
Tekstivastine Huijaripodi-podcastin jaksolle Mitä huijauksia selvitetään?
00:00:03
Jaana Savolainen: Huijaripodi on Kuluttajaliiton Huijausinfon podcast-sarja. Kahdeksassa jaksossa on jokaisessa vieraana eri asiantuntija keskustelemassa verkkohuijauksiin liittyvistä aiheista. Tässä jaksossa keskustellaan, mikä on Kyberturvallisuuskeskus ja kyberturvallisuuteen liittyvistä asioista. Minun nimeni on Jaana Savolainen, työskentelen Kuluttajaliitossa Huijausinfossa ja toimin tässä podcastissa haastattelijana. Tässä jaksossa minulla on vieraana tietoturva-asiantuntija Ville Kontinen Kyberturvallisuuskeskuksesta. Tervetuloa, Ville. Hienoa, että pääsit mukaan podcastiimme. Kerrotko Ville lyhyesti itsestäsi?
00:00:43
Ville Kontinen: Kiitoksia ja mukava olla täällä. Lyhyesti itsestäni. Minä olin tuossa palveluntarjoajalla, teleoperaattorilla – millä nimellä halutaan kutsua – useamman vuoden töissä ja tein siellä vaikka minkälaisia asioita, ja tietoturva-asiat rupesi tulemaan mielenkiinnoksi tontille. Muutama vuosi takaperin sitten siirryin, hain ja pääsin, tulin valituksi virkaan vielä Viestintäviraston nimellä olleeseen virastoon, joka nykyisin tunnetaan nimellä Liikenne- ja viestintävirasto Traficom, siellä Kyberturvallisuuskeskus. Yksikkö, missä olen, on tilannekeskus ja päivätyöni on käsitellä tietoturvapoikkeamia, havaintoja, ilmoituksia ihmisiltä, organisaatioilta, yrityksiltä ja niin sanotusti kansalaisista presidenttiin ja Pekan Putkesta ihan pörssiyrityksiin asti, että kaikki luetaan, analysoidaan, katsotaan mistä on kyse ja sitten neuvotaan, autetaan, tehdään yhteistyötä eri tahojen kanssa parhaamme mukaan.
00:01:39
Jaana Savolainen: Kyberturvallisuuskeskus on monelle meille ihan tavallisille kansalaisille ja ihmisille aika vieras toimija vielä, mutta kertoisitko hieman siitä, että mitä Kyberturvallisuuskeskus nyt sitten tekee ja myös sen mitä se ei tee?
00:01:54
Ville Kontinen: Ylätasolla jos katsotaan – jos sanoo laki liikenne- ja viestintävirastosta ja siellä on jossain asetuksia, että se lähtee tällaisesta pohjasta, koska viranomaistoimija ollaan. Mutta tiivistetysti, me autetaan tietoturvapoikkeamien uhreja ja neuvotaan tietoturva-asioissa ja tuotetaan tilannekuvaa. Toki Kyberturvallisuuskeskus tekee paljon muitakin asioita, jotka liittyy erilaiseen teleoperaattorien valvontaan ja arviointiin ja hyväksyntään, mutta tässä kontekstissa uhrien neuvominen, auttaminen, tiedottaminen, kansalaisten auttaminen ja neuvominen, eri viranomaisten kanssa yhteistyön tekeminen. Ne on ehkä ne tärkeimmät asiat ja keskeisimmät, jos ajatellaan tällaisia nopeita, helppoja sidosryhmiä niin poliisi on yksi, Kuluttaja- ja kilpailuvirasto on yksi. Sitten on pankit, finanssisektori yleisesti, että ne liittyy tällei huijausteemassa sellaisiin tahoihin, joiden kanssa nyt jos ei päivittäin, niin kyllä melkein viikottain jollekin näistä on sähköposti- tai puhelinkeskustelua käynnissä. Sitten mitä me ei tehdä, niin me ei olla poliisi, eli jos sanotaan että ottakaa rikolliset kiinni, niin se ei onnistu, jos sanotaan, että haluan rahani takaisin, rikollinen vei ne. Niin ei olla poliisi eikä pankki, me ei siinä enää pystytä tekemään. Me pystytään neuvomaan, että mitä nyt kannattaa tehdä, mistä tässä on kyse ja mitä seuraavana pitää tehdä. Jos tulee epäselviä tilanteita, niin voidaan varmistaa, onko tässä kyse nyt huijauksesta tai tunnuskalastelusta tai muusta ja neuvoa vähän, miten tältä voi suojautua ja tehdä ja tätä kautta sitten, kun näitä yksittäisiä tapauksia tehdään ja käsitellä niin päästään tähän hienoon tilannekuva-sanaan. Eli se tarkoittaa sitä, että me ymmärretään, mitä Suomen maassa tapahtuu. Mulla on aika hyvä näppituntuma siitä, miltä mikäkin näyttää, paljon on liikkeellä ja tätä jalostetaan viestinnän muotoon, eli pyritään tekemään mediatiedotteita, lehtiartikkeleita, julkaisuja, tehdään omia ohjeita, materiaalia ja muun muassa esimerkiksi tämä podcast on meille yksi tällainen viestinnän työkalu.
00:03:56
Jaana Savolainen: Suhteessa muihin toimijoihin, niin miten esimerkiksi viranomaisten roolijakoa sä luonnehtisit? Miten se toimii sun mielestä?
