Alma Snellman

Kyberrikollisuuden torjunta vaatii yhteistyötä yli rajojen

Kyberrikollisuus on yhä kansainvälisempää ja uudenlaiset ilmiöt vaativat toimivaa yhteistyötä eri maiden viranomaisten välillä. Tulevaisuudessa tarpeet kansainväliselle yhteistyölle kasvavat entisestään.

Joint Investigation Team eli JIT on valtioiden rajat ylittävä tutkintaryhmä, jollaisiin Suomikin ottaa osaa. Tämän vuosikymmenen alussa Keskusrikospoliisin tutkijat osallistuivat Europolin JIT Mozartiin, joka johti monimutkaisen kyberrikoskokonaisuuden ratkeamiseen. Seuraavassa kuvataan kyberrikosten kansainvälisen tutkinnan haasteita tämän tapauksen avulla. Tulevaisuudessa yhteiset operaatiot voivat olla vieläkin suurempia.

Haittaohjelmakampanja Keskusrikospoliisin tutkintaan

Oli loppuvuosi 2011, kun Keskusrikospoliisin tuolloisen tietotekniikkarikosjaoksen tutkijat alkoivat saada kahdelta isolta suomalaiselta pankilta ilmoituksia mahdollisesta haittaohjelmakampanjasta, joka kohdistui verkkopankkia käyttäviin asiakkaisiin. Kyse oli poikkeuksellisesta teosta, joten tapausten tutkinta päätettiin keskittää Keskusrikospoliisiin.

Tutkinnassa kävi nopeasti ilmi, että rikokset toteutettiin saastuttamalla pankin asiakkaan tietokone erityisellä tietoja varastavalla haittaohjelmalla. Ohjelmaa levitettiin saastuneiden verkkosivujen kautta, ja tietokoneen käyttäjä kuvitteli olevansa oman verkkopankkinsa sivulla. Rikolliset pystyivät näin siirtämään rahaa asiakkaan tililtä omalle tililleen.

Pankeilta saatujen tietojen perusteella asiakkaiden tileiltä vietyjä varoja oli siirretty tai yritetty siirtää useisiin Euroopan maihin niin sanottujen rahamuulien tileille. Rahamuulit olivat rahan siirtämiseen ja sen jäljittämisen käytettyjä välikäsiä. Oli selvää, että teon toteutustapa kieli tekojen olevan hyvin organisoitua, järjestäytynyttä sekä kansainvälistä.

Rahat matkasivat Baltian maihin ja Venäjälle

Rahoja siirrettiin luvattomasti aluksi suomalaisten henkilöiden pankkitileille ympäri Suomea. Välittäjinä toimi niin sanottuja romanssimuuleja: suomalaisia miehiä lähestyttiin verkossa muun muassa eri seuranhakupalvelujen kautta ja annettiin ymmärtää, että toisessa päässä kirjoitti palavasti henkilöön rakastunut nainen. Tätä tehostettiin lähettämällä kuvia sekä Google-kääntäjällä kirjoitettuja sähköposteja.

Kun henkilö oli saatu koukkuun, pyydettiin tätä vastaanottamaan rahaa tililleen ja lähettämään eteenpäin ohjeiden mukaan. Yleinen tarina oli, että naisen setä tai isä tarvitsi rahaa leikkaukseen ja sen sai helpoiten siirrettyä suomalaisen pankkitilin kautta.

Rahat jatkoivat Suomesta matkaa pääosin Western Unionin rahansiirtopalvelun kautta Baltian maihin sekä Venäjälle. Rahojen siirron jälkeen rakastaja katosi eikä enää vastannut viesteihin.

Jo alkuvaiheessa kävi hyvin selväksi, että kyseessä on kansainvälinen rikosvyyhti. Tästä syystä Euroopan poliisijärjestö Europol otettiin mukaan tutkinnan tueksi ja avuksi. Kävi ilmi, että samankaltaisia tapauksia oli ilmennyt ympäri Eurooppaa ja rikollisten toimintaa leimasi ammattimaisuus.

