Miten tunnistaa scammerit eri kanavissa

[djmake]

Monelle, jopa asiaan perehtyneelle, on välillä haasteellista erottaa oikea toimija väärästä. Omien havaintojen, kokemusten ja vastaavien jako palvelee siten kaikkia muita. Ketjun tarkoitus on jakaa infoa, miten tunnistaa eri tavoin käyttäjään kohdistuvat, yhteyttä ottavat tahot ja miten erotella selkeät yritykset pankkitunnuksien jne saamiseksi.

Lähtötilanne lähinnä tämä: Tietoturvauutiset ja blogipostaukset

Päivitän aloitusta / topicia ajatusten / huomioiden mukaisesti. Ajatuksena kuitenkin saada kasaan tietoa, miten erottaa oikea valheellisesta.
Moni toimija tarjoaa tietoa omalta alaltaan, kokonaisuus on kuitenkin merkityksellisempi ja huomattavasti laajempi. Yhden antamat ohjeet eivät välttämättä sovellu kaikkeen.

Osa toimijoista käyttää myös edelleen varsin vanhentuneita tunnistautumistapoja jne ja näiden osalta riski väärinkäytöksiin on toki suurempi.

Oma ongelmansa ovat toimijakohtaiset ratkaisut. Verkkopankin osalta moni käyttää toimijan omaa appia joten väärinkäytösten mahdollisuus on pieni. Poikkeavalla tavalla toteutetut ratkaisut voivat kuitenkin johtaa harhaan eikä käyttäjä tätä ymmärrä.

 

[djmake]

Laitan pohjaksi oman postaukseni eli Tietoturvauutiset ja blogipostaukset

Toimija x lähestyy sähköpostitse. miten reagoit ja mitkä ovat vaaran merkit?

Linkin mukaisen osalta kohderyhmä on pieni, eli todennäköisyys joutua huijauksen kohteeksi on rajallinen.

• Saatu sähköposti on jäljitettävissä mainittuun lähettäjään.
• Sisällön "älä luota muihin kun näihin" ovat tekstinä, eivät linkkeinä eli käyttäjä "pakotetaan" kirjoittamaab / kopiomaan osoite itse.
• Mitään tietojen luovuttamisia eikä "klikkaa tästä vahvistaaksesi" ei ole.

Jos tuntematon toimija lähestyy millä tahansa tavalla, on aiheellista miettiä, onko olemassa mitään yhteyttä toimijaan. Linkitetyssä esimerkissä on selvää näin olevan. monessa muussa tapauksessa ei ole. Ennen minkään tietojen antamista on ehdottomasti syytä miettiä, onko toimija millään tavalla tuttu.
Esimerkin osalta nousi esille myös se, että kyseessä on palvelua x aikaisemmin tarjonnut toimija. Tämän kaltaisen tulisi aiheuttaa miettimistä ainoastaan niille, joilla on edes teoreettinen yhteys toimijaan.

Linkatussa ketjussa tulee esille myös tapa tehdä tarkistuksia. Jos ilman linkkejä mainittu toimija on olemassa, sivut löytää ilman email-linkkiä ja niillä on maininta samasta aiheesta (edelleen ilman linkkejä tai pakotuksia jakaa pankkitunnukset tms), saadaan jonkin tason varmuus toimijasta. Suurempien toimijoiden osoitteen haun perusteella saa myös tuloksia (archive.org) pidemmältä ajanjaksolta. Myös domainin rekisteröintitiedoista voi päätellä, onko kyseessä jo pitkään olemassa ollut toimiva vai uusi.

 

[hsalonen]

Asioi vaan pankissa/pankin omilla sivuilla ja älä anna kenenkään tehdä mitään puolestasi. Nykynuoret ja kännykkälinkkien klikkaaminen vailla mitään pelkoa. Tarttisivat lisää goatsea.

Älä anna tunnuksiasi kenellekään. Pankissa eivät kysy! Pankki voi oikeasti soittaa tuntemistietojen tai muiden asioiden perään (epäilyttävää liikennettä tilillä), mutta silloinkin mennään pankin omille sivuille itse korjaamaan tämä asia. Eikä pankki tarvitse sinun tunnuksiasi pysäyttääkseen epäilyttävän tilinsiirron. Ne tekee sen ihan itse ja ei välttämättä edes sinun takiasi, vaan koska laki kieltää rahanpesun ja huijaukset, niin ilmiselvissä tapauksissa pankki hoitelee nuo (älä kuitenkaan 100% luota siihen). Kuitenkin, EI IKINÄ KYSY PANKKITUNNUKSIA/SALASANAA. Käsittääkseni voivat kuitenkin kysyä henkilötunnusta, kun pitää todentaa, että oikea henkilö on puhelimessa.

 

[Jirza]

Pelkkä henkilötunnus ei enää riitä henkilön todentamiseen, vaikka monet tahot näin vielä nykyään toimivatkin. Olen ehkä ylivarovainen, mutta en koskaan antaisi henkilötunnustani puhelimessa. En tosin koskaan vastaan tuntemattomiin numeroihin ja pyrin muutenkin hoitamaan viralliset asiat muuta kuin puhelimen kautta, joten harvoin tuohon tilanteeseen tulen joutumaan.

Murossa oli aikanaan hyvä ketju, missä joku (Pasi viheraho?) kertoi omalla esimerkillään, kuinka toisen henkilötunnuksella voi tehdä paljonkin kiusaa.

