Valelasku PayPalilta tai Amazonilta? Tässä huijauksessa ei ole linkkiä – vain puhelinnumero
Sähköposti väittää, että tililtäsi on veloitettu satoja euroja ostoksesta jota et koskaan tehnyt. Linkkiä ei ole, liitetiedostoa ei ole – vain puhelinnumero, johon pitäisi soittaa heti. Juuri siksi viesti läpäisee roskapostisuodattimet.
Tiivistelma
Malwarebytes löysi takaisinsoittohuijauskampanjan kesken rakentamisen. Viestit tekeytyvät PayPalin, Amazonin ja Geek Squadin kuiteiksi, mutta sisältävät vain puhelinnumeron. Soittajaa odottaa valeasiakaspalvelija, joka tähtää etäyhteyteen ja pankkitietoihin – sama tekniikka kuin tutuissa teknisen tuen huijauksissa.
Huijaussähköposti ei aina yritä saada sinua klikkaamaan mitään. Joskus se ei sisällä linkkiä eikä liitetiedostoa lainkaan, vaan ainoastaan veloituksen jota ei koskaan tapahtunut ja puhelinnumeron, johon pitäisi soittaa kiireellä.
Malwarebytesin tutkijat törmäsivät tällaiseen kampanjaan poikkeuksellisessa tilanteessa. He nappasivat sen kiinni kesken rakentamisen, jolloin viestipohjissa oli vielä täyttämättömiä paikkamerkkejä kuten #TFN# (maksuton numero) ja #PRICE#. Kampanja oli siis jäänyt kiinni rakennusvaiheen ja julkaisun väliin.
Takaisinsoittohuijaus (callback phishing / TOAD)
Huijari lähettää sähköpostin, jossa ei ole linkkiä eikä liitettä, vain puhelinnumero. Roskapostisuodattimilla ei ole mitään tutkittavaa tai estettävää, joten viesti menee perille. Itse huijaus tapahtuu vasta puhelimessa, kun uhri soittaa.
Valekuitti pelottaa, deadline kiristää
Viestit tekeytyvät tutuiksi brändeiksi. Malwarebytesin havainnoissa esiintyivät PayPal, Amazon ja Geek Squad, joskus yhdistettynä samaan viestiin uskottavuuden lisäämiseksi.
Kaava on suoraviivainen. Sähköposti väittää, että tililtäsi on veloitettu summa josta et tiedä mitään. Esimerkkejä ovat "tilauksesi uusittiin hintaan 349 dollaria" tai "lähetit maksun 598,96 dollaria". Sitten tulee pelko ja takaraja: soita 12 tunnin sisällä tai veloitus jää voimaan.
Säikähtänyt uhri soittaa. Linjan päässä odottaa valeasiakaspalvelija, joka vie tilanteen yhteen kolmesta suunnasta. Hän joko puhuu uhrin asentamaan etäkäyttöohjelman, kalastelee kortti- ja pankkitiedot olemattoman "hyvityksen" varjolla, tai pyörittää liikamaksuhuijausta. Siinä hän lähettää tarkoituksella "liikaa" rahaa ja vaatii erotusta takaisin lahjakortteina tai tilisiirtona.
Miksi tämä toimii niin hyvin? Kun viestissä ei ole linkkiä eikä liitettä, sähköpostin suojausjärjestelmillä ei ole mitään hiekkalaatikoitavaa tai merkattavaa. Viesti näyttää tavalliselta tekstiltä, ja se livahtaa suodattimien läpi.
Mittakaava ei ole pieni. Proofpoint laski vuonna 2023 noin 10 miljoonaa takaisinsoittoviestiä kuukaudessa, ja elokuun huippu ylitti 13 miljoonaa.
Sama tekniikka, uusi syötti – ja Suomessa kallis tuttu
Suomalaisille puhelinhuijaus etäyhteyden kautta ei ole uutta. Poliisi ja Kyberturvallisuuskeskus ovat toistuvasti varoittaneet teknisen tuen huijauksista, joissa soittaja tekeytyy Microsoftin tueksi. Poliisi on kertonut tapauksesta, jossa helsinkiläinen uhri menetti tekniseksi tueksi tekeytyneille huijareille 100 000 euroa.
Huijarit ohjaavat uhrin asentamaan etäkäyttöohjelman kuten AnyDeskin, TeamViewerin, SupRemon, Alpemixin tai Zoho Assistin. Sen jälkeen rikollinen näkee ruudun ja pääsee tarvittaessa käsiksi verkkopankkiin.
– Mikään oikealla asialla oleva taho ei soita pyytämättä, poliisi on muistuttanut vuodesta toiseen.
Uutta tässä kampanjassa on syötti. Aiemmin houkuttimena oli valevaroitus tietoturvaongelmasta, nyt se on valekuitti ostoksesta. Suomesta ei tätä artikkelia kirjoitettaessa ole raportoitu juuri PayPal- tai Amazon-aiheista takaisinsoittokampanjaa, joten kyse on samasta tekniikasta uudella naamiolla, ei toistaiseksi dokumentoidusta kotimaisesta tapauksesta.
Tunnistusmerkit
- Lasku tai kuitti ostoksesta, jota et ole koskaan tehnyt
- Painostus soittaa annettuun numeroon muutaman tunnin sisällä
- Ainoa yhteydenottotapa on puhelinnumero, ei linkkiä eikä virallista asiakaspalvelua
- Soittaja haluaa etäyhteyden koneellesi tai pyytää sinua lukemaan ääneen pankki- tai vahvistuskoodeja
Havaintoja Malwarebytesin raportista: takaisinsoittonumerot 804-392-2793 ja 801-640-8589 sekä verkko-osoitteet invoicepdfus[.]xyz, invoicestatement[.]xyz ja invoicestm[.]xyz.
Mitä tehdä
Älä soita sähköpostissa olevaan numeroon. Jos veloitus huolettaa, tarkista se vain virallisesta sovelluksesta tai sivustolta, jolle menet itse. Älä koskaan tee sitä viestin kautta.
Älä asenna mitään ohjelmaa, jota soittaja ehdottaa. Älä anna etäyhteyttä koneellesi äläkä lue ääneen pankki- tai vahvistuskoodeja kenellekään.
Jos ehdit jo toimia ohjeiden mukaan, ota heti yhteyttä pankkiisi, poista asennettu ohjelma ja vaihda salasanasi. Yritykset voi ilmoittaa osoitteessa ilmoita.kyberturvallisuuskeskus.fi, ja toteutuneesta petoksesta kannattaa tehdä rikosilmoitus poliisi.fi-palvelussa.
Jää nähtäväksi, milloin valekuittisyötti rantautuu suomenkielisenä. Tekniikka on jo täällä – vain teksti puuttuu.