Mikael Albrecht

Teknisestä tuesta soittava voi olla huijari

Kyberrikokset-palstan aiheena on helpdesk-huijaus.

Suomalaisiin puhelinnumeroihin on helmikuussa 2020 kohdistunut harvinaisen laajamittainen niin sanottu helpdesk-huijauskampanja. Varsin hyvin organisoidut huijarit ovat soittaneet sekä yritysten että yksityishenkilöiden matkapuhelimiin. Soittajia on ilmeisesti merkittävä määrä, ja heillä on etukäteen suunniteltu käsikirjoitus uhrin petkuttamiseksi. Käydään läpi, miten huijaus toimii.

Huijaus alkaa uhrin näkökulmasta soitolla matkapuhelimeen. Puhelu näyttää tulevan toisesta kotimaisesta matkapuhelimesta. Soittajan numero näkyy mutta on ennestään tuntematon vastaanottajalle. Kotimainen numero on seikka, joka olennaisesti parantaa huijareiden onnistumisprosenttia.

Väärennetty puhelinnumero

Ulkomailta tulevia puheluita on käytetty laajasti Bitcoin-sijoitushuijauksien ensimmäisenä yhteydenottona. "Hälärihuijauksissa" puhelin taas soi kerran tai kaksi, ja konnan kassa kilahtaa, jos uhri erehtyy soittamaan takaisin. Nämäkin soitot tulevat ulkomaalaisista numeroista. Tietämys näistä on levinnyt, ja kansalaiset alkavat sen takia karsastaa muita kuin kotimaisia numeroita. Aika harvalla meistä on loppujen lopuksi todellinen tarve vastata tuntemattomiin ulkomaisiin numeroihin, ja sen takia niihin on helppo jättää vastaamatta.

Helpdesk-huijarit kiertävät tätä ongelmaa väärentämällä soittajan numeron. Jossain on väitetty, että he ovat ottaneet haltuunsa suomalaisia numeroita. Tämä on harhaanjohtavaa, koska numeron oikealla omistajalla on edelleen numero hallussaan, ja hän voi vastata puheluihin ja soittaa puhelimellaan. Huijauspuheluiden vastaanottajat näkevät siis suomalaisen matkapuhelinnumeron, vaikka soittaja todennäköisesti istuu puhelinpalvelukeskuksessa jossain alhaisemman palkkatason maassa. Numero on satunnaisesti valittu, ja sen oikealla omistajalla ei ole mitään tekemistä huijauksen kanssa. Huomattavasti suurempi osuus ihmisistä vastaa näihin puheluihin, kun tuntematon numero on kuitenkin kotimainen.

Keksitty tietoturvaongelma

Huijarin tarina perustuu siihen, että hän on jonkun tunnetun yrityksen käyttäjätuen työntekijä, ja uhrin koneessa on havaittu tietoturvaongelma. Kone voi esimerkiksi lähettää yksityistä tietoa nettiin. Soittaja oli Suomen alkuvuoden kampanjassa yleensä joko Microsoftin tai Windowsin tuesta. Huijari epäonnistuu itse asiassa usein jo tässä vaiheessa. Jos on yrittänyt olla yhteydessä suuren teknologiayhtiön tukeen yksityishenkilönä tai pienyrittäjänä, tietää että tällainen proaktiivinen soitto asiakkaalle olisi ennenäkemätöntä palvelua. Moni työssäkäyvä on myös tottunut hoitamaan tukiasioita oman organisaation sisällä. Heidän kynnyksensä lähteä selvittämään tietoturvaongelmia ulkopuolisen kanssa on korkea. Kolmas kompastuskivi on usein huomiota herättävän huono englanninkieli. Huijari saa siis luurin korvaansa usein jo tässä vaiheessa.

Toinen epäjohdonmukaisuus huijauksessa on, että suuryrityksen tuen puhelu tuskin tulisi matkapuhelinnumerosta. Mutta tämä on seikka, johon käyttäjät eivät näytä kiinnittävän huomiota. Eivät ainakaan kovin usein.

Ongelman todistaminen

Huijaus jatkuu todistamalla uhrille, että ongelma on todellinen. Huijari kertoo pitkän hankalan koodin uhrille varmistaakseen, että kyseessä on oikea kone. Uhria kehotetaan suorittamaan komento koneella, ja näytölle tulee pitkä litania nörttijuttuja, jotka ovat täyttä hepreaa tavalliselle ihmiselle. Litanian lopussa on sama koodi, jonka huijari pyysi kirjoittamaan muistiin hetki sitten. Hän tietää siis oikeasti jotain minun koneestani! Paitsi että tämä on harhautus. Mainittu koodi on sama kaikissa koneissa.