00:04:07
Ville Kontinen: Roolitus on siinä mielessä selvää, että poliisi tutkii, me neuvotaan, KKV:n tontti kuuluu sitten, kun organisaatioita, yrityksiä ja kuluttajia harhaanjohtavaa. Tää on sinänsä selvää, mutta se paletti muuttuu heti vaikeammaksi, kun eihän kriminaali kunnioita tällaisia toimivaltarajoja. Jos sanotaan, että sulla on valeverkkokauppa, tilaat sieltä 30 prosentin hinnalla olevan aurinkolasin, jonka pitäisi maksaa 200, sä maksat 30 ja sä saat paketissa kiven, niin onks tää nyt sit tietoturvapoikkeama, tietoturvauhka, onko sulta kalasteltu verkkopankkitunnuksia tai luottokorttitietoja? Onko tämä kuluttajan harhaanjohtamista ja petoksellista myyntiä? Onko tämä petos, onko tämä poliisijuttu? Pitäisikö pankin tehdä jotain? Eli käytännön elämässä se ei olekaan ihan niin helppoa ja tietyllä tapaa, kun pelikenttä muuttuu, niin lainsäädäntö muuttuu perästä. Eli aina tulee sellaisia uusia ilmiöitä, jotka on sellaisella harmaalla alueella, että kenen tontilla nyt oikeasti on ja millä toimivallalla ja kuka pystyy puuttumaan tän tyyppiseen touhuun.
00:05:06
Jaana Savolainen: Huijausyrityksiä tuolla verkossa tehdään eri tavoilla tosi paljon. Miltä tämmöinen huijaus näyttää uhrin kannalta teknisesti ajateltuna?
00:05:17
Ville Kontinen: Uhrin kannalta – meillähän tämä pohjaa siihen, että eihän huijaukset aina mulle tule tai meille. Joskus tulee. Se on aina hulvatonta, kun mekin saadaan niitä samoja sähköpostiviestejä, kalasteluita, että kiitos ilmoituksesta kun siellä se rikollinen laittaa meille sen suoraan. Mut se lähtö on yleensä se, että ihmisille tulee viesti, se voi tulla tekstarina, sähköpostina, jossain somessa: Instagram, Facebook esimerkkinä, se voi tulla ihan vaan selatessa muuten, että jotain tapahtuu ja siitä yritetään meille saada jotain mitä tutkia. Jos ihminen on hirmu valveutunut niin se osaa yleensä suoraan ottaa kuvakaappauksia ja laittaa linkkejä. Tällaisia me yritetään ymmärtää, miltä homma nyt näyttää ja tulkata niiden perusteella, mistä tässä on kyse. Mutta joskus lähdetään hyvinkin ohuilla tiedoilla liikkeelle ja sitten konkreettisesti miltä se näyttää. Yleensä näihin liittyy tällainen niin kun insinöörille vaikea homma, eli psykologia. Eli aika harvoin kun ajatellaan rivikansalaista, niin se hakkeri hyökkää silleen, että se ihminen ei ole itse siinä mukana. Eli sua pyydetään tekemään jotain, et pankkitunnuksesi ovat lukossa, voitko kirjautua tänne, luottokorttisi on suljettu, avaa se uudelleen tästä. Paypall-tililläsi on epäilyttävää toimintaa, tarkasta täältä. Sinut tägättiin Instagramissa postaukseen, että joku tämmöinen alustus siinä on pohjalla, jolloin saadaan ihminen herätettyä tekeen asioita, jolloin päästään siihen varsinaiseen ytimeen, mitä se tekijä haluaa. Sitten alkaa tapahtua pahanlaatuista asiaa. Tokihan on tällaisia valeverkkokaupat ja tämän tyyppiset jutut on vähän semmoisia, että ne odottaa sitä että joku löytää sen ja tulee paikalle, mutta toki niihinkin liittyy esimerkiksi somessa tehdään tällaisella huuhaa-valeprofiileilla aggressiivista mainostusta, että nyt on halpaa kenkää, tule ostamaan ja ihmiset katsoo että minäpäs menen ja siitä se homma lähtee käyntiin. Että sit kysymysmerkkinä ehkä siinä onkin, kun rupee tekee jotain. Jos ajatellaan mistä huijauksen tunnistaa, niin ei välttämättä mistään. Sulle voi tulle se tekstari, some-, sähköposti-, joku viesti, mutta siinä pitää ruveta miettimään, kun alkaa tekemään jotain. Että oonko mää lähtenyt tähän prosessiin, jota prosessi tarkoittaa nyt mitä tahansa, oonko mä lähtenyt tähän itse vapaaehtoisesti? Vai onko tässä joku ulkoinen taho, joka yrittää saada manipuloimalla tekemään jotain. Siinä kohtaa pitää miettiä, voiko tässä nyt olla kyseessä jonkun tyyppinen vilunkipeli. Eli jos ajatellaan, että pankki laittaa sulle tekstiviestin, että luottokorttisi on lukittu. Sitten on perässä linkki, että avaa se tästä. Siinä pitää miettiä, että lähettääkö pankki tällaisia viestejä. Onko mun luottokortilla tehty jotain outoa, miten mä voisin varmistaa