Julkisuudessa on viime aikoina puhuttu huijauspuheluista, joita on soiteltu suomalaisille yrityksille ja yksityishenkilöille ”Microsoftin teknisen tuen” nimissä. Sattuipa niin ihanasti, että tällainen soitto löysi tiensä myös minun matkapuhelinnumerooni. Näin tilaisuuteni tulleen ja loin virtuaalikoneen, jonka avulla selvitin, mitä huijari tavoittelee.

Olin viettämässä rauhallista lauantai-iltapäivää kotipihassani lapseni kanssa, kun kesken kaiken puhelin ilmoitti olemassaolostaan soittoäänen heleällä pirinällä. Numero oli minulle tuntematon, mutta täysin suomalaista matkapuhelinnumeroa vastaava, joten otin puhelun vastaan. Soittaja ilmoitti intialaiselta kuulostavalla englannin kielen aksentilla olevansa Microsoftin Teknisestä tuesta. Aloitusrepliikki oli suurin piirtein seuraava: Sir, for the past three weeks we have monitored hacker activity on your computer. For this reason, we have called you and we need to check your computer. Do you understand? 

Samalla hetkellä pääni yläpuolella syttyi Aku Ankastakin tuttu idealamppu. Kehitin nopeahkon suunnitelman ja totesin soittajalle, että ymmärrän hyvin ja kysyin, onko kyseessä työkoneeni vai henkilökohtainen koneeni. Vastaukseksi sain, että kyseessä henkilökohtainen kone. Ilmoitin olevani juuri ulkona ja kysyin, voisiko hän soittaa minulle uudelleen noin tunnin kuluttua, jotta voisimme katsoa, mitä asialle on tehtävissä. Tämä sopi, joten päätin laittaa suunnitelmani käytäntöön. 

Marssin sisälle, avasin koneeni, asensin koneelle VirtualBox-ohjelman ja latasin Microsoftin sivuilta Windows 10 –käyttöjärjestelmän näköistiedoston. Noin 45 minuuttia myöhemmin minulla oli valmis virtuaalikone, johon ehdin vieläpä hieman tehdä pieniä kosmeettisia muutoksia, jottei kone näyttäisi aivan ”pakasta revityltä”. Lisäksi asensin koneelle Wireshark-ohjelman, jolla voi monitoroida ja nauhoittaa koneen verkkoyhteyden käyttöä. Puhelimeeni asensin puheluiden nauhoittamista varten tarkoitetun sovelluksen. Tämän jälkeen jäin odottamaan uutta soittoa.  

Kun tunti oli kulunut, mitään ei ikävä kyllä kuulunut. Olen kuitenkin työskennellyt myös itse IT-tuessa, joten tiesin, että siellä saattaa olla nyt vain puhelu kesken jonkun toisen ”asiakkaan” kanssa. Täten jatkoin kärsivällisesti odottelua. Kun aikaa oli kulunut kaksi tuntia, luvattu soitto viimein pirahti puhelimeeni jälleen suomalaisesta matkapuhelinnumerosta. 

Puhelu alkoi samalla mantralla: ”For the past three weeks” Kerroin ymmärtäväni yskän ja kysyin, että miten minun pitää seuraavaksi toimia. Sain pyynnön avata tietokoneeni ja odottaa lisäohjeita. Kun kone oli auki, minua opastettiin avaamaan komentokehote ja kirjoittamaan sinne komento ASSOC. Ohjeistus oli hyvin kattavaa ja kaikki komennot ohjeistettiin kirjain kerrallaan ja varmistettiin, että oikean näköiset ikkunat aukesivat. Sain kehuja nopeasta toiminnasta. 😊 

Soittaja pyysi minua tarkistamaan, näenkö CLSID-tunnuksen ja kertoi, että kyseessä on koneen yksilöivä tunnus, jonka ainoastaan koneen omistaja (minä) ja Microsoft tietävät. Kyseistä tunnistetta ei kuulemma sovi kertoa kenellekään muulle ja tämä on hyvin tärkeää. Vakuuttaakseen minut hyvistä aikeistaan soittaja ilmoitti, että hän lukee minulle tuon tunnisteen nyt puhelimessa jotta voin tarkistaa kyseessä olevan minun koneeni. Näin toimittiin ja totesin, että oikea kone ja tunniste ovat kyseessä.   

