Yleiskatsauksen eri petostyypeistä

Pienyrityksiin kohdistuvien petosten varoitusmerkit

Toimintaohjeet, jos yrityksesi on joutunut huijauksen kohteeksi

Vinkkejä itsesi ja yrityksesi suojaamiseen

Toimeksi annettu maksupetos (APP-petos / Authorised Push Payment Fraud): Tapahtuu, kun henkilö tai yritys manipuloidaan lähettämään vapaaehtoisesti rahaa huijarille. Toisin kuin "luvattomissa" petoksissa, joissa rikollinen varastaa tietosi päästäkseen tilillesi ilman tietoisuuttasi, APP-petoksessa hyväksyt maksun itse uskoen, että vastaanottaja on oikea ja luotettava henkilö tai organisaatio.

Identiteettivarkaus: Rikolliset käyttävät henkilötietojasi avatakseen tilejä tai tehdäkseen ostoksia nimissäsi. He voivat kerätä näitä suojattuja tietoja tietomurtojen, varastettujen asiakirjojen tai sosiaalisen manipuloinnin (social engineering) avulla.

Tilikaappaus tai hakkerointi: Tässä petostyypissä rikolliset pääsevät käsiksi tileihisi käyttämällä haittaohjelmia tai kalastelua kirjautumistietojesi varastamiseen. Kun he ovat päässeet tilillesi, he tekevät mahdollisimman monta luvatonta maksutapahtumaa ja usein muuttavat tilitietojasi, jotta et itse pääse kirjautumaan sisään.

Valesijoitushuijaukset: Huijarit lupaavat korkeaa tuottoa pienellä tai olemattomalla riskillä ja usein painostavat sinua toimimaan nopeasti, jotta et menetä heidän (kirjaimellisesti) liian hyvältä ollakseen totta vaikuttavaa tarjoustaan. Nämä huijaukset vaihtelevat pyramidihuijauksista valheellisiin kryptosijoituksiin, ja ne perustuvat luottamukseesi ja optimismiisi rahojesi huijaamiseksi.

Tietojenkalastelusähköpostit ja -sivustot: Tällaiset huijaukset on suunniteltu huolellisesti näyttämään luotettavista lähteistä peräisin olevalta viralliselta viestinnältä, ja niiden tavoitteena on huijata sinua paljastamaan arkisimpia tietojasi. Toinen kalastelutaktiikka ei ole tietojen kerääminen heti, vaan sinun huijaamisesi lataamaan laitteellesi haittaohjelma, joka myöhemmin kaappaa suojatut tietosi ja jakaa ne rikollisille.

Pyytämättä tulleet henkilö- tai taloustietojen kyselyt, erityisesti sähköpostitse tai tekstiviestillä.

Painostus toimia nopeasti tai tehdä välittömiä maksuja, usein uhkausten tai määräaikaisiksi väitettyjen tarjousten avulla.

Tarjoukset, jotka vaikuttavat liian hyviltä ollakseen totta, kuten epärealistisen korkeat sijoitustuotot tai odottamattomat rahasummat.

Pyynöt käyttää epätavallisia maksutapoja, kuten lahjakortteja tai kryptovaluuttaa, muutoin täysin normaalilta vaikuttavassa maksutapahtumassa.

Huono kielioppi, kirjoitusvirheet tai epäammattimainen viestintä väitetysti virallisilta lähteiltä, kuten pankeilta ja yrityksiltä.

Lopeta välittömästi kaikki käynnissä olevat petolliset maksutapahtumat tai toiminnot.

Tunnista, mihin järjestelmiin, tileihin tai tietoihin on murtauduttu.

Vaihda kaikki salasanasi ja pääsykoodisi, myös niihin tileihin, joihin murto ei ole vaikuttanut.

Mikäli mahdollista, eristä saastuneet järjestelmät lisävahinkojen estämiseksi.

Dokumentoi kaikki petokseen liittyvä, mukaan lukien päivämäärät, kellonajat ja kaikki tiedot epäilyttävistä toiminnoista.

Tallenna kaikki asiaankuuluvat sähköpostit, asiakirjat ja maksutapahtumatiedot toiselle laitteelle.

Ota kuvakaappauksia tai valokuvia kaikista digitaalisista todisteista.

Vältä mahdollisten todisteiden muuttamista tai tuhoamista, sillä ne voivat olla ratkaisevan tärkeitä myöhemmässä tutkinnassa.

Ota yhteyttä paikalliseen poliisiin ja tee rikosilmoitus.

Ilmoita tapauksesta myös paikalliselle petostentorjuntaelimelle. Esimerkiksi jos olet EU:ssa, voit ilmoittaa tapauksista OLAF:ille (Euroopan petostentorjuntavirasto) tai Suomessa Kyberturvallisuuskeskukselle. Jos olet Yhdistyneessä kuningaskunnassa, ilmoitus tulee tehdä Action Fraud -palveluun.