tän. Yleensä lähtökohtaisesti on tosi huono idea tekstiviesteissä, sähköpostissa ruveta klikkailemaan linkkejä auki. Eli jos kyseessä on huijaus ja petos, sää avaat sen linkin, mikä siinä on, niin sää oot jo lähtenyt siihen hyökkäysketjuun mukaan, mutta sitten jos ajatellaan että kyseessä on vaikka pankin viesti ja sä meet ihan itse näpyttelemällä pankin osoite piste fi -tyyppisesti verkkopankkiin ja meet sieltä kattoon mikä homma, miltä näyttää tai etsit itse pankin aspan numeron tai soitat sinne. Niin silloin sä et ole lähtenyt lähtökohtaisesti sellaisille, niin kuin riskitielle, jossa voidaan kaatua sit lopulta johonkin huonoin seurauksin. Se pitää tunnistaa, että pankithan ottaa yhteyttä. Eri palveluista tulee viestejä ja Facebookista voi tulla viesti, sähköpostista voi tulla viesti et tili on lukossa, tee jotain, mutta siinä ei pitäisi lähteä suoraan ensimmäiseen indikaattoriin. Et sit kirjoitetaan kyseisen palvelun yli itse selaimen osoiteriville ja painetaan enteriä. Siitä perästä soitetaan itse se puhelu ja tarkistetaan, onko tämä yhteydenotto validi. Posti-teemassa, jos ajatellaan, että nää on ollut pari vuotta aktiivisia nämä erilaiset sinulle on tulossa paketti -tyyppiset huijaukset. Oletko sä tilannut mitään? Postin sivuilla, Matkahuollon sivuilla on pakettihakukoodi. Jos sä olet tilannut jotain, syötä se koodi sinne hakuruutuun ja katso itse missä se paketti menee, onko se tullut. Aika usein se on ihan huuhaata, että sillä voi olla aitokin pakettikoodi, semmonen joka antaa jotain oikeata tulosta siinä huijausviestissä. Mutta se sellaista manipulaatiota, millä haetaan sitä uskottavuutta siihen viestiin. Jos sanotaan, että paketti on Tullissa, niin oletko sinä tilannut ulkomailta jotain, mitä on tulossa mikä olisi tullissa. Toki tulee huonoja tilanteita, että sä olet tilannut jotain, se on tulossa ulkomailta ja osutaan siihen herkkään hetkeen, mutta siihen se pysähtyminen ja miettiminen ja mikä on se viimeinen aito viesti, oikea viesti. Sieltä verkkokaupasta tullut oikea vahvistusviesti tai vastaava, mitä ne lähetystiedot siellä oli ja palataan siihen, niin kuin otetaan askel taakse siitä akuutista tilanteesta, katsotaan pikkusen historiasta ja ruvetaan selvittämään, onko tämä oikea juttu vai ei.
00:10:09
Jaana Savolainen: Aivan. Eli tässäkin tällainen maltti ja tarkistaminen ja ei siihen mitenkään kiireillä tarttuminen näihin erilaisiin viesteihin, joissa on linkkejä, niin se voi olla hyvinkin pelastava asia.
00:10:23
Ville Kontinen: Kyllä. Ota kuppi kahvia ja mieti hetki mitä oot tekemässä, niin se on ihan semmoinen nyrkkisääntö, että kiire on semmoinen juttu, mitä aika paljon viestissä käytetään. Meilläkin kielitutkija analysoi suomenkielisiä viestejä, siis puristeli vähän sitä kieliasua kielitutkimuksen hengessä ja mä toimitin sille materiaalia siitä. Kyllä siinä semmoinen psykologinen pesu siihen, että sun pitää just nyt tehdä jotain, tällä on kiire. Se toistuu ja se on yksi semmoinen kantava teema, että ne psykologiset vaikuttimet ihmisen pään sisällä on eri asia, mutta sen mä pystyn sanomaan faktisesti, että se on yksi semmoinen hyvin suosittu, että sun pitää just nyt tehdä jotain tai jotain menee rikki tai et saa jotain tai tarjous loppuu tunnin päästä, osta se heti, luottokortti meni kiinni, reagoi välittömästi. Kaikki tällaiset jutut toistuu viesteissä. Jos joku hoputtaa sua niin sit pitää vähän aikaa miettiä, miksi se hoputtaa sua. Että aika harva juttu on kuitenkaan sellainen, että jos sanotaan, että sulle nyt käy jotain ja sua varoitetaan siitä, että sun itse tarvitsisi tehdä jotain juuri sillä sekunnilla, niin se hetken mietintätauko antaa paljon aikaa siihen, mitä tässä on menossa, mitä tässä tapahtuu.
00:11:31
Jaana Savolainen: Näitä huijauksia tapahtuu monella eri alueella ja ihmiset menettää paljon erilaisia tietoja. Yksi on henkilötiedot. Jos mietitään henkilötietojen menettämistä, niin mihin niitä lähetetään tai myydäänkö niitä eteenpäin. Mihin niitä nämä huijarit käyttää varsinaisesti niitä henkilötietoja?
