Tekstiviesteihin ei voi enää luottaa
Kyberturvallisuuskeskus uusi viime viikolla varoituksensa huijausviesteistä, joita lähetetään Postin nimissä. Viestit tulevat tekstiviestinä ja niiden avulla käyttäjiä houkutellaan asentamaan huijausohjelmia tai luovuttamaan luottokorttitietoja.
Huijaukset alkavat olla jo melko kehittyneitä. Viestit ja lomakkeet ovat liki virheetöntä suomea ja huijaussivuilla käytetään Postin logoja ja kuvia. Huijaukset pystyy kyllä erottamaan aidoista viesteistä, mutta se vaatii tarkkuutta ja tiedon esimerkiksi siitä, millaisia domain-päätteitä Posti käyttää tai lähettääkö Posti viesteissään linkkejä vai ei. Kaikille käyttäjille tämä tuskin on selvää.
Tekstiviestin käyttäminen hyökkäyskeinona on huijareilta näppärä keksintö. Erilaiset lailliset ja viralliset tahot ovat jo pitkään käyttäneet tekstiviestejä palvelu- ja tiedotuskeinona, koska käytännöllisesti katsoen kaikilla suomalaisilla on matkapuhelin. QR-koodeihin ja muihin älypuhelinpohjaisiin ratkaisuihin verrattuna tekstiviesti on toimintavarma, laiteriippumaton ja helposti käytettävä ja ratkaisujen tekeminen on tuttua monille suomalaisille alan toimijoille. Tekstiviestiin on siis opittu luottamaan.
Luottamuksen aika on kuitenkin ohi. Nyt leviävät Posti-huijaukset eivät ole viimeiset laatuaan. Huijarit oppivat ja kehittävät varmasti nykyistä vielä paremmin vetäviä huijauksia.
Tekstiviestihuijausten sivullinen uhri ovat oikeat ja viralliset tekstiviestiä käyttävät toimijat ja palvelut. Samoin kun väärennettyjä puhelinnumeroita käyttävät Microsoftin käyttäjätuen nimissä soittelevat huijarit aiheuttavat epäluuloa kaikkia soittajia kohtaan, tekstiviestihuijaukset syövät oikeiden tekstiviestipalvelujen uskottavuutta ja käytettävyyttä. Esimerkiksi viime viikolla, muutama päivä sen jälkeen kun Kyberturvallisuuskeskus muistutti Posti-huijauksista, Helsingin kaupunki ilmoitti ryhtyvänsä lähettämään koronatartunnan ja -altistumisen saaneille kyselylomakkeita. Linkit lomakkeisiin lähetetään tekstiviestillä ja linkin takana olevaan lomakkeeseen pääsee käsiksi tunnistautumalla mm. pankkitunnuksilla.
Tietotekniikkaan perehtymättömän on vaikea erottaa Helsingin kaupungin virallista toimintaa Posti-huijauksesta, jossa käyttäjältä pyydetään luottokorttinumeroa tai asentamaan “Postin seurantasovellus”. Epävarmoille käyttäjille annettava nyrkkisääntö on olla klikkaamatta tuntemattomista numeroista tulevassa viestissä olevaa linkkiä, joten HUS:ista tuleva linkkiviesti on parasta jättää avaamatta. Monimutkaisuutta lisää se, että huijauspuheluissa käytetään jo väärennettyjä numeroita; tuttu numero ei siis välttämättä olekaan se, miltä näyttää.
Tilanne on vaikea, sillä tekstiviestiä korvaavia, käytännössä kaikki suomalaiset tavoittavia automatisoitavia ratkaisuja ei oikeastaan ole tarjolla. Ratkaisua pitäisi kuitenkin miettiä. Viestejä välittävät operaattorit ja operaattoreiden toimintaa valvova Viestintävirasto vaikuttavat voimattomilta puhelu- ja tekstiviestihuijausten suhteen, joten parannusta tekstiviestien luotettavuuteen tuskin on tulossa.
