Huijarit kaappaavat aitoja PayPal- ja Apple-ilmoituksia — näin tunnistusviestistä tulee ansa

Sähköposti tulee PayPalilta. Lähettäjän osoite on aito. Viesti läpäisee kaikki turvatarkistukset. Silti kyseessä on huijaus.

Tietoturvayhtiö Malwarebytes on paljastanut kaksi erillistä kampanjaa, joissa rikolliset käyttävät PayPalin ja Applen omia ilmoitusjärjestelmiä kalasteluun. Perinteinen ohje "tarkista lähettäjän osoite" ei auta, koska lähettäjä todella on PayPal tai Apple.

Aito viesti, väärennetty tarkoitus

PayPal-kampanjassa huijarit käyttävät PayPalin omaa infrastruktuuria lähettääkseen viestejä, jotka kertovat ostosta tai tilisidonnaisen muutoksesta. Viestit sisältävät puhelinnumeron, johon uhria kehotetaan soittamaan, jos osto ei ole hänen tekemänsä. Numero ei kuitenkaan johda PayPalin asiakaspalveluun.

– Viestit läpäisevät SPF- ja DKIM-tarkistukset, koska ne kulkevat aidosti PayPalin palvelimien kautta. Sähköpostisuodattimet luottavat niihin, Pieter Arntz, Malwarebytes-yhtiön tietoturvatutkija, kertoo.

Applen kohdalla malli on sama. Rikolliset ovat löytäneet tavan laukaista Applen järjestelmässä aitoja ilmoitusviestejä, jotka ohjaavat uhrin soittamaan väärään numeroon. Arntz raportoi Applen kampanjasta huhtikuun lopussa.

Miksi juuri puhelinnumero eikä linkki? Puhelimessa uhri on alttiimpi painostukselle. Soittaja esiintyy PayPalin tai Applen tukihenkilönä ja pyytää uhria joko luovuttamaan maksutietoja tai asentamaan etäkäyttösovelluksen kuten AnyDeskin. Sen jälkeen rikolliset pääsevät suoraan käsiksi uhrin laitteeseen.

Vanha neuvo ei enää riitä

Kalasteluoppaissa kehotetaan usein tarkistamaan lähettäjän osoite. Mutta mitä tehdä, kun osoite on ihan oikeasti palveluntarjoajan? Näissä kampanjoissa perinteinen tunnistaminen pettää, koska viesti on teknisesti aito.

Kyse on oikeastaan kalastelun evoluutiosta. Aiemmin rikolliset väärenivät lähettäjätietoja. Nyt he käyttävät hyväksi palveluiden omia järjestelmiä, jolloin viestin todennustiedot ovat kunnossa. Suodattimet päästävät viestin läpi, ja uhrin postilaatikkoon saapuu viesti, joka näyttää ja teknisesti on palvelun lähettämä.

Suomalaisille uhka on todellinen. PayPal on Suomessa laajalti käytetty maksupalvelu ja Apple-laitteet ovat yleisiä. Vastaavasta IT-tukihuijausmallista on raportoitu Suomessa jo aiemmin sekä puheluiden että pikaviestien kautta. Tämä kampanja tuo saman hyökkäysmallin sähköpostiin.

Tunnistusmerkit

• Odottamaton ilmoitus ostosta, jota et ole tehnyt. Viestissä kehotetaan soittamaan numeroon, jos osto ei ole sinun tekemäsi. Juuri tämä on ansa.
• Puhelinnumero viestissä. PayPal ja Apple eivät pyydä soittamaan ongelmatilanteissa satunnaisiin numeroihin. Aito palvelu ohjaa kirjautumaan tilille.
• Kiireen luominen. Viesti väittää, että rahat veloitetaan pian, ellei reagoi heti.
• Etäkäyttöpyyntö puhelun aikana. Aito asiakaspalvelu ei koskaan pyydä asentamaan AnyDeskiä, TeamVieweriä tai muuta etäkäyttösovellusta.

Mitä tehdä

Älä soita viestissä olevaan numeroon. Jos saat ilmoituksen ostosta, jota et tunnista, kirjaudu suoraan palveluun selaimella. PayPalissa mene osoitteeseen paypal.com ja tarkista tapahtumahistoria. Applella tarkista tilisi osoitteessa appleid.apple.com.

Älä anna etäkäyttöä puhelimessa. Yksikään palveluntarjoaja ei pyydä asentamaan etäkäyttöohjelmistoa ongelman selvittämiseksi.

Ilmoita epäilyttävistä viesteistä Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Jos olet jo luovuttanut tietoja tai antanut etäkäytön, ota heti yhteys pankkiisi ja tee rikosilmoitus osoitteessa poliisi.fi.

Tätä artikkelia kirjoitettaessa molemmat kampanjat näyttävät yhä aktiivisilta. Kalastelun tunnistaminen vaikeutuu, kun rikolliset oppivat käyttämään luotettujen palveluiden omia järjestelmiä. Paras suoja on edelleen yksinkertainen: älä reagoi viestin tarjoamaan toimintapolkuun, vaan mene aina itse suoraan palveluun.