00:11:57
Ville Kontinen: Huijausten kohdentaminen on yksi sellainen helppo. Jos ajatellaan että sulle tulee viesti, sulle tulee viestiä jossa on sun nimi, sit tulee viesti jossa on sun osoite, sulle tulee viesti jossa on jotain lisää, eli jos ajatellaan sitä, että miten laadukas joku tekninen lähestyminen on, mietitään tämmöstä termiä kohdentaminen. Eli miten hyvin tää on kohdennettu suhun. Tää toistuu ihan yritys- ja yksityiskentässä. Jos ajatellaan erityyppisiä uhkia, että mitä paremmin pystytään räätälöimään se viesti sille vastaanottajalle, sen tiedoilla ajanhetken ja tilanteeseen sopivasti, sen varmemmin se yritys menee läpi. Eli sen takia yksittäisen ihmisen kannalta se että se ilmoittaa meille, että kun mulle oli tulossa juuri silloin paketti, se oli tosi uskottava ja meillä näkyy 200 samanlaista ilmoitusta, joista 40 prosenttia ei ole tilannut kuukauteen mitään mistään. Niin se, että se yksilön kannalta se voi tuntua tosi kohdennetulta, vaikkei se sitä olisikaan. Mutta toki on niitä kamppiksia, joissa on oikeasti kohdennusta. Eli esimerkiksi on ollut tällaisia keissejä, joissa on kalasteltu pankkitunnuksia sillei, että näytetään hakukoneen kautta mainoksia ja niissä mainoksissa voidaan räätälöidä keille sitä näytetään, profiloidaan sitä käyttäjää, jolloin sit voidaan oikeasti miettiä, että me halutaan tällaisia uhreja. On ostettu henkilötietoja jostain tietovuototapauksesta, on kaivettu pimeästä verkosta niitä ja mietitään erikseen tekijäpuolella, että etsi sellaiset henkilöt, joiden ikä on yli tämän verran tai alle tuon verran tai jotka on käyttänyt tällaista palvelua. Jos sanotaan vaikka että se on Netflix- tai Spotify-tunnarit vuotaa niin totta kai silloin kannattaa käyttää oikeata käyttäjätunnusta ja sen kyseisen palvelun teemaa siinä huijausviestissä, koska jos siinä on mitä sattuu niin silloin se ei todennäköisesti mene niin helposti läpi. Sitä seuraava on toki, että tekijät ja tämmöinen opportunistinen toiminta. Jos ajatellaan kohdentamista, esimerkiksi pankkien nimissä tehtävissä kalastelussa saattaa viestejä tulla kymmeniätuhansia ihmisille. Eihän niistä puoletkaan ole pankin asiakkaita. Mutta toisaalta taas siellä voi olla, mutta se on yksilönä vaikea sanoo, onko tässä taustalla jotain henkilötietovuotoa, jolla kohdennetaan. Sitä voi etsiä onko siinä jotain sellaista mikä yksilöi tämän juuri minuun ja sen perusteella sit voidaan miettiä, onko taustalla joku murto vai ei. Faktahan kuitenkin siis on, että puhelinnumeroita, sähköpostiosoitteita, tämmöisiä myydä eteenpäin. Ne on siinä mielessä sellaisia vähäarvoisia, mutta kuitenkin pisteitä, joihin voi yrittää huijausta.
00:14:29
Jaana Savolainen: Kyllä. No nyt päästiin tietovuotoihin, niin mä kysyisin sellaista kun varmaan kaikilla on hyvin muistissa vielä tää ikävä viime syksyn Vastaamon tietovuototapaus, niin tapahtuuko näitä tämäntyyppisiä tietovuotoja kuinka paljon?
00:14:46
Ville Kontinen: Ylätasolla mä sanon, että tietovuotoja tapahtuu koko ajan, tiedettiin me niistä tai ei. Mutta Vastaamo on tapauksena poikkeuksellinen Suomen historiassa ja varmaan maailmanlaajuisestikin. On erittäin poikkeuksellista, että terveystietoja varastetaan tuossa määrin, saati että niillä ruvetaan kiristämään tai vuotaa verkkoon. Se on ihan maailmanlaajuisestikin hyvin erikoinen tapaus, mutta jos siitä mennään askel kauemmas ja ruvetaan yleisesti puhuu henkilötietojen varastamisesta, niin näitähän on ihan suut ja silmät täyteen siinä mielessä, että oliko 2019 julkaistiin tämä Collection number one nimellä kulkeva tietopaketti, niin siellä oli, muistanko väärin, niin miljardi riviä tietoa. Siis on haettu koneellisesti, tietovuotopaketeista kasattu yhteen, sit on ollut näitä Facebookin appeista kaveriprofiili, et kuka on sun kaveri -periaatteella haetaan, niin sieltä on haettu ihmisten nimiä ja puhelinnumeroita. Niitäkin julkaistiin hirvet määrät, sitten tässä on valideja puhelinnumeroita näin monelle ihmiselle, että tällaisia eriasteisia, erityyppisiä vuotoja tapahtuu eri suuruusluokissa koko ajan ja jatkuvasti. Tietyllä tapaa ongelma on se, että jos nyt käytetään Vastaamo-keissiä ja ihan julkista tietoa, siitä mitä oikeudessa on puhuttu, että murrothan tapahtu aikaa sitten, mutta sit se tuli pinnalle vasta 2020 syksyllä. Eli tässä on se ongelma, että jos sanotaan että just nyt sun tiedot on varastettu jostain palveluista verkossa, niin milloin se tulee ilmi se murto, milloin pystytään yhdistämään, että tästä murrosta on viety nämä tiedot, on nyt käytössä tällaisessa ja tällaisessa kampanjassa. Tämä korrelaatio voi olla mahdoton tehdä, että ehkä se lähti jostain tai sitä ei tiedetä, jos se tekijä ei tunnusta meille mistä se kaivo ne tiedot, mitä se teki. Siinä mielessä semmoinen yöunien menettäminen siitä, että kaikki verkkopalvelut vuotaa, niin ei kannata. Että ulkona sataa vettä, sille ei vaan voi mitään. Laitetaan sadevarjo päälle ja jos on oikein kova myrsky, niin mietitään uudestaan.
