outlook Web Access (OWA)

  1. Napsauta viestiluettelossa väärennettyä viestiä, josta haluat tehdä ilmoituksen.
  2. Valitse Välitä.
  3. Kirjoita Vastaanottaja-kenttään sen viranomaisen sähköpostiosoite, jolle haluat tehdä ilmoituksen.
  4. Valitse Lähetä.

Vihjeitä verkkopankkiasioinnin ja verkko-ostamisen turvaamiseksi

Saat lisätietoja henkilötietojen suojaamisesta verkkopankkiasioinnin ja verkko-ostamisen yhteydessä Microsoftin Online Fraud ‑Web-sivustosta. Pidä myös mielessä, että kaikki henkilöllisyysvarkaat eivät hyödynnä vain uusinta tekniikkaa. Edelleen löytyy myös huijareita, jotka pyrkivät onkimaan käyttäjien henkilötietoja esimerkiksi roskalaatikoita tonkimalla. Kannattaakin käyttää esimerkiksi paperisilppuria ja tuhota esimerkiksi kaikki laskut, ennalta hyväksytyt luottotarjoukset ja muut henkilötietoja sisältävät asiakirjat ennen roskiin heittämistä tai kierrättämistä.

Ole aina varovainen; harkitse tarkkaan ennen kuin klikkaat.