Tekoäly kirjoitti täydellistä suomea – jättihuijausverkosto kaatui, mutta tekstiviesti petkuttaa silti
FBI ja Google kaatoivat kalastelukoneiston, joka tuotti yli miljoona huijausosoitetta. Sama tekoälytemppu, joka teki sen huijausviesteistä virheettömiä, on jo Suomessa – ja siihen vastaa Traficomin uusi sääntö.
Tiivistelma
Google haastoi Outsider Enterprise -nimisen kalastelupalvelun oikeuteen ja FBI tuhosi sen infrastruktuurin kesäkuussa 2026. Verkosto ei murtanut Geminiä vaan neuvoi asiakkaitaan käskyttämään tekoälyä rakentamaan virheettömiä huijaussivuja. Juuri tämä tekee vanhasta 'tunnista huono suomi' -ohjeesta hyödyttömän, ja siksi Traficomin uusi lähettäjätietojen varmennussääntö on Suomen rakenteellinen vastaus.
Paketti odottaa tullimaksua. Tiemaksu on jäänyt rästiin. Pysäköintisakko pitää maksaa heti, muuten se kasvaa. Tällaisilla tekstiviesteillä yksi maailman suurimmista kalastelukoneistoista tienasi vuosia, kunnes se kaatui kesäkuussa.
Google haastoi 12. kesäkuuta Outsider Enterprise -nimisen toimijan oikeuteen New Yorkin liittovaltiotuomioistuimessa. Samaan aikaan FBI tuhosi verkoston infrastruktuurin osana laajempaa Operaatio Riptideä. Verkkotelemetrian toimitti tietoturvayhtiö Lumenin Black Lotus Labs.
Outsider oli kalastelua palveluna eli niin sanottu PhaaS-toimija, ja se pyöri Kiinasta käsin. FBI kertoo, että koneisto oli ollut käynnissä heinäkuusta 2023 lähtien. Mittakaava on poikkeuksellinen.
FBI:n arvion mukaan verkostoon kytkeytyi yli miljoona huijausosoitetta ja noin 9 000 valesivustoa. Varastettuja maksukortteja kertyi arviolta 3,9 miljoonaa, ja tappioita syntyi noin 55 maassa yhteensä arviolta 1,9 miljardin dollarin edestä. Itse huijauspaketin sai käyttöönsä jo 88 dollarin viikkohintaan.
FBI takavarikoi koneiston hallintadomainit, Shopify-verkkokaupan ja noin 100 000 dollarin arvosta USDT-kryptovaluuttaa.
Kalastelu palveluna (phishing-as-a-service, PhaaS)
Valmis kalastelupaketti, jota myydään tilausmallilla. Maksava asiakas saa käyttöönsä huijaussivut, viestipohjat ja hallintapaneelin ilman omaa koodaustaitoa.
Tekoäly ei murtunut – sitä käskytettiin
Tässä on jutun ydin. Outsider ei murtanut Googlen Gemini-tekoälyä eikä hyödyntänyt mitään aukkoa siinä.
Sen sijaan verkosto neuvoi maksavia asiakkaitaan käskyttämään Geminiä ja muita tekoälytyökaluja tuottamaan HTML-koodia. Koodilla rakennettiin lähes täydellisiä kopioita luotetuista brändeistä, kuten Googlesta, YouTubesta, postiyhtiö USPS:stä ja tiemaksupalvelu E-ZPassista. Juuri siksi sekä huijaussivut että viestit näyttivät virheettömiltä.
Tämä on Googlen ensimmäinen oikeusjuttu Geminin väärinkäytöstä. Kanteessa vedotaan muun muassa järjestäytyneeseen rikollisuuteen, petokseen ja tavaramerkkiloukkaukseen.
Google kertoo, että verkosto lähetti kahden viikon aikana toukokuussa noin 2,5 miljoonaa huijausviestiä Android-käyttäjille. Roskapostivalituksia tuli noin 55 000. Volyymi kertoo, että kyse ei ollut yksittäisistä yrittäjistä vaan teollisen mittakaavan koneistosta.
– Rikolliset käyttivät tekoälyä rakentaakseen vakuuttavia jäljitelmiä luotetuista brändeistä, Google kuvailee kannetta koskevassa tiedotteessaan.
Vanha nyrkkisääntö oli, että huijauksen tunnistaa kömpelöstä kielestä ja sutaistusta ulkoasusta. Se ohje on nyt vanhentunut. Kun tekoäly kirjoittaa moitteetonta suomea ja kopioi logon pikselilleen, mihin lukijan pitäisi kiinnittää huomionsa?
Miksi tämä koskee suomalaisia juuri nyt
Samat houkuttimet ovat jo Suomessa. Paketti-, tiemaksu- ja Suomi.fi-aiheiset huijaustekstiviestit ovat olleet kasvava aalto koko alkuvuoden. Traficom kertoo, että huijaus- ja kalasteluilmoitukset ovat lisääntyneet noin 20 prosenttia vuodentakaisesta.
Suomessa tähän malliin on rakennettu rakenteellinen vastaisku. Traficomin uusi määräys lähettäjätietojen varmentamisesta (28 L/2025 M) astui voimaan 4. toukokuuta 2026. Se osuu täsmälleen siihen kohtaan, jossa Outsiderin kaltainen koneisto tekee rahansa.
Käytännön muutos on oikeastaan iso. Operaattoreiden on varmennettava tekstiviestien, multimediaviestien ja RCS-viestien lähettäjätiedot. Nimellisten lähettäjätunnusten käyttö kansainvälisten yhdyskäytävien kautta on kielletty, ja varmentamattomat viestit merkitään vastaanottajalle tunnisteella "Tuntematon" tai "Spam".
Pankin, postin tai viranomaisen nimi ei siis enää automaattisesti ilmesty viestin lähettäjäkenttään, vaan tilalle tulee näkyvä este siellä, missä huijari aiemmin pääsi suoraan postilaatikkoon. Lisää rajauksia rajapintojen käyttöön tulee voimaan 2. marraskuuta 2026.
Riittääkö sääntö yksin? Ei riitä, koska tekijät etsivät uusia reittejä heti. Mutta se nostaa rimaa juuri sille viestityypille, jolla Outsiderin kaltaiset koneistot tienaavat.
Tunnistusmerkit
Älä enää luota kieleen tai ulkoasuun. Tekoälyllä kirjoitettu huijausviesti on virheetöntä suomea ja brändäys voi olla täydellistä.
Arvioi pyyntö, älä kirjoitusasua. Viranomaiset ja yritykset eivät lähetä kirjautumislinkkejä tekstiviestillä eivätkä pyydä tunnuslukuja tai korttitietoja viestillä.
Ole varuillasi aina, kun saat odottamattoman viestin paketin "käsittelymaksusta", erääntyneestä tiemaksusta tai kehotuksen "vahvistaa tilisi" linkin kautta. Juuri näitä houkuttimia Outsider käytti.
Mitä tehdä
Älä koskaan napauta viestin linkkiä. Avaa palvelu itse omalla sovelluksella tai kirjoittamalla tunnettu osoite selaimeen.
Välitä huijausviesti edelleen oman operaattorisi roskapostinumeroon. Ilmoita kalastelusta Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Jos olet jo menettänyt rahaa, tee rikosilmoitus poliisille osoitteessa poliisi.fi.
Outsiderin tapaus näyttää, että koneisto voi kaatua, mutta seuraava nousee tilalle. Jää nähtäväksi, kestääkö Suomen uusi viestisuoja seuraavan tekoälyaallon.