 

[lxmo]

(Verkko)pankeista puheen ollen, löysin arkistojeni kätköistä oivallisen esimerkin. En tosin enää muista, mitä kautta tämä huijausyritys tuli, sähköposti / tekstiviesti / jokin muu? Itse tunnistan nämä sen verran helposti, etten niihin lankea, mutta valitettavasti osalle niin käy..

 

[djmake]

Asioi vaan pankissa/pankin omilla sivuilla ja älä anna kenenkään tehdä mitään puolestasi. Nykynuoret ja kännykkälinkkien klikkaaminen vailla mitään pelkoa.

Tätä ei voi liikaa painottaa. Mutta lisätä on syytä myös se, että ÄLÄ käytä hakukonetta. Kyllä, joskus on ongelmallista löytää toimija x muutoin mutta pankkien osalta ei missään tapauksessa näin.
Omien havaintojen mukaan Androidissa lähes väkisin näkyville tungettu googlen haku on todella vahingollinen. Sinne pankkiin mennään kirjoittamalla siihen pankki ja ensimmäinen osuma kelpaa. Läheskään aina ei edes sivun osoitetta näytetä selkeästi joten riskit kasvavat,

Älä anna tunnuksiasi kenellekään. Pankissa eivät kysy! Pankki voi oikeasti soittaa tuntemistietojen tai muiden asioiden perään (epäilyttävää liikennettä tilillä), mutta silloinkin mennään pankin omille sivuille itse korjaamaan tämä asia. Eikä pankki tarvitse sinun tunnuksiasi pysäyttääkseen epäilyttävän tilinsiirron. Ne tekee sen ihan itse ja ei välttämättä edes sinun takiasi, vaan koska laki kieltää rahanpesun ja huijaukset, niin ilmiselvissä tapauksissa pankki hoitelee nuo (älä kuitenkaan 100% luota siihen). Kuitenkin, EI IKINÄ KYSY PANKKITUNNUKSIA/SALASANAA. Käsittääkseni voivat kuitenkin kysyä henkilötunnusta, kun pitää todentaa, että oikea henkilö on puhelimessa.

Tämä on puhdasta asiaa. Ei ole mitään syytä antaa pankkitunnuksia puhelimessa. Mutta vielä tärkeämpää on olla vahvistamatta mitään, mistä ei ole tietoinen. Pelkillä tunnuksilla ei onneksi enää kovin suurta vahinkoa saa aikaan.

Pelkkä henkilötunnus ei enää riitä henkilön todentamiseen, vaikka monet tahot näin vielä nykyään toimivatkin. Olen ehkä ylivarovainen, mutta en koskaan antaisi henkilötunnustani puhelimessa. En tosin koskaan vastaan tuntemattomiin numeroihin ja pyrin muutenkin hoitamaan viralliset asiat muuta kuin puhelimen kautta, joten harvoin tuohon tilanteeseen tulen joutumaan.

Tämä on valitettavasti totta mutta toisaalta keinojen määrä on rajallinen. Nykyään ovat keksineet "täysin varman" varmentamisen eli haluavat henkilötunnuksen lisäksi kotiosoitteen. Ikäänkuin tämä olisi varma tapa. Tämä tosin mahdollistaa enemmän kiusan teon, rahoihin näin ei pääse käsiksi.

Tuntemattomiin puheluihin ei vastaa moni muukaan eli ihmisten tavoittaminen on todella vaikeaa. Tulisi kuitenkin ymmärtää, ettei pelkkä vastaaminen ole riski vaan se, mitä tietoja annat. Ilman ennakkotietoa esimerkiksi pankki ei yleensä soita eikä varsinkaan jostakin Nigerialaisesta numerosta.

Uutena tunnistautumistapana osa toimijoista käyttää pankkitunnuksia myös puhelimessa. Eli puhelun alussa annetaan vaihtoehto "tunnistaudu", saat tekstiviestillä linkin josta pääset antamaan pankkitunnukset. Toki, tunnistautuminen on varmaa mutta vastaavasti näen todella suuria riskejä tällaisessa toimintamallissa. Tavallaan luodaan kiire joten miten varmasti tiedät, mihin annat tunnukset?
Ei varmasti voi liikaa painottaa sitä, että missään tapauksessa tällaista ei pidä tehdä tuntemattoman, saapuvan puhelun osalta. Vain ja ainoastaan harkitusti silloin jos itse soitat ja olet varma, mihin soitat.

(Verkko)pankeista puheen ollen, löysin arkistojeni kätköistä oivallisen esimerkin. En tosin enää muista, mitä kautta tämä huijausyritys tuli, sähköposti / tekstiviesti / jokin muu? Itse tunnistan nämä sen verran helposti, etten niihin lankea, mutta valitettavasti osalle niin käy..

Oikein hyvä esimerkki. Tällaiseen ansaan astuu aivan liian moni ja syykin on tuossa kuvassasi esillä. Siinä näkyy selvästi verkkosivun osoite mutta kaikki eivät sitä katso. Vielä pahempi on se, ettei kaikissa mahdollisissa toteutuksissa osoitetta näe suoraan ollenkaan. Ilman osoitetta tuollaiseen erehtyy valitettavasti liian moni.
Onneksi nykyään ymmärtääkseni jokainen verkkopankkisovellus näyttää tunnistekoodin ja tahon, joka varmennusta haluaa. Joku aihetta paremmin tunteva voinee kertoa, mistä otetaan se käyttäjälle näytettävä nimi ja voidaanko sillä edelleen erehdyttää käyttäjää.