Komento antaa pitkän listan erilaisia rivejä, ja toiseksi viimeisellä rivillä on tunniste CLSID: 

tech-support-huijaus1

(Toim. huom. Jos koitat kirjoittaa tuon komennon oman koneesi komentokehotteeseen ja sinulla on käytössä Windows 10 käyttöjärjestelmä, takaan, että CLSID-tunniste on sama kuin tuossa yllä näkyvässä kuvassa. Kyseinen tunniste ei ole konetta yksilöivä tieto, vaan se viittaa tiettyyn COM Class objektiin, joka on sama lähes kaikissa Windowskäyttöjärjestelmissä.) 

Ilmoitin soittajalle, että uskon heidän olevan Microsoftin tuesta ja oikealla asialla. Tämä ei kuitenkaan hänelle vielä riittänyt, vaan hän halusi todistaa koneeni joutuneen hakkerin kynsiin. Soittaja pyysi avaamaan koneen Tapahtumienvalvonnan (Event viewer), sieltä kohdan Mukautetut näkymät (Custom views) ja sen alta Valvontatapahtumat (Administrative Events). Avasin kyseisen näkymän ja näin, että listalla oli lukuisia virheitä ja varoituksia. Soittaja ilmoitti, että tämä kaikki on hakkerin aiheuttamaa. 

tech-support-huijaus2 

(Toim. Huom. Näitä tietoja voidaan käyttää esimerkiksi ongelmanselvitystilanteissa, mutta kuvassa näkyviä virheilmoituksia tulee kaikille koneille jatkuvasti. Kyseessä on käyttöjärjestelmän sisäisiin prosesseihin liittyvät ilmoitukset, eikä näistä tarvitse olla huolissaan).  

Ilmoitin jälleen, että minut on nyt täysin vakuutettu ja kysyin, miten asian saa korjattua. Soittaja ilmoitti, että juuri tämän takia hän on soittanut ja auttamassa minua. Tätä varten minun pitäisi vain sallia hänelle etäyhteys koneelleni, jolloin hän hoitaisi asian kuntoon. Sovimme, että näin tehdään, joten seuraavaksi soittaja pyysi avaamaan selaimen ja menemään sivulle www.anydesk.com, josta voin ladata tarvittavan etäyhteysohjelman. Soittaja neuvoi hyvin tarkkaan, miten ja mistä piti painaa, jotta ohjelma saatiin ladattua ja yhteys käynnistettyä. Kun ohjelma oli asentunut, sain siitä koodin, joka piti sitten kertoa soittajalle. Koodin turvin etäyhteys saatiin auki ja yhteydessä näkyi vakuuttavasti, että yhteyskumppani on Microsoft: 

tech-support-huijaus3

Kun etäyhteys AnyDesk-sovelluksella saatiin auki, seuraavaksi piti ladata vielä TeamViewer-sovellus, jonka kautta lopullinen etäyhteys saataisiin käyttöön. Ohjeistus oli jälleen kattavaa, ja minulle kerrottiin hyvin selkeästi, minne sivulle on mentävä ja mitä nappeja on painettava. Tässä kohtaa soittaja ilmoitti, että hän siirtää puhelun toiselle tukihenkilölle, joka ilmeisesti tarttui samaan luuriin kuin alkuperäinen soittajakin. Mitään katkosta puheluun ei tullut, mutta ääni linjan toisessa päässä kyllä muuttui. 

