INTERPOL pidätti 201 kyberrikollista – takavarikoidut palvelimet pyörittivät kalastelua ja valekaupankäyntialustoja
Operaatio paljasti, miten arkiset huijausviestit syntyvät teollisesti. Valmiita kalastelupaketteja myydään palveluna, ja osa huijareista on itse uhreja, jotka on pakotettu petoksiin.
Tiivistelma
INTERPOL kertoo nappanneensa 201 kyberrikollista 13 maan operaatiossa Lähi-idässä ja Pohjois-Afrikassa. Verkostot pyörittivät kalastelua, valekaupankäyntialustoja ja pankkitietovarkauksia. Osa rikollisista oli ihmiskaupan uhreja, jotka pakotettiin tekemään petoksia ulkomaisia kohteita vastaan.
Kun puhelimeen kilahtaa viesti voittovarmasta sijoitusalustasta tai pankkitunnusten vahvistuspyyntö, takana on harvoin yksittäinen huijari. INTERPOL kertoo nappanneensa 201 kyberrikollista operaatiossa, joka kesti lokakuusta 2025 helmikuun 2026 loppuun. Poliisi paljasti samalla koneiston, joka tuottaa juuri näitä viestejä.
Operaatio Ramziksi nimetty rysäys oli INTERPOLin mukaan järjestön ensimmäinen näin laaja kyberrikollisuusoperaatio Lähi-idän ja Pohjois-Afrikan alueella. Mukana oli 13 maata: Algeria, Bahrain, Egypti, Irak, Jordania, Libanon, Libya, Marokko, Oman, Palestiina, Qatar, Tunisia ja Yhdistyneet arabiemiirikunnat. Poliisi takavarikoi 53 kalasteluun ja haittaohjelmiin käytettyä palvelinta sekä tunnisti 3 867 uhria.
Luvut kertovat omaa kieltään operaation laajuudesta. Yhdellä mantereella tehty isku kosketti kolmeatoista valtiota ja lähes neljäätuhatta uhria. Tällaista koordinaatiota ei yleensä nähdä, ellei takana ole varsin iso rikollinen rakenne.
Mitä verkostot oikeasti tekivät
Miten yksi suljettu palvelin voi merkitä niin paljon? Operaatio ei iskenyt yhteen huijaustyyppiin vaan kokonaiseen toimialaan.
INTERPOL kertoo, että tutkijat löysivät Algeriasta verkkosivuston, joka myi valmiita kalastelupaketteja ja -skriptejä muille rikollisille. Kyse on kalastelusta palveluna: huijauksen tekninen osa ostetaan hyllytuotteena.
Tästä syystä yksittäisen palvelimen sulkeminen merkitsee enemmän kuin oman maansa rajojen sisällä. Samat paketit kiertävät eteenpäin ja päätyvät uusiin käsiin.
Takavarikoituja palvelimia oli käytetty myös haittaohjelmien levittämiseen. Niiden avulla rikolliset olivat saastuttaneet uhrien laitteita ja ottaneet ne etähallintaansa.
Jordaniasta paljastui sijoitushuijaus, jossa uhrit houkuteltiin tallettamaan rahaa uskottavan näköiselle kaupankäyntialustalle. Alusta katosi heti, kun rahat oli siirretty sille.
Marokossa viranomaiset takavarikoivat laitteita, joille oli ladattu varastettuja pankkitietoja ja kalastelutyökaluja. Jokainen näistä tekniikoista on sellainen, jonka suomalainenkin lukija voi tunnistaa omasta postilaatikostaan.
Huijaajat olivat itse uhreja
Tarinan järkyttävin osa liittyy Jordanian sijoitushuijaukseen. INTERPOL kertoo, että operaatiota pyörittivät osittain ihmiskaupan uhrit. Kyse oli 15 Aasiasta tulleesta ihmisestä, jotka oli värvätty valheellisilla työpaikkailmoituksilla.
Heiltä oli otettu passit pois, ja heidät oli pakotettu tekemään petoksia toisella mantereella asuvia kohteita vastaan.
Huijausleiri
Huijausleirit ovat vartioituja tiloja, joihin ihmisiä houkutellaan valheellisilla työpaikkailmoituksilla. Heiltä viedään passit, ja heidät pakotetaan huijaamaan kohteita ulkomailla. Viestin lähettäjä voi siis itse olla vanki.
Huijausviestin takana oleva ihminen ei siis aina ole vapaaehtoinen rikollinen. Hän voi olla yhtä lailla uhri kuin viestin vastaanottajakin.
Mitä tämä merkitsee suomalaiselle
Yksikään uhri operaatiossa ei ollut suomalainen, eikä yksikään Suomen poliisi ollut mukana. Euroopan unioni ja Euroopan neuvosto kuitenkin osallistuivat operaation rahoitukseen CyberSouth+-nimisen hankkeen kautta yhdessä Qatarin sisäministeriön kanssa. Eurooppalaista julkista rahaa siis käytettiin, vaikka Europol ei ollut mukana.
– Kyberrikollisuus ei kunnioita rajoja, ja sen torjuminen vaatii koordinoitua kansainvälistä yhteistyötä, INTERPOL toteaa tiedotteessaan.
Operaatio ratkaisi paljon, mutta ei kaikkea. INTERPOL kertoo tunnistaneensa lisäksi 382 epäiltyä, joita ei ainakaan vielä ole pidätetty. Tekniikat eivät myöskään katoa pidätysten myötä.
Kalastelupaketit ja valekaupankäyntialustojen kaavat ovat maailmanlaajuisesti siirrettäviä. Samat tekniikat, jotka purettiin Lähi-idässä, tavoittavat suomalaisten sähköpostit ja puhelimet. Pidätykset toisella mantereella eivät pysäytä viestejä Suomessa.
Ne osoittavat kuitenkin, että huijaukset ovat järjestäytynyttä liiketoimintaa, eivät yksinäisten amatöörien työtä.
Mitä tehdä
Suhtaudu jokaiseen voittovarmaan sijoitus- tai kryptoalustaan epäluulolla, jos siitä kerrotaan tekstiviestillä, somessa tai yllättävällä puhelulla. Luotettavat sijoituspalvelut eivät todella ota itse yhteyttä kylmäsoitolla. Tarkista yritys Finanssivalvonnan varoituslistalta ennen kuin talletat senttiäkään.
Älä koskaan syötä pankkitunnuksiasi viestin linkin kautta.
Tee petoksesta rikosilmoitus osoitteessa poliisi.fi ja ilmoita kalastelusta Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Jos olet jo menettänyt rahaa, ota heti yhteyttä pankkiisi ja pyydä maksun peruutusta.