Poliisi varoittaa: rikolliset kaappaavat puhelinliittymiä – näin eSIM-siirto kääntyy pankkitunnuksia vastaan
Yksi kalasteluviesti riittää. Sen avulla rikolliset saavat operaattorin siirtämään uhrin numeron omaan laitteeseensa, jolloin pankin tekstiviestikoodit alkavat tulla väärään puhelimeen.
Tiivistelma
Itä-Suomen poliisi varoittaa puhelinliittymien kaappauksista, joissa rikolliset siirrättävät uhrin SIM-kortin eSIM-muotoon omalle laitteelleen. Näin he sieppaavat pankin tekstiviestivarmenteet ja pystyvät tekemään tilisiirtoja ja lainahakemuksia uhrin nimissä. Poliisi kehottaa lukitsemaan liittymämuutokset operaattorin salasanalla.
Puhelin lakkaa toimimasta keskellä päivää. Ensin luulee katvealuetta, sitten verkko-operaattorin häiriötä. Todellisuudessa numero on jo siirretty rikollisen laitteeseen, ja pankin varmistuskoodit kilahtavat hänen näytölleen.
Itä-Suomen poliisi varoitti toukokuun lopulla huijauksesta, joka ei pysähdy tunnusten kalasteluun. Kansainvälisesti ilmiötä kutsutaan nimellä SIM swapping, ja se on poliisin mukaan yleistymässä. Poliisi kertoo käsitelleensä Suomessa toistaiseksi useita tapauksia.
Tavallinen kalasteluvaroitus tämä ei ole. Mistä huijauksessa oikeastaan on kyse? Kyse on mekanismista, jossa varastetut tiedot käännetään uhrin omaa puhelinliittymää vastaan.
Eri uutislähteet painottavat huijauksen alkua hieman eri tavoin. Osa korostaa pankkitunnusten kalastelua ensimmäisenä vaiheena.
Poliisin kuvaus on yleisempi. Rikolliset keräävät riittävästi henkilötietoja, jotta liittymän siirto onnistuu. Molemmat reitit päätyvät samaan lopputulokseen, eli tekstiviestikoodien sieppaamiseen.
SIM swap / eSIM-siirto
Rikollinen siirrättää uhrin puhelinnumeron omaan laitteeseensa, jolloin kaikki puhelut ja tekstiviestit – myös pankin tunnistautumiskoodit – tulevat hänelle. Uhrin oma SIM-kortti lakkaa samalla toimimasta.
Näin kaappaus etenee
Kaikki alkaa viestistä. Uhri saa kalasteluviestin, joka ohjaa väärennetylle sivustolle. Sivulla pyydetään syöttämään verkkopankkitunnukset, ja moni ehtii tehdä sen ennen kuin huomaa mitään väärää.
Pankkitunnusten ja muiden henkilötietojen avulla rikolliset ottavat yhteyttä operaattoriin. He pyytävät, että fyysinen SIM-kortti muunnetaan eSIM-muotoon. Uusi eSIM aktivoidaan rikollisen omalla laitteella.
Siitä eteenpäin uhrin puhelin on ihan hiljaa. Numero elää rikollisen laitteessa, ja sinne ohjautuvat myös pankin tekstiviestillä lähettämät kertakäyttökoodit.
Juuri nuo koodit ovat huijauksen ydin. Niiden avulla rikolliset pääsevät kirjautumaan verkkopankkiin ja vahvistamaan tilisiirtoja. Samalla onnistuvat lainahakemukset ja luottojen nostot uhrin nimissä.
Vahinko ei rajoitu rahaan. Numeron hallinta avaa oven myös sosiaalisen median ja muiden verkkopalveluiden tileille, joiden palautus nojaa puhelinnumeroon. Sähköpostitilin kaappauksen kautta rikollinen pääsee käsiksi myös vanhoihin viesteihin ja tunnistautumiskoodeihin, joita uhri ei muista olevan tallessa.
– Rikolliset keräävät kalastelulla riittävästi henkilötietoja, jotta he voivat pyytää operaattoria siirtämään liittymän omaan laitteeseensa, poliisi kertoo tiedotteessaan.
Osa uhreista huomasi tapahtuneen vasta laskulta. Operaattori veloitti eSIM-liittymästä, jota kukaan ei ollut itse avannut.
Tunnistusmerkit
Miten kaappauksen huomaa ajoissa? Varoitusmerkkejä on useita, ja ne ilmestyvät usein nopeasti peräkkäin. Yksittäinen outo viesti voi tuntua harmittomalta, mutta yhdessä ne piirtävät selvän kuvan.
- Yllättäviä ilmoituksia liittymäsi muutoksista
- eSIM-aktivointiviestejä tai QR-koodeja, joita et ole itse pyytänyt
- Puhelinyhteyden äkillinen katoaminen ilman selvää syytä
- Et pääse kirjautumaan verkkopankkiin tai sosiaaliseen mediaan
- Tileilläsi näkyy julkaisuja tai muutoksia, joita et ole tehnyt
Mitä tehdä
Tärkein suoja on ennakointi, ja poliisi nostaa sen muiden ohjeiden edelle. Pyydä operaattoriltasi oma salasana tai PIN-koodi, jota ilman liittymämuutoksia ei tehdä. Näin pelkät varastetut tiedot eivät riitä numeron siirtoon.
Suosi tunnistautumista, joka ei nojaa tekstiviestiin. Biometrinen tai sovelluspohjainen vahvistus on tekstiviestikoodia turvallisempi aina kun se on tarjolla.
Älä klikkaa linkkejä pyytämättä tulleissa viesteissä. Pankkitunnuksia ei pidä koskaan syöttää viestin linkin kautta, vaikka viesti näyttäisi tutulta.
Jos epäilet joutuneesi kaappauksen kohteeksi, toimi heti:
- Ota välittömästi yhteyttä teleoperaattoriisi ja kerro epäilystäsi
- Soita pankkisi sulkupalveluun, kortinsulkulinja on 020 333
- Tee rikosilmoitus poliisi.fi-palvelussa
- Vaihda salasanat tärkeimpiin palveluihisi
Ilmoita kalasteluviesti myös Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Rikoksen uhri saa keskusteluapua Rikosuhripäivystyksestä numerosta 116 006.
Tätä artikkelia kirjoitettaessa poliisi ei ole nimennyt operaattoreita eikä kertonut tarkkaa uhrimäärää. Jää nähtäväksi, leviääkö ilmiö Itä-Suomesta laajemmalle. Yksi asia on kuitenkin jo selvää: tekstiviestiin nojaava tunnistautuminen ei ole enää niin turvallista kuin moni luulee.