Kun etäyhteys oli TeamViewerin kautta saatu päälle, soittaja kehotti minua jälleen avaamaan komentokehotteen ja kirjoittamaan sinne Netstat. Tämän komennon tulosten perusteella hän pystyi kertomaan, että hakkerilla on tälläkin hetkellä yhteys auki minun koneeseeni, kuten kuvastakin selkeästi näkee: 

tech-support-huijaus4

(Toim. Huom. Netstat-komento näyttää koneen aktiiviset yhteydet. Jos koneesi on yhdistetty verkkoon, niin on perin luonnollista, että komento näyttää käynnissä olevia yhteyksiä.) 

Tästä soittajalla heräsi suuri huoli, että sähköpostitilini on myös vaarantunut. Hän kehotti avaamaan selaimen ja siirtymään osoitteeseen: https://validator.w3.org/.Tällä sivustolla oli soittajan mukaan työkalu, jolla voidaan testata, onko sähköpostiosoitteeni kenties vaarantunut. Kysyin, että mikä sähköpostiosoite on mahdollisesti kyseessä, sillä minulla on useita, ja sain vastauksen: ”Gmail”. 

Kirjoitin sivustolla näkyvään kenttään jonkin uskottavalta vaikuttavan Gmail-osoitteen ja painoin validointinappia. Saimme tulokseksi: HTTP Error 404 -sivun, jonka soittaja kertoi johtuvan siitä, että sähköpostiosoite oli hakkeroitu. Oikeasti sivusto kertoo verkkosivujen kehittäjille, että onko hänen luomansa sivut teknisesti toimivia. Tällä ei ole siis mitään tekemistä sähköpostiosoitteiden tai niiden tietoturvan kanssa. 

Tämän jälkeen sain pyynnön kirjautua sähköpostitililleni, jotta soittaja voisi tarkistaa, onko tilini turvassa. En harmikseni ollut kuitenkaan ehtinyt luoda itselleni vielä tähän tarkoitukseen sopivaa tiliä, joten ajattelin, että puhelu olisi hyvä lopettaa tähän vaiheeseen. Totesinkin soittajalle kohteliaasti, että luulen saaneeni kaiken tarvittavan ja joutuisin lopettamaan puhelun ja yhteyden tähän ja että voisimme ehkä vielä jatkaa soittelua jonakin toisena kertana. Tähän sain vastauksen: ”But sir, why?Vihelsin pelin poikki, ja lopetin puhelun. 

Teille lukijoille voinkin kertoa vastauksen tähän tukihenkilön heittämää viimeiseen kysymykseen. Mikäli tilanne olisi ollut tosi ja olisin kirjautunut oikeaan Gmail-tiliini, olisi tämä tukihenkilönä esittäytynyt soittaja saanut pääsyn sähköpostiini ja kaikkeen siellä sijaitsevaan dataan. Tämän lisäksi he olisivat todennäköisesti saaneet käyttöönsä Gmail-tilini salasanan ja täten pääsyn mahdollisesti Chrome-selaimeen tallentamiini sivustoihin sekä näillä sivuilla käyttämiini tunnuksiin ja salasanoihin. Vastaavissa huijauksissa on hyvin usein pyydetty uhria kirjautumaan esimerkiksi verkkopankkiin tai antamaan passin tiedot. Lisäksi on mahdollista ja hyvin todennäköistä, että kun huijarille antaa oikeudet koneelle etäyhteyden kautta, hän lataa koneelle haittaohjelmia.  

Kyseessä ei ollut mikään varsinaisen elegantti tai teknisesti hienostunut huijausyritys. En usko, että kyseinen show menee läpi suurimmalle osalle puhelun vastaanottajista. Siitä huolimatta huijauksen niin sanottu social engineering -osuus ei ollut hullummin toteutettu. Kaikki saamani ohjeistus oli hyvää ja kohteliasta. Ohjeiden avulla sain tehtyä kaikki toimenpiteet, joita huijari tarvitsi saadakseen koneeni haltuun ja joiden