Seuraava askel voi olla Event Viewerin tarkistus. Myös tämä on työkalu, johon tavallisilla käyttäjillä ei ole asiaa. Se näyttää järjestelmän lokitiedostojen sisällön. Tässä vaiheessa uhri näkee pitkän listan virheitä ja varoituksia, mikä on täysin normaalia. Kävin kerran läpi tämän prosessin huijarin kanssa, ja hänen mukaansa kaikki rivit olivat "kansioita, joista hakkerit lähettävät tietoa koko ajan". Se saattaa kuulostaa uskottavalta tavalliselle käyttäjälle, joka ei välitä vähääkään koneen sisäisestä toiminnasta. Hän kysyi, kuinka monta riviä näen. Niitä oli pelkästään 232, koska käytin eristettyä testikonetta, mutta hänen mielestään se oli tosi paljon: "Oh my God, 232, that’s a lot!".

Erilaisia tapoja rakentaa luottamusta on paljon. Näitä käytetään nykyisessä kampanjassa, mutta tunnettuja kikkoja on paljon enemmän ja uusia keksitään koko ajan.

Koneen haltuunotto

Jos tavallinen käyttäjä on päässyt näin pitkälle, hänellä on varmaan jo täysi luottamus "tukihenkilöön". Huijaus jatkuu tarjouksella hoitaa kone kuntoon etäyhteyden avulla. Huijari opastaa lataamaan ja asentamaan jonkun etähallintaohjelman, esimerkiksi TeamViewerin. Tämäkin on tarkkaan harkittu askel, koska kyseessä on täysin legitiimi tuen tarpeisiin kehitetty ohjelma. On täysin loogista käyttää tällaista työkalua, koska oikea tukihenkilö saattaisi toimia samalla tavalla. Tietoturvaohjelmiston on lisäksi hyvin vaikea tunnistaa työkalu haitalliseksi. Sillä voi tehdä sekä hyvää että pahaa, mutta turvaohjelmisto ei voi tietää, että "tukihenkilöllä" on vilpillisiä aikomuksia.

Koneen haltuunotto on onnistunut, jos uhri lataa etähallintaohjelman ja luovuttaa siihen kytkeytymiseen tarvittavan koodin huijarille. Kone on sen jälkeen huijarin hallussa, ja hän voi esimerkiksi varastaa arvokasta tietoa tai vakoilla käyttäjän toimintaa. Jossain tapauksissa on myös esitetty luottokortilla maksettava lasku "koneen siivouspalvelusta", mikä nostaa huijauksen törkeyden uudelle tasolle.

Kaksi uhria

Tämäkin huijaus perustuu suureen volyymiin. On selvää, että suuri osa vastaajista ei usko tarinaan ja sulkee puhelimen. Mutta potentiaalisia uhreja on paljon, ja toiminta on kannattavaa, jos pienikin osa vastaanottajista menee halpaan. Operaatio jatkuu niin kauan kuin onnistuneiden huijausten tuotto ylittää henkilöstö- ja telekommunikaatiokustannukset tarpeeksi suurella marginaalilla.

Kaapatun koneen omistaja on tietenkin huijauksen ilmiselvä uhri. Haltuun otettu kone voi johtaa menetyksiin hyvin monella tavalla. Puhumattakaan siitä, että omistaja voi erehtyä maksamaan rahaa suoraan huijarille.

Toinen uhri ei ehkä ole yhtä ilmiselvä. Hän on väärennetyn matkapuhelinnumeron oikea omistaja. Hän ei menetä rahaa, mutta tilanne voi olla hyvin ärsyttävä. Osa huijaussoitoista jää syystä tai toisesta vastaamatta, joten vastaanottajalle ei selviä, että kyseessä oli huijausyritys. Osa heistä lähettää tekstarin tai soittaa takaisin numeron oikealle omistajalle kysyäkseen soiton syytä. Nämä takaisinsoitot eivät hyödynnä huijaria mitenkään; ne ovat numeroväärennyksen sivuvaikutus. Huijari ei välitä niistä, koska ne eivät myöskään haittaa häntä mitenkään.

Uutta Suomessa, ei maailmalla

Helpdesk-huijaus ei ole uusi ilmiö. Kyseessä on melko yleinen ilmiö englanninkielisessä maailmassa. Tämä huijausmuoto alkoi nousta yleiseen tietoisuuteen noin kymmenen vuotta sitten. Alkuvuoden kampanja on kuitenkin ilmiselvästi kohdistettu Suomeen, vaikka soittajat yrittivät "palvella" asiakkaita englanniksi. Tämä lienee yksi laajimmista Suomeen kohdistuvista puhelinhuijauskampanjoista, ellei kaikkien aikojen laajin.

Sähköposti on edelleen selvästi yleisin kanava, jolla kyberhuijarit tavoittavat uhriinsa. Mutta helpdesk-, häläri- ja Bitcoin-huijausten tapaiset kampanjat ovat hyvä muistutus siitä, että puhelimen merkitys on kasvamassa. Puhelinpalvelukeskuksen kautta suoritettu huijauskampanja vaatii enemmän resursseja ja osaamista kuin sähköpostikampanja, ja sen takana olevat rikolliset painivat eri sarjassa kuin roskapostilaatikon täyttäjät.

Ei ole mitään syytä olettaa, että tämä on ohimenevä ilmiö. Vastaanottaja on siis haavoittuva, jos hän luulee, että kyberhuijaus on pelkästään sähköpostin ongelma.


 
Julkaistu 27.3.2020
Sivun alkuun |