00:16:41
Jaana Savolainen: Oli hyvä vertauskuva kyllä. Hei, multa kysytään kauhean usein, että jos on menettänyt noi henkilötiedot tai epäilee menettäneensä, niin mitä uhrin pitäisi tehdä, jos on menettänyt ihan oikeasti ne henkilötiedot vääriin käsiin?
00:16:57
Ville Kontinen: Se riippuu, mitä on menetetty. Siis, että tähän nyt ei oo antaa lyhyttä varmaa vastusta, vaan siinä pitää miettiä, mitä menetettiin, miten sitä voi väärinkäyttää ja sen perusteella sitten miten siihen tarvii reagoida. Vastaamo-keissin yhteydessä me julkaistiin Tietoapu-sivusto, mutta nyt sit DVV:n projektin tuotoksena on tehty kattavampi Suomi.fi:ssä oleva, tietovuotouhreille oleva paketti. Semmoinen lyhyt nyrkkisääntö on, että jos salasanoja, käyttäjätunnuksia vuotaa niin silloin pitää välittömästi ruveta miettimään salasanan vaihtoja ja niin pois päin. Onko sama salasana jossain muualla. Jos sähköpostiosoite ylätasolla lähtee yhtään mihinkään niin se yleensä indikoi, että rupee tulemaan kalastelua, huijausviestiä perässä. Jos lähtee puhelinnumero, niin todennäköisesti tulee tekstiviestiä tai soittoa vähän vaihdellen, minkä tyyppistä. Et näihin semmoiset yksinkertaistetut ohjeet on, että salasanat vaihtoon. Mieti, tarvitseeko käyttää sitä sähköpostiosoitetta ja puhelinnumeroa, vai voitko vaihtaa. Toki tässä on sitten kompastuskiviä, että vanhempi puhelinnumero, jota oot 20 vuotta käyttänyt, niin siinä pitää oikeasti miettiä, että tarvitseeko vaihtaa numeroa. Jos ajatellaan just tällaisia syvempiä henkilötietoja, millä voisi tehdä vaikka luottokauppaa, pikavippejä, tämän tyyppistä touhua, niin pitää oikeasti ruveta puntaroimaan, mikä tietomäärä riittää siihen, että pystytään tekemään tämän tyyppistä toimintaa. Esimerkiksi verkkopankkitunnuskalastelussa 2020 syksyllä oli tämmöinen tapausketju, missä tehtiin verkkopankkitunnusten kalastelua ja niiden yhteydessä haettiin ihmisten nimissä pikavippejä. Että tietyn tapainen tietovuoto tämäkin, mutta se että verkkopankkitiedot lähti, periaatteessa hyökkääjällä on ollut pääsy sun verkkopankista välittämiin tietoihin, mutta tarviiko sun reagoida sen enempää? Mitä sun tarvii siinä tehdä, siinä onkin hyviä kysymyksiä, että mikä on tekijän motiivi, mitä se oikeasti teki siellä taustalla. Näihin ei oo sellaisia absoluuttisia vastauksia aina.
00:18:54
Jaana Savolainen: Jokainenhan netinkäyttäjä haluaa ihan varmasti omalta osaltaan vaikuttaa siihen, että netissä toimiminen ja oleminen olisi mahdollisimman turvallista ja osata sitten ne oikeat toimintatavat ja puhutaankin nyt vaikka tällaisesta uudesta kansalaistaidosta, perusasioista. Kerrotko siitä, että miten siellä netissä voi nyt sitten toimia turvallisesti? Mihin asioihin tulee kiinnittää huomiota?
00:19:17
Ville Kontinen: Yksi on suoraan heti semmoinen helppo peruste, että käytössä olevat laitteet ja sovellukset. Eli jos nyt mietitään, että on kotona tietokone, sit siinä on vieressä tabletti, käyttiksenä on vaikka Microsoft Windows jotain ja sit siinä on vieressä joku Applen iOS ja niin poispäin, niin päivitykset. Se on ihan se ensimmäinen. Se on, että jos ajatellaan että hakkeri tuli ja vei kaiken niin päivitykset on yleensä sit se syy, jos sulla on vanha ja hapantunut laite, jolla seikkaillaan syvissä seitsemissä merissä, niin kyl sieltä jotain tarttuu kyytiin. Et päivitykset automaattisesti asentumaan ja aina jos se laite tarjoaa itse, että nyt on käyttöjärjestelmäpäivityksiä, selain sanoo, että nyt on selainpäivityksiä, niin asennus välittömästi. Siinä mielessä, että se haavoittuvuus mahdollistaa pahimmissa tapauksissa sen, että hyökkääjä voi tehdä asioita ilman, että sinä tiedät edes siitä tai siinä tarvitaan edes sinun edesauttamistasi, joten se on sen helpoin keino ehkäistä sellaisia asioita, joissa ei tarvita sun myötävaikutusta. Siten päästään siihen vaikeampaa juttuun, eli seuraava askelmerkki sitten kun päivitykset ja tämmöiset on kunnossa, olis kyllä käyttäjätilien hallinta. Siis siinä mielessä, että monivaiheinen autentikaatio, tekstiviestillä tuleva vahvistuskoodi tai joku generaattori puhelimessa tai erillinen joku fyysinen avain, joka generoi numerosarjoja. Niin sellaisen käyttöönotto käytännössä kaikkiin verkkopalveluihin on enemmän kuin suotavaa. Teoriassa, jos sanotaan, että sulla on ihan älyttömän hyvä salasana siis tyyliin 25 kirjainta pitkä ja niin poispäin, niin se riittää, mutta siinä on kuitenkin se