Tutkijat: 15 500 verkkotunnusta tarjoaa "tekoäly-kaupankäyntiä" – laillinen mainostyökalu pitää huijaussivut tutkalta piilossa
Verkostoa ajaa toimija, joka esirekisteröi tuhansia domaineja varastoon ja kierrättää niitä algoritmilla. Houkutin on lupaus tekoälyn ohjaamasta tasaisesta tuotosta, ja sisäänkäynti on suojattu järjestelmällä, joka näyttää tietoturvatutkijoille tyhjän blogin.
Tiivistelma
Infoblox- ja Confiant-tutkijat löysivät noin 15 500 aktiivisen verkkotunnuksen verkoston, joka mainostaa tekoäly-kaupankäyntialustoja deepfake-kuvilla ja keksityillä julkkislainauksilla. Verkko reitittää liikenteen Keitaro-mainosseurannan läpi, jotta huijaussivu näkyy vain houkutellulle kohteelle. Suomalaiselle lukijalle tärkein tunnistusmerkki on klikattava tekoäly-kaupankäyntimainos somessa, mainosverkoissa tai tekstiviestissä.
Lupaus on aina sama. Tekoäly hoitaa kaupankäynnin puolestasi, tuotto on tasaista ja kuka tahansa voi aloittaa sadalla eurolla.
Verkkotunnuksia, jotka tätä lupausta toistavat, on kartoitettu nyt noin 15 500. Malwarebytes julkaisi 7. toukokuuta tutkimuksen, joka kokoaa Infoblox Threat Intel- ja Confiant-tutkijoiden neljän kuukauden seurannan samasta verkostosta. Aineisto alkaa 1.10.2025, ja noin 9 000 domainia on esirekisteröity ja kierrätetty algoritmilla, jolle Infoblox on antanut nimen RDGA.
Toimija tunnetaan tunnuksella TA2726 ja sen klustereista käytetään nimiä WickedWally ja FishSteaks.
Mitä lukijan pitäisi tästä massasta käytännössä huomata? Yksittäinen domain elää lyhyen ajan, mutta verkosto pysyy.
Tunnistusmerkit
Houkutin on rakennettu uskottavaksi. Sivut esiintyvät nimillä kuten "Smart AI Trading Technology" tai "Intelligent Trading Solutions" ja lupaavat tasaista korkeaa tuottoa. Esimerkkejä julkaistuista domaineista ovat fin-zen-ai[.]com ja tradingideasai[.]com. Tunnukset näyttävät neutraaleilta, eikä niistä sellaisenaan tunnista huijausta.
Markkinointi nojaa luottamukseen, jota toimija ei itse omista. Sivuilla esitetään deepfake-videoita ja keksittyjä mediasitaatteja julkisuuden henkilöistä, jotka muka suosittelevat alustaa. Malwarebytes ei nimeä yksittäisiä julkkiksia, mutta ihan saman tyyppistä materiaalia on nähty aiemmissa kampanjoissa Yhdysvalloissa, Australiassa ja muualla.
Mekanismin ydin on cloaking. Liikenne ohjataan vaarantuneilta sivustoilta, roskaposteista, somesta ja maksetuista mainoksista verkoston omaan Keitaro-instanssiin, joka tarkistaa maan, laitteen, selaimen, liikenteen lähteen ja IP-maineen. Oikea kohde päätyy varsinaiselle huijaussivulle, ja tietoturvaskanneri tai mainostarkastaja näkee tilalla harmittoman blogin tai placeholder-sivun.
– Verkosto käyttää laillista mainosseurantajärjestelmää piilottaakseen huijaussivut viranomaisilta ja näyttääkseen ne vain valikoiduille kohteille, Malwarebytesin analyytikot toteavat.
Mainosseurannan piilotekniikka (cloaking)
Cloaking on mainosalustan ominaisuus, jolla sama linkki näyttää eri vierailijoille eri sisältöä. Mainostajalle se on A/B-testin ja kohdennuksen työkalu, rikolliselle se on välttämätön suoja: tarkastaja näkee tyhjän sivun, kohde näkee huijauksen.