Ilmoita pankillesi tai rahoituslaitoksellesi välittömäste, jos pankkitilejäsi on vaarannettu.

Ilmoita vakuutusyhtiöllesi, sillä jotkin vakuutukset saattavat korvata petoksiin liittyviä menetyksiä.

Jos asiakkaidesi tietoja on vaarannettu, sinun on ehkä ilmoitettava asiasta kyseisille henkilöille sekä tietosuojaviranomaisille (kuten Tietosuojavaltuutetun toimistolle).

Tarvittaessa ilmoita tärkeille sidosryhmillesi, kuten hallituksen jäsenille tai suurasisakkaille.

Keskustele yrityspetoksiin erikoistuneen lakimiehen kanssa ymmärtääksesi käytettävissäsi olevat oikeuskeinot.

Käytä oikeuslääketieteellistä tilintarkastajaa (forensic accountant) taloudellisten vahinkojen täyden laajuuden arvioimiseksi.

Harkitse kyberturvallisuusasiantuntijan palkkaamista, jos digitaalisiin järjestelmiin on murtauduttu.

Tee perusteellinen tarkistus yrityksesi turvallisuuskäytäntöihin.

Ota käyttöön tiukempia petostenestotoimenpiteitä tarpeen mukaan, kuten tehostettuja vahvistusprosesseja tai parannettuja kyberturvallisuusjärjestelmiä.

Tarjoa tiimillesi lisäkoulutusta petosten torjunnasta, jotta he oppivat tunnistamaan ja estämään petokset ennen kuin niistä tulee ongelma.

Luo strategia taloudellisten menetysten korjaamiseksi.

Suunnittele, miten parhaiten hallitset yrityksesi mahdollisesti kärsimiä mainehaittoja.

Mieti, miten voit rakentaa uudelleen luottamuksen asiakkaidesi, kumppaneidesi ja sidosryhmiesi kanssa.

Analysoi, miten petos alun perin tapahtui ja mitä haavoittuvuuksia se paljasti.

Käytä näitä havaintoja yrityksesi prosessien ja petostenestostrategioiden parantamiseen.

Harkitse säännöllisiä petosriskien arviointeja joko ohjelmiston avulla tai palkkaamalla riskienarviointikonsultin.

Ole varovainen odottamattomien sähköpostien suhteen: Tarkista lähettäjän osoite huolellisesti. Huijarit käyttävät usein osoitteita, jotka näyttävät samanlaisilta kuin viralliset sähköpostit, mutta joissa on pieniä eroja (esim. osoitteen joe.bloggs@realcompany.com sijaan huijausosoite voi olla joe.bloggs@definitelyrealcompany.com).

Vie hiiri aina linkkien päälle ennen niiden klikkaamista: Tämä paljastaa linkin todellisen määränpään. Jos se näyttää millään tavalla epäilyttävältä, älä klikkaa.

Suhtaudu varauksella kiireellisiin sähköpostipyyntöihin tai uhkauksiin: Luotettavat yritykset eivät painosta sinua toimimaan välittömästi sähköpostitse.

Etsi personointia: Kalastelusähköposteissa käytetään usein yleisiä tervehdyksiä, kuten ”Hyvä herra/rouva”, sen sijaan että sinua puhuteltaisiin omalla nimelläsi.

Käytä aina vahvoja, yksilöllisiä salasanoja: Harkitse salasananhallintaohjelman (password manager) käyttöä monimutkaisten salasanojen luomiseen ja turvalliseen säilyttämiseen.

Ota kaksivaiheinen tunnistautuminen (2FA) käyttöön aina kun mahdollista: Tämä tuo ylimääräisen turvakerroksen, vaikka salasanasi vaarantuisi.

Pidä ohjelmistot ajan tasalla: Tämä koskee myös käyttöjärjestelmääsi. Päivitykset sisältävät usein tärkeitä tietoturvakorjauksia, jotka auttavat pitämään sinut turvassa.

Ole varovainen sosiaalisessa mediassa: Huijarit käyttävät usein sosiaalista mediaa rakentaakseen vakuuttavampia ja kohdennetumpia kalasteluyrityksiä.

Käytä virallisia sovelluksia: Tämä on erityisen tärkeää pankkisovellustesi kohdalla. Lataa sovellukset aina suoraan virallisista sovelluskaupoista ja ristiintarkista sovelluksen nimi pankin virallisilta verkkosivuilta.

Kouluta tiimiäsi: Jos sinulla on työntekijöitä, varmista, että he ovat tietoisia näistä parhaista käytännöistä ja yrityksesi turvallisuuskäytännöistä.