2015-04-10: Nettipetosten (virolainen) ennätysmies tuomittiin jälleen

[leo3]

Todennäköisesti Suomen eniten nettipetoksia tehnyt mies sai perjantaina lain salliman enimmäisrangaistuksen viimevuotisesta laajasta huijausviestivyyhdistä, jolla suomalaisilta vietiin noin puoli miljoonaa euroa.

Huijarit lähettivät ihmisille huijausviestejä Tullin, Postin ja perintäyritysten nimissä. Niiden avulla he saivat käyttöönsä uhrien pankkitunnuksia, joilla nostettiin pikaluottoja ja tehtiin rahasiirtoja uhrien tileiltä.

Helsingin käräjäoikeus langetti päätekijänä pitämälleen 24-vuotiaalle Viljar Kivelle kolmen ja puolen vuoden ehdottoman vankeustuomion lukuisista petosrikoksista. Tuomio tuli muun muassa 11 törkeästä petoksesta maalis–heinäkuussa 2014.

[...]

Mies syyllistyi tuomion mukaan 280 petokseen, 51 tietomurtoon ja kahdeksaan petoksen yritykseen vuosina 2011–2012. Helsingin käräjäoikeus tuomitsi perjantaina Kiven ohella viimevuotisesta huijausviestivyyhdistä lukuisia muitakin ihmisiä lievempiin rangaistuksiin.

http://www.hs.fi/kotimaa/a1428632621636

[foobar]

Jonkinlaisia idiootteja on pitänyt olla kyllä uhripuolellakin jos tuollaisilla viesteillä on onnistuttu hankkimaan uhrien pankkitunnukset käyttöön.

[leo3]

Jonkinlaisia idiootteja on pitänyt olla kyllä uhripuolellakin jos tuollaisilla viesteillä on onnistuttu hankkimaan uhrien pankkitunnukset käyttöön.

Kuinkas niin?

[leo3]

Varmasti todella moni menee lankaan jos asiallisen näköisellä sivustolla pyydetään pankkitunnistautumista, ja huijarin feikkaama nettipankki näyttää aidolta. Ei siinä tarvitse olla mitenkään erityisen vähä-älyinen.

Olettaisin että näin tuo huijaus on toteutettu.

[foobar]

Jonkinlaisia idiootteja on pitänyt olla kyllä uhripuolellakin jos tuollaisilla viesteillä on onnistuttu hankkimaan uhrien pankkitunnukset käyttöön.

Kuinkas niin?

No, tässä on kaksi vaihtoehtoa. Näistä vakavampi ja vähemmän uhrin typeryyttä vaativa on sellainen, jossa uhrin identiteetillä on onnistuttu esim. luomaan pankkitilejä tai liittymiä joiden avulla sitten rahaa on pumpattu täysin uhrin tietämättä siitä, mitä on tapahtumassa. Tämä on se vaikeampi vaihtoehto.

Toinen on taas se, että huijari on onnistunut houkuttelemaan uhrinsa antamaan itselleen pankkitunnuksensa ja niihin mahdollisesti liittyvät kertakäyttösalasanalistat. Nämä ovat materiaalia jota ei koskaan - kysyjän auktoriteetista riippumatta - pitäisi luovuttaa kenellekään. Ymmärrän toki jos materiaali vaadittaisiin puukko kaulalla uhaten, mutta en muutoin. Kyky tehdä siirtoja uhrien tileiltä viittaa tähän.

Pitää myöntää että ihmisten typeryys on pohjatonta, mutta näin pohjattomaan typeryyteen sortuvien on pakko olla aitoja idiootteja jotka ovat ehkä saaneet vähän sitä mitä ovat ansainneetkin. Ainakin, jos eivät ole dementoituneita tai jollain muulla tavalla oman vastuullisuutensa hukanneita.

Toki saatan olla hieman asennoitunut. Katselen viisi päivää viikossa järjestelmiä ja yritän keksiä tapoja rikkoa ne niin, että niistä päästään huomaamatta läpi. (Ja tämä lähinnä siksi, että se voitaisiin estää ennen kuin joku rikollinen keksii saman.) Ehkä tämä ei kuitenkaan ole se tyypillisin työnkuva...

[Uuno Nuivanen]

3,5v, paljonko se tekee nettona? Vuosi 2kk? Puolesta miljoonasta joutaisin itsekin lusimaan tuollaisen kakun.

[foobar]

Varmasti todella moni menee lankaan jos asiallisen näköisellä sivustolla pyydetään pankkitunnistautumista, ja huijarin feikkaama nettipankki näyttää aidolta. Ei siinä tarvitse olla mitenkään erityisen vähä-älyinen.

Olettaisin että näin tuo huijaus on toteutettu.

Kieltämättä joko uhrien ohjeistaminen ohittamaan sertifikaattivarmistukset tai ohjaaminen "lähes oikeille" pankkisivustoille on hyvä mahdollisuus. Omista rahoistaan huolta pitäessään pitäisi tajuta mitä on tekemässä, mutta tällainen riskianalyysi on varmaankin keskivertoväestölle epätyypilistä kun "viranomainen" tulee kovasanaisesti sähköpostilaatikkoon.

Näitä juttuja vastaanhan toimii se yksinkertainen strategia että ottaa aina yhteyttä esim. puhelimella niiden viranomaisen oikeiden sivujen kautta löytyvään puhelinnumeroon ja kysyy asiasta. Joka tapauksessa, paranoidi pitää olla aina, mihinkään ei saa luottaa sellaisenaan siksi, että lähettäjä sanoo olevansa jotain.

[leo3]

uhrien ohjeistaminen ohittamaan sertifikaattivarmistukset [...]

En usko että noin olisi toimittu. Kuulostaa aika hölmöltä. Väittäisin että yli 90 prosenttia ihmisistä ei tajua hölkäsen pöläystäkään HTTPS:stä, ja veikkaisin että se ei ole ollut päällä huijaussivustolla. Jos on ollut, niin sitten on varmaan hankittu ihan aito sertifikaatti.

Ennemmin huijaus paljastuu väärän osoitteen kuin HTTPS:n puutteen perusteella.

[leo3]

Yksi ongelma huijarille on, että pitää pyytää kaksi kertakäyttöistä salasanaa. Ensimmäisellä huijari kirjautuu nettipankkiin, toisella tekee tilisiirron.

Edit: taitaa tosin riippua pankista.

[foobar]

uhrien ohjeistaminen ohittamaan sertifikaattivarmistukset [...]

En usko että noin olisi toimittu. Kuulostaa aika hölmöltä. Väittäisin että yli 90 prosenttia ihmisistä ei tajua hölkäsen pöläystäkään HTTPS:stä, ja veikkaisin että se ei ole ollut päällä huijaussivustolla. Jos on ollut, niin sitten on varmaan hankittu ihan aito sertifikaatti.

Ennemmin huijaus paljastuu väärän osoitteen kuin HTTPS:n puutteen perusteella.

Mjoh. Oma putkinäköisyys paljastuu: ajattelen teknisiä tapoja tehdä hyökkäyksiä (tai jopa niiden tuotteiden rajoituksia, jotka tekevät tällaisia asioita ihan laillisista syistä) ovelilla tai teknologian rajoittamilla tavoilla, kun paljon vähempikin riittää muutaman idiootin haaviin saamiseksi.

Niin kauan kuin käyttäjä on idiootti, ei häntä pelasta juuri muu kuin nykyään selaimissa yleinen phishing-sivustojen ennakkovaroittelu. Eikä sekään, jos huijaus on päässyt lentämään isojen pelureiden (esim. Google) tutkan alta.