Tutkimus mainitsee paikallistettuja aliverkkotunnuksia, kuten au.star-boostmedia[.]com ja pl1.tradingideasai[.]com, mikä vahvistaa monimaakohdistuksen. Suomea tai suomenkieltä Malwarebytes ei kuitenkaan listaa erikseen, joten Suomi-kohdistusta ei voi tämän aineiston pohjalta vahvistaa eikä sulkea pois.
Tyypillinen sijoitushuijaus jatkuu tällaisen sisäänvedon jälkeen talletuksella väärennetylle alustalle ja siirrolla "henkilökohtaisen neuvojan" osoittamaan kryptolompakkoon. Malwarebytesin tutkimus ei dokumentoi tämän verkoston monetisoinnin viimeisiä vaiheita. Talletussivuja, broker-nimiä tai lompakko-osoitteita ei aineistossa nimetä, mutta mekanismi on tuttu pig butchering -kuvio, jossa luottamus rakennetaan ensin ja rahaa pyydetään vasta sitten.
Mitä tehdä
Sijoitusalustan tarkistus on nopea ja maksuton. Finanssivalvonta ylläpitää varoituslistaa, jolla luetellaan toimijat, jotka tarjoavat sijoituspalveluita ilman lupaa tai esiintyvät rekisteröityneiden yhtiöiden nimissä. Lista löytyy osoitteesta finanssivalvonta.fi/kuluttajansuoja/varoitukset.
- Tarkista jokainen sijoitusalusta Fivan varoituslistalta ja EU-rekistereistä ennen talletusta.
- Kohtele tekoäly-kaupankäyntimainoksia mainosverkoissa, somessa ja tekstiviesteissä lähtökohtaisesti vihamielisinä, sillä verkoston liikenne tulee juuri näistä kanavista.
- Deepfake-video, jossa tunnettu henkilö suosittelee kaupankäyntialustaa, on väärennös, riippumatta siitä, kuinka aidolta ääni kuulostaa.
- Älä koskaan siirrä rahaa "henkilökohtaisen neuvojan" antamaan kryptolompakkoon tai ulkomaiselle yksityishenkilön tilille.
- Jos klikkaus vie ensin pelkälle vahvistussivulle ja sieltä vasta varsinaiselle alustalle, varovaisuusmittari kannattaa kääntää täysille, sillä juuri tästä cloaking-suodatin tunnistetaan käyttäjän päässä.
Onko Fiva varoittanut juuri tästä verkostosta? Fivan varoituslista ei mainitse tätä verkostoa toistaiseksi nimeltä, mutta viranomainen julkaisi 21.1.2026 tiedotteen, jossa varoitettiin Fivan nimissä esiintyvistä rikollisista, ja totesi sijoitushuijausten lisääntyneen vuoden 2025 aikana sekä Suomessa että kansainvälisesti.
Jos olet jo siirtänyt rahaa tällaiselle alustalle, toimi nopeasti. Tee rikosilmoitus poliisi.fi-palvelussa, ilmoita tapaus Finanssivalvontaan ja ota välittömästi yhteyttä omaan pankkiisi maksun pysäyttämiseksi tai chargebackia varten. Jos talletit kryptolompakkoon, kerää siirron tapahtumatunniste ja vastaanottava lompakko-osoite, sillä poliisi tarvitsee ne jäljitykseen.
Verkoston kokoluokka kertoo, että yksittäisten domainien karsiminen ei riitä torjuntaan. Lukijan kannalta käytännön suoja on yksinkertainen: epäilevä reagointi tekoäly-kaupankäyntilupauksiin ja Fivan varoituslistan pikainen tarkistus ennen yhtäkään euroa. Jää nähtäväksi, miten Keitaron operaattori reagoi, kun samojen Infoblox- ja Confiant-tunnisteiden alle kertyy lisää julkista todistusaineistoa.
Tukea saa myös ilman rikosilmoitusta. Rikosuhripäivystyksen maksuton tukinumero 116 006 palvelee suomeksi, ruotsiksi ja englanniksi, eikä yhteydenotto edellytä, että asia olisi vielä viranomaisella vireillä.