kysymysmerkki, että se salasanojenhallinta, et salasanakirjastot ovat hyviä, mutta se että monivaiheinen tunnistautuminen kuitenkin aika paljon heittää kapuloita rattaisiin. Tää on pankeilla ollut arkipäivää jo vaikka kuinka pitkään, et on ollut tunnuslukulistaa ja on ollut kaikkea muuta tekstiviestivahvistusta ja tällaista, niin saman logiikan käyttöönotto sähköposti, somepalvelut, kaikki muut vastaavat. Se on hyvä. Sen jälkeen ehkä tämmöinen yrityksille mainostettavat – varmuuskopiointi on hyvä juttu, mutta nyt meillä on aika surullisia tarinoita siitä, että sulla on jotain valokuvia, digikuvia otettu lapsista ja muista vastaavista. Se on melko surullista siinä vaiheessa kun viidentoista vuoden aikana otetut digitaaliset kuvat on lähtenyt. Niiden miettiminen missä ne on, missä muodossa ne on, tarpeen vaatiessa se fyysinen kopio, ihan printattu valokuva on ihan kova, koska joissain tapauksissa sit tällaista digitaalista materiaalia, sen pelastamista ei voi. Et se voi olla menetetty niin kuin ikuisesti. Tämä on semmoinen, jota ihmiset ei välttämättä ajattele. Sit seuraavana päästään ehkä siihen, että kun ollaan tekemässä jotain. Eli mistä alussa sanoin, että kun olet kirjautumassa johonkin, syötät luottokortin tietoja, olet syöttämässä verkkopankkitunnusta, autentikaatiota tällaisissa pisteissä se harkinta, et miks mä oon tässä ja onko tämä nyt ok. Toki se jos nyt olen menossa maksamaan omia laskuja ja niin pois päin, niin erittäin todennäköisesti homma on hyvä, mutta se että jos tulee joku ärsyke, josta lähdetään liikkeelle, niin sen miettiminen, että menikö tämä niin kuin piti. Ihan perusterve kriittisyys, että vainoharhaiseksi ei tarvi ruveta, mutta perusterveellä tavalla. Että jos sanotaan vaikka, että oot verkkokaupassa ja kaikki tuotteet on miinus 70 prossaa ja sieltä löytyy popcornia, piimää ja pokemoneja, niin kannattaa pikkusen miettiä mikä verkkokauppa myy kaikkea tätä näin halvalla. Että onko tämä nyt ihan oikeata touhua. Jos sanotaan, että verkkopankki tai joku muu juttu, niin just että on se terve kriittisyys. Mistä tässä on kyse? Hetken miettiminen ja sit lopulta se avun pyytäminen, jos ei oo varma. Pyydä apua, pyydä joltain tutulta, läheiseltä ihmiseltä, ota yhteyttä meihin. Vara ei venettä kaada siinä mielessä, että on paljon mukavampaa ihmetellä vaikka pari tuntia jotain juttua ja pyytää ulkoista apua, kun todetaan että sulta on lähtenyt 15 000 euroa ja kaikki pankkikortit, luottokortit vedetään sileeks ja palautellaan tunnuksia, ihmetellä miten tässä näin kävi ja sit ruvetaan vääntään rikosilmoitusprosessia pystyyn. Että se pari tuntiakin on aika pieni verrattuna siihen mielipahamäärään. Jos viisi minuuttiakin mietit ja ajattelet, että onko tää homma ok niin se ehkäisee niin paljon, et koe mielipaha jäljestäpäin, et semmoinen miettiminen loppuun vielä.
00:23:32
Jaana Savolainen: Ei aika on rahaa tässäkin kohtaa.
00:23:34
Ville Kontinen: En mä sano rahaa välttämättä siinä mielessä, vaan sanon että se on nyt ihan, semmonen korvaamaton luonnonvara. Raha on huono, rahaa saa aina lisää. Sanotaan, että vaikeimmat jutut, mitä mä on joutunut töissä käsittelemään, niin oli näitä teknisen tuen puheluita, huijauspuheluita. Ei koulussa opetettu sitä, että miten jutellaan sellaiselle ihmiselle, joka on menettämässä elinikäiset säästöt huijauspuhelun aikana. Et se on kolme tuntia aivopesty ja se on menettänyt kaiken ja siellä on oltu verkkopankissa sen koneella sisässä. Ja koko homma olisi voitu välttää sillä, että siinä vaiheessa, kun puhelin soi ja Microsoft esittelee itsensä, niin olis sanonut että ootappa hetki, mä selvitän vähän tätä asiaa. Sit meille se yhteydenotto tai johonkin muualle, kysytty mikä juttu tää oikein on, että miksi mulle tulee tällainen soitto. Niin silloin ehkäisis just sitä itkua ja pahan olon määrää aika paljon.
00:24:26
Jaana Savolainen: Kyllä. Meille Huijausinfoon tulee myös näitä valitettavia puheluita, joissa sitten on menetetty koko omaisuus. Eli semmoinen sopivan epäilevä, kriittinen luonteenlaatu netissä on oikein hyvä asia.
00:24:43
Ville Kontinen: Kyllä. Sit jos epäilee, sit pysähtyy ja kysyy.
00:24:45
Jaana Savolainen: Kyllä.
00:24:46
Ville Kontinen: Et niillä pääsee pitkälle.
00:24:50
Jaana Savolainen: Sitten vielä sellainen, että mikä Kyberturvallisuuskeskuksen rooli on silloin, kun teille otetaan yhteyttä esimerkiksi tällaisen teknisen tuen huijauksesta.
