Tietoturva Nyt!
Facebook Messengerin kautta tehdään aktiivisesti Facebook-tunnusten kalastelua. Huijausyrityksessä murretulta tililtä lähetetään viesti, jonka tavoitteena on saada vastaanottajan Facebook-tili haltuun uhrin puhelinnumeron ja kaksivaiheisen tunnistautumisen vahvistuskoodin avulla. Paras suojautumiskeino tältä huijaukselta on valppaus myös tutuilta saapuvien Facebook-viestien kanssa.
Puhelinnumeroa kaipaava tuttu voikin olla sometiliä havitteleva huijari
Facebookissa liikkuu huijaus, jonka tavoitteena on saada toisen käyttäjän tili haltuun. Huijauksen vaiheet ovat seuraavanlaiset:
- Saat viestin ystävältäsi Facebook Messengerissä.
- Ystäväsi pyytää sinulta puhelinnumeroasi.
- Ystäväsi kertoo osallistuvansa kilpailuun/arvontaan puhelinnumerollasi ja mainitsee, että kilpailusta/arvonnasta tulee sinulle tekstiviestillä koodi.
- Ystäväsi pyytää tätä koodia sinulta.
- Tunnuksellesi kirjaudutaan, salasanasi vaihdetaan ja tunnuksesi sähköpostiosoite muutetaan.
- Tunnuksesi on hyökkääjän hallussa, ja lähettää nyt eteenpäin vastaavia huijauksia kaverilistalleen.
Mikäli viestin lähettäjä toivoo, että hänelle annetaan tekstiviestillä tulevia koodeja tai luottokortin tietoja, pyyntöön ei tule suostua. Kysyjän henkilöllisyydestä tulee aina varmistua. Mikäli kysyjä on tuttu, voi häneen ottaa esimerkiksi puhelimella yhteyttä ja kysyä, onko hän tietoinen tästä viestistä. Tuntemattomille näitä tietoja ei tule luovuttaa.
Päivitys 14.3.2022 Huijauskampanja jatkuu yhä. Maaliskuussa 2022 käyttäjiä houkutellaan antamaan puhelinnumeron ja tekstiviestillä saapuvan koodin lisäksi pankkitiedot kokkikilpailun voittojen (8200€) lunastamiseksi. Kyseessä on saman huijauksen eri tyylimuoto. Omaa puhelinnumeroa, tekstiviestillä saapuvaa koodia tai pankkitietojaan ei tule antaa.
Kuinka välttää huijauksen uhriksi joutumista?
- Varmista aina viestin lähettäjän henkilöllisyys.
- Älä luovuta tietojasi ulkopuolisille, varsinkaan odottamatta saapuvia vahvistuskoodeja.
- Älä hyväksy maksuja verkkopankissasi, joiden aiheellisuudesta et ole varma.
Periaate “jos jokin asia kuulostaa liian hyvältä ollakseen totta, se tuskin on totta”, pätee myös tähän huijausyritykseen. Mikäli tuttavasi ottaa yhteyttä ja kertoo osallistuneensa arvontaan puhelinnumerollasi ja vielä voittaneensa tuhansia euroja, on kysymyksessä hyvin todennäköisesti huijauksen yritys.
Hieman syväluotaavampi kuvaus huijauksesta
Huijauksessa huijarit hyödyntävät usein jo valmiiksi murrettua Facebook-tiliä. Tämän murretun tilin kautta huijari lähettää tilin kaverilistalla oleville henkilöille suomenkielisiä viestejä Facebook Messengerissä, ja pyytää heitä lähettämään puhelinnumeronsa hänelle. Kun huijari saa tulevan uhrin puhelinnumeron, hän kertoo jonkin verukkeen, miksi puhelimeen tulee kohta tekstiviesti. Usein verukkeita ovat toimineet arvontoihin ja kilpailuihin osallistuminen ystävän puhelinnumerolla.
Hetken kuluttua huijauksen uhrin puhelimeen kilahtaa tekstiviesti. Tekstiviesti sisältää koodin, jonka huijari pyytää lähettämään hänelle Messengerissä. Tätä koodia ei tule huijarille lähettää, sille kyseessä on monivaiheisen tunnistautumisen koodi, jonka avulla huijari pystyy vaihtamaan Facebook-tunnuksen salasanan.
Mikäli huijari saa tunnuksen monivaiheisen tunnistautumisen koodin itselleen ja saa vaihdettua tunnuksen salasanan, niin tätäkin tunnusta aletaan käyttämään huijausviestien lähettelyyn.
Tietoomme on myös tullut joitakin tapauksia, joissa on kerrottu arvonnassa tulleesta voitosta. Tämän jälkeen huijauksessa on kyselty vaihtelevasti joko luottokortti- tai pankkitietoja, jotta maksu voidaan suorittaa. Tosiasiassa tässä yritetään kalastella maksutietoja, joiden avulla tililtä voidaan tehdä veloituspyyntöjä.
Kuinka toimia, jos olen joutunut kyseisen huijauksen uhriksi?
Kootut neuvot
Facebookilla on automaattinen palvelu oman tilin palauttamiseksi. (Ulkoinen linkki)
Mikäli pankkitiedot ovat päätyneet vääriin käsiin, tulee heti olla yhteydessä omaan pankkiin vahinkojen estämiseksi.
Mikäli tilille on ollut vieraalla taholla pääsy ilman suostumusta, on kyse tietomurrosta, joka on rikos. Asiasta suositellaan tekemään rikosilmoitus. Rikosilmoituksen voi tehdä poliisille joko vierailemalla paikallispoliisilaitoksella tai tekemällä sähköisen rikosilmoituksen (Ulkoinen linkki).
Kyberturvallisuuskeskus suosittelee ottamaan monivaiheisen tunnistautumisen käyttöön kaikkialla, missä se on mahdollista. Olemme kirjoittaneet aikaisemmin Tietoturva nyt! -artikkelin omien tilien suojaamisesta (Ulkoinen linkki).
Myös Kyberturvallisuuskeskus on myös kiinnostunut tällaisista tapauksista, ja niistä voi ilmoittaa meille Ilmoita tietoturvaloukkauksesta -lomakkeella .
Lisätty maininta huijauksen uudesta tyylimuodosta, jossa pyydetään pankkitietoja kokkikilpailun voiton lunastamiseksi.