TigerTeam - suomalainen tietoturvablogi

Verkkourkinta- eli kalasteluviesteissä luottokortin käyttäjää hämätään nyt toisen henkilön ulkomailla tekemillä ostoksilla ja huoliteltua suomea käyttävillä sähköposteilla.

Eilen lähetetyissä viesteissä uutta on luottokorttia käyttäneen lähestyminen poliisin nimissä. Varsinaiset huijaussivut puolestaan on naamioitu Luottokunnan sivuksi, jolla luottokorttinsa voi kuolettaa ja Osuuspankin sivuksi, joka utelee verkkopankkitunnuksia.

Viestejä on lähetetty ainakin osoitteista keskusrikospoliisi at poliisi.fi ja asiakaspalvelu at osuuspankki.fi.

Sekä sähköpostiviestien että kalastelusivun kieli on niin sujuvaa, että sen täytyy olla ihmisen kääntämää.

Elokuussa pankkia vastaan tehdyn hyökkäyksen teksti oli vielä hyvin tökeröä konekäännöstä tyyliin ‘tiedot on saatettava ajan tasalle on osa jatkuvaa sitoutumista suojella tilillesi tänä vuonna 2009 ja vähentää esimerkiksi petosten sivuillamme’.

Nyt huijaussivulla on käytännössä yksi kirjoitusvirhe - tietojen lähetyspainikkeen Kuolleta kortti -teksti. Poliisiaseman käyntiosoite viestissä ja Luottokunnan käyntiosoite huijaussivulla faksinumeroineen ovat oikeita ja toimivia. Kömpelöhkö Virkapostin e-mail -teksti taas on saatu suoraan helsinkiläisen Kaartin poliisiaseman sivuilta. Mikäli sivusto toimisi omassa domainissaan ilmaiskotisivutilan tarjoaja Weeblyn domainin sijaan olisi riski huijaukseen lankeamisesta vielä suurempi.

Verkkourkintatapauksia suomalaisasiakkaita vastaan on viime aikoina tapahtunut harvakseltaan. Viime vuonna iso urkintakampanja tapahtui touko- ja syyskuussa. Reilu vuosi sitten huijauksissa ryhdyttiin kysymään kortin viimeistä voimassaolokuukautta, kortin takapuolella olevaa CVV-vahvistustunnusta sekä automaatti- ja maksupäätekäytössä tarvittavaa tunnuslukua.

Tällä kertaa huijaussivu utelee luottokortin omistajan nimeä ja luottokortin numeroa, CVC2-numeroa ja viimeistä voimassaolopäivää. CVC2 on CVV2-numerosta käytetty vaihtoehtoinen termi. Osuuspankin kortinomistajia vastaan suunnattu sivusto puolestaan kysyy kortinomistajan nimeä sekä verkkopankin käyttäjätunnusta ja salasanaa.

Huijauksilta voi suojautua muistamalla kaksi tosiasiaa:

1. Pankit, Luottokunta ja poliisi eivät koskaan tiedustele kortinkäyttäjien tunnuslukuja millään keinoin
2. Mikäli luottokorttinumeroa kysytään esimerkiksi verkkokauppasivustolla tulee kysyjän luotettavuus selvittää. Sivuston tulee myös käyttää SSL-salausta, jolloin osoite on https://-muotoinen

Suomalaisasiakkaisiin kohdistuneen kalasteluhuijauksen käyttämä sivusto on eilen saatu poistettua verkosta. Verkkopankkitunnusten hankkimiseksi toteutetut huijauskampanjat ovat viime aikoina harventuneet ja edellinen laajamittainen suomalaissähköposteihin kohdistettu huijaus toteutettiin tämän vuoden toukokuussa.

Viimeisimmässä huijauksessa iso-britannialaisen operaattorin verkossa toimiva huijaussivusto oli valjastettu kysymään käyttäjältä luottokorttinumeron lisäksi myös muita kortin tietoja. Huijaussivu kysyi kortin viimeistä voimassaolokuukautta, kortin takapuolelle painettua CVV-tunnusta sekä automaatti- ja maksupäätekäytössä tarvittavaa tunnuslukua.

Myös Anti-Phishing Working Group -ryhmittymän tuoreimman tammi-syyskuuta koskevan raportin mukaan perinteisten kalastelusivustojen määrä on ensimmäistä kertaa APWG:n olemassaolon aikana vähentynyt.

Suuntaus Suomeen kohdistuvassa verkkourkinnassa on nyt uusi. Viime vuonna nähtiin suomalaisasiakkaille suunnattuja hyökkäyksiä, joissa kysyttiin myös käyttäjän nimeä, puhelinnumeroa ja kymmentä vahvistus- eli kertakäyttötunnusta. Huijauksen uhrilta nyt kysytyillä kortin lisätiedoilla verkkorikolliset pystyvät laatimaan kortista identtisen kopion. Rikos tehdään siis siten, että kortinhaltijan kortti on koko ajan omistajan lompakossa.

Tiedustelluista lisätiedoista Card Verification Value eli CVV-tunnus on tieto, jota korttitapahtumien käsittelijä ei saa tallentaa tietokantoihinsa. CVV-tunnuksia pyritään hankkimaan kortinkäyttäjiltä myös verkossa myyntiä varten.

Huijauksilta suojautumisessa merkittävä rooli on myös selainohjelmistoilla. Esimerkiksi Mozilla Firefox -selaimessa selaimen sisäänrakenettu phishing-suojaus sisältyy ainoastaan uusimpaan 3.x-tasoon. Apple Safari –selaimeen varoitussivun antava ominaisuus tuli viime viikolla jakeluun tulleessa versiossa 3.2.