00:25:02
Ville Kontinen: Ekana siinä on toki se kysymysmerkki, et millä jalalla lähdetään liikkeelle. Eli on muutama pohjapremissi, että onko tää semmoinen ennakkoon tiedusteleva, mistä äsken sanoin, että kun joku ihmettelee, että mikä juttu ja se hakee apua? Onko tämä semmonen, että nyt on kaikki menny ja ollaan kaulaa myöten siinä lirissä? Onko tämä semmonen, että kaikki on mennyt, mut on opeteltu uimaan ja on päästy jo sinne rannan suuntaan, että tää on lähinnä tiedoksi-tyyppinen juttu. Että se vaihtelee vähän sitten. Jos ylätasolla lähdetään pikkusen pureutumaan sisälle, että jos tulee semmonen tapaus, että mulle tuli tällainen puhelu. Siinä käytettiin kielenä englantia ja esiinnyttiin teknisenä tukena ja niin edelleen. Niin sit, että en haksahtanut, ymmärsin mistä on kyse, pistin luurin kiinni. Se on meille lähinnä tilannekuvapiste siinä mielessä, että yksi tapaus kirjoihin lisää, ettei sinänsä ihminen tarvi apua, kiitos ilmoituksesta ja lisädatapisteistä ja se ei sinänsä aiheuta sen enempää toimintaa yksittäistapauksena. Jos kyseessä on tämmönen, et kaikki meni ja mitään en tiedä, niin aloitetaan kädestä pitäminen, että oletko ollut yhteydessä pankkiin, menetitkö verkkopankkitunnuksia, menetitkö luottokorttitietoja. Että me esitetään aika paljon kysymyksiä ja tiedetään miten se malli menee kaikista näistä muista keisseistä johtuen. Siltä uhrilta ruvetaan kysymään, että voi olla, että sulle ollaan tehty näin, muistatko kävikö. Jos kävi, niin tee näin. Voi olla, että on käynyt näin, että tee rikosilmoitus, soita pankkiin, tarkastuta sun kone ammattilaisella, älä käytä sitä verkossa, koska siellä voi olla sitten taustalla jotain tekijöiden jättämiä pääsyä mahdollistavia asioita, jolloin ne voi vakoilla sua lisää. Että neuvotaan siitä. Sitten jos vaikuttaa vähänkään siltä, että prosessi tuntuu henkilöstä raskaalta, että mennään sellaisille vaikeammille vesille meidän kannaltamme, että pystytään spesifisti tällaisia ohjeita antamaan, mutta sitten kun muu vertaistuki tulee niin tulee just Rikosuhripäivystys, Huijausinfon vertaistukiryhmä. Meiltä ei valitettavasti sellaista kädessä pitämistä saa, että meillä ei resurssit siihen riitä ehkä ei osaaminenkaan. Niin ohjataan että täältä suunnasta voi pyytää pehmeämpää apua siinä mielessä. Jos tulee taas tämmöinen että kaikki on mennyt ja olin itse yhteydessä pankkiin, tein rikosilmoituksen, sit lähinnä katsotaan sillä silmällä, että onko meidän mielestä käyty ne kaikki tikkaan oksat läpi. Onko se tehnyt ne oikeat toimenpiteet, onko se tilanne hanskassa ja siinä mielessä me ollaan tyytyväisiä, että meille ei oo sulle annettavaa. Jos on, niin se menee samaan kun se ensimmäinen, niin se on tilastopiste ja merkintä, vähän erilainen merkintä. Jos ei, se on sama kuin tuo edellinen eli ruvetaan neuvomaan, että sulta muuten puuttuu tämmönen juttu. Ja kokonaisuutena tästä sitten kotiin viemisinä meillä tulee se, että kun näitä pisteitä tulee tarpeeksi, niin ilmiön laajuus, suuruus, koska Kyberturvallisuuskeskus on teleoperaattoreita valvova viranomainen, niin meillä on tällä hetkellä käynnissä projekti siitä, kuinka puhelinnumeroiden väärentäminen pystytään estämään ja operaattoreiden kanssa vääntäminen, että paljonko näitä on, mihin niitä tulee ja kuinka niitä rajoitetaan. Että yhteistyötä viranomainen ja palveluntarjoaja hengessä. Samaan hengenvetoon päästään äkkiä juttelemaan ulkomaille, eli ruvetaan puhumaan siitä, onko muualla Euroopassa, muualla maailmassa samantyyppistä, mitä sieltä löytyy. Sitten kun ruvetaan kattoon just näitä murtojälkiä siinä mielessä, että on menty verkkopankkiin, on ehkä pyydetty täyttämään jotain lomakkeita, nettisivuja. Mitä siellä tapahtui oikeasti ja sit tarpeen vaatiessa poliisin kanssa tiedon vaihtaminen siitä, et nyt kun poliisilla siinä mielessä rikosilmoitus voi tulla sisään hyvinkin sekavana, siinä mielessä että siinä ei ole kaikkea sitä, mitä poliisin tarvitsisi. Meillä voi olla yleistasolla hahmotusta jostain tapauksesta tai toimintamallista, joka voi auttaa poliisia tutkinnassa eteenpäin, niin tältä kannalta tiedonvaihto, että me tiedetään, että tapauksissa on tapahtunut tällaista ja tällaista. Jos ihmiset antaa meille ihan luvan, niin sit voidaan puhua ihan yksittäisistä tapauksista sen tutkinnanjohtajan