JIT Mozart perustetaan

Ensimmäinen yhteinen operatiivinen kokous järjestettiin Europolissa syyskuussa 2012. Sen tuloksena viisi maata, Suomi mukaan lukien, aloitti valmistelut yhteisen tutkintaryhmän, Joint Investigation Teamin eli JIT:n perustamiseksi.

Yhteinen tutkintaryhmä JIT Mozart perustettiin maiden välisellä kirjallisella sopimuksella Belgian, Norjan, Ison-Britannian, Suomen sekä Itävallan kesken maaliskuussa 2013. Myöhemmin mukaan liittyi myös Hollanti. Tutkintaryhmä mahdollisti todisteena käytettävän materiaalin siirtämisen tutkintaryhmään kuuluvien maiden kesken ilman erillistä oikeusapumenettelyä.

Tutkintaryhmä kokoontui ensimmäiseen operatiiviseen työkokoukseen huhtikuussa 2013. Silloin jäsenvaltiot vaihtoivat operatiivista tietoa, sopivat työskentelytavoista sekä jakoivat tehtäviä muun muassa tiedonhankinnan osalta. Kyselyitä oli tehtävä useille kymmenille tahoille eri puolille maailmaa, ja juuri tiedonhankinnassa yhteinen tutkintaryhmä osoitti hyödyllisyytensä. Tiedonhankinnassa voitiin hyödyntää sitä, että osa palveluntarjoajista sijaitsi tutkintaryhmään kuuluvassa maassa, mikä mahdollisti nopean tiedonsaannin kyseisen maan viranomaisten kautta.

Yhteisen tutkintaryhmän toiminnan alettua Suomen rikostutkijat saivat käyttöönsä pikaviestinpalvelusta siepattua telekuuntelumateriaalia, jonka tutkintaryhmään kuuluva maa oli hankkinut oman rikostutkintansa yhteydessä. Materiaali sisälsi epäiltyjen keskenään nimimerkeillä käymiä chat-keskusteluja. Keskusteluista kävi ilmi, kuinka tahot suunnittelivat ja toteuttivat nimenomaan suomalaisiin henkilöihin kohdistuneita tekoja. Viesteistä kävi ilmi sellaisia tekoihin liittyviä yksityiskohtia, joita pankkien toimittamiin tietoihin vertaamalla voitiin varmistua siitä, että keskusteluja käyneet nimimerkit olivat juuri suomalaisiin kohdistuneiden tekojen takana.

Rikosten tekijöiden henkilöllisyydestä ei ollut tietoa, sillä epäillyt käyttivät keskusteluissa nimimerkkejä. Niiden takana olevien henkilöiden tunnistaminen vaati laajaa tiedonhankintaa lukuisista eri lähteistä ja saatujen tietojen perinpohjaista analysointia.

Suomen esitutkinta suuntautui latvialaisiin tekijöihin. Siksi oli tehtävä yhteistyötä Latvian viranomaisten kanssa. KRP:n rikostutkijat matkustivat alkutalvesta 2013 Latviaan tapaamaan asiaa maassa asiaa hoitavia viranomaisia ja sopimaan käytännön yhteistyöhön liittyvistä asioista sekä selvittämään mahdollisia ongelmakohtia.

Koska latvialaisiksi epäiltyjen tekijöiden henkilöllisyydet olivat varmentamatta, tutkijoiden oli saatava selvitettyä varmuudella nimimerkkien haltijat. Latvia ei ollut mukana yhteisessä tutkintaryhmässä, joten tietojen saanti edellytti yksityiskohtaisten oikeusapupyyntöjen lähettämistä Latviaan. Oikeusapupyyntöjen ketjuuntumisen hitautta torjuttiin hyödyntämällä Euroopan oikeudellisen yhteistyöelimen Eurojustin apua.

Eurojustin kautta toimitettuna valmiiksi käännetty oikeusapu saatiin toimitettua Latvian oikeusviranomaisille saman päivän aikana. Näin toimimalla oikeusavun toteuttamiseen kuluva aika lyheni merkittävästi.