kanssa, mutta lähtökohtaisesti puhutaan ilmiötasolla muuten. Uhrit jää siinä mielessä on anonyymeiksi, jos ei ole erikseen semmonen case-esimerkki tyyppinen tapaus. Tältä pohjalta sitten on sitä tekemistä suuntaan ja toiseen. Jos tää oli teknisen tuen huijauksista, niin sitten vähän samaan henkeen niin se riippuu vähän siitä, mikä on lähtö, mikä on se ilmoittajan senhetkinen tilanne. Että meille tulee toki sellaisia tapauksia että kaikki on hyvin, tiedoksi teille, ymmärsin itse että tästä oli kyse, tehkää mitä parhaaksi näette. Niin sitten tapauskohtaisesti analysoidaan, mitä me siinä tehdään. Joskus ne on niin vaikeita siinä mielessä, että meillä annetaan kuvakaappaus jostain somesta ja sanotaan, että mitä tässä tapahtuu ja sit me yritetään parhaamme mukaan ymmärtää, mitä siinä tapahtuu, testata kaikki ne linkit, kattoo ne profiilit läpi, kelata se koko ketju uhriperspektiivistä, että minä sitten niin sanotusti leikin turvallisesti uhria, niin pitkälle kuin pystyn ja sen jälkeen kerron mistä tässä on kyse. Sitä kautta yritetään saada ihmisiä, joko pelastettua vaarasta tai todettu, että tässä ei ole vaaraa ja sen jälkeen kun kaikkea tätä on riittävästi tehty, tulee niin sanotusti virkamiehille riittävästi ärsykkeitä niin jossain vaiheessa lähtee käyntiin tiedotusprosessi. Se ei ole semmoinen, että yksittäisen tapauksen pohjalta me äärimmäisen harvoin lähetään tiedottamaan, vaan se vaatii vähän sellaista pään raapimista siitä, että mitä tässä nyt tapahtuu, paljonko tätä tapahtuu ja miltä kannalta, kenelle ja millä tavalla pitäis viestiä. Se on prosessiketjussa sitten kuitenkin jossain vaiheessa siellä mukana, että jotain lähdetään tekemään.
00:30:37
Jaana Savolainen: Eli periaattessa niin, että kun ihmiset ilmoittaa näistä tapauksista, niin mitä enemmän niitä ilmoituksia tulee, niin siinä kohtaa myös aina paremmin reagoidaan sieltä teidänkin suunnasta ja muiden viranomaisten suunnasta.
00:30:53
Ville Kontinen: Kyllä. Vaikka tässä ammun mua itseäni nilkkaan ja hukuta itseni töihin. Siis se, että tässä on sama tematiikka kuin poliisin rikosilmoituksissa. Jos me ei tiedetä yhtään mistään, niin huono siitä varoittaa ja kertoa ihmisille ja tosi huono on kertoa ihmisille siitä, että mistä tässä on kyse, jos meillä ei ole ikinä ollut sellaista. Eli aina tarvitaan se ensimmäinen potilas, jota pitää tutkia huolella ja katsoa ja sit ruveta kattoon niitä muita siinä vieressä, että onko tämä tätä samaa vai eri. Eli kyllä me siinä mielessä kaivataan ilmoituksia, mutta sitten siinä tullaan meidän suorituskyvyn rajoille. Suomessa on sen verran paljon ihmisiä ja yrityksiä ja niin poispäin, että meillä on totta kai ongelma siinä mielessä, että me ei pystytä kaikkia palvelemaan ihan kädestä pitäen. Voi olla, että me ei sille yksittäisille ihmiselle ei välttämättä pystytä hirveästi vastaamaan, jos sillä on homma hanskassa siinä mielessä, että sinne ei tuu sellaista hirveän pitkää dialogia, mutta se että sen jälkeen saattaa tulla mediatiedote. Meikäläinen istuu jossain lehden haastattelussa tai joku istuu televisiossa kertomassa asiasta ja se yhden ihmisen ilmoitus on siellä pohjalla yhtenä pisteenä, josta se kimmoke sinne suuntaan on lähtenyt. Se on hankala kenttä siinä mielessä, että tarvitaan dataa, mutta sitten ei aina välttämättä pystytä yksilökohtaista palvelua antamaan, kun meillä kuitenkin on rajalliset resurssit. Sit me pyritään sillä massatiedotuksella kattamaan sitä mahdollisimman suurta osaa yleisöstä. Akuutit ja kriittiset tapaukset toki, niille aina lähtee. Jos me nähdään, että ihminen on hätää kärsimässä, vaikka me ei itse oltaisi toimivaltainen viranomainen tai pystyttäisi mitään tekemään, niin kyllä meiltä tulee edes ohjeet, mihin suuntaan pitää lähteä, osoitetaan oikeaan suuntaan ja kerrotaan akuuteimmat neuvot, ne tulee kyllä aina.
00:32:32
Jaana Savolainen: Hei kiitos Ville, että tulit mukaan tähän meidän podcastiin ja annoit nyt aikaasi ja asiantuntijuuttasi tähän. Varmasti monelle tuli nyt uutta tietoa ihan siitä Kyberturvallisuuskeskuksen roolista ja myös siitä, että mihin pitää kiinnittää huomiota ja mitä pitää tehdä, jotta se netissä oleminen ja toimiminen olisi turvallista. Kiitos sulle oikein paljon.
00:33:00
Ville Kontinen: Ei mitään. Oli mukava tulla juttelemaan.