Yhteisen tutkintaryhmän avulla tuloksiin

Kesällä 2014 JIT Mozart oli edennyt operatiiviseen vaiheeseen: oikeusapupyynnöillä saatiin lupa tehdä kotietsinnät latvialaisten epäiltyjen asuinpaikoissa. Kotietsinnät Latviassa suoritettiin lopulta vuoden 2015 alussa, ja ne johtivat kahden rikoksista epäillyn henkilön kiinniottoon.

Suomeen siirron jälkeen molemmille epäillyille järjestettiin vangitsemiskäsittely, jossa he kiistivät tietävänsä mitään heihin kohdistetuista rikosepäilyistä.

Suomessa tutkintaa jatkettiin kuulusteluin. Kuulustelujen ohella poliisi tutki epäiltyjen hallusta takavarikoitujen tietokoneiden, puhelinten ja muiden tallennusvälineiden sisältöä. Tutkijoiden epäonneksi tietoteknistä näyttöä juuri Suomeen kohdistuneista teoista oli niukalti löydettävissä.

Tietokoneilta löytyi silti runsaasti tutkijoita kiinnostavaa haittaohjelmilla tehtyihin petoksiin liittyvää materiaalia: muun muassa tietojen anastamiseen soveltuva ohjelmisto sekä saksalaisten pankkien asiakkaisiin kohdistuvien petosten tekemiseen soveltuvia komentosarjoja.

Esitutkinta tapauksesta valmistui kesäkuussa 2015, ja käräjäoikeuden käsittely pidettiin heinäkuun alussa. Molemmat epäillyistä pääsivät vapaalle heti käsittelyä seuranneena päivänä, ja itse ratkaisu annettiin niin sanottuna kansliatuomiona myöhemmin. Toinen epäillyistä tuomittiin kymmenen kuukauden ehdolliseen vankeusrangaistukseen törkeästä petoksesta ja toinen sai kuuden kuukauden tuomion. Samassa yhteydessä törkeästä rahanpesusta tuomittu kolmas henkilö sai seitsemän kuukauden mittaisen ehdollisen tuomion.

Tuomioista ei valitettu, joten käräjäoikeuden ratkaisu jäi lainvoimaiseksi.

Tulevaisuuden haasteita

– Valtioiden rajat ylittävä kyberrikollisuus on yleistynyt, ja poliisin on vastaisuudessakin tehtävä sujuvaa kansainvälistä yhteistyötä sen torjumiseksi, KRP:n Kyberrikostorjuntakeskuksen päällikkö, JIT Mozart -operaatioon osallistunut rikosylikomisario Timo Piiroinen kertoo.

Yhteisoperaatioiden koko ja merkitys on kasvanut viime vuosina: tänä vuonna Europol, FBI ja Eurojust toteuttivat suuren operaation, johon osallistui syyttäjiä ja rikostutkijoita yli 30 maasta. Avalanche-nimellä kulkenut operaatio puuttui verkossa toimiviin haittaohjelmiin ja rahamuulien rekrytointiin.

Yhteistyö osoittautui hedelmälliseksi: operaation tuloksena tehtiin useita kotietsintöjä, suljettiin palvelimia ja pidätettiin viisi henkilöä. Haittaohjelmat olivat ehtineet levitä laajalle, sillä niitä löydettiin yli 180 maasta ympäri maailman.

Viranomaisten välistä yhteistyötä tehdään Europolin ja Interpolin lisäksi myös muiden organisaatioiden ja maiden kanssa. Piiroisen mukaan suurimmat palveluntarjoajat sijaitsevat Yhdysvalloissa, joten se on tärkeä yhteistyökumppani kyberrikollisuuteen liittyvissä tutkinnoissa.

Haasteena kansainvälisessä yhteistyössä on oikeusapupyyntöjen hitaus ja raskaus. JIT-tutkintaryhmät tarjoavat väylän viranomaisten väliseen yhteistyöhön nykymaailmassa, jossa rikollisuus yhä harvemmin pysyy valtiollisten rajojen sisällä.

 
Julkaistu 15.12.2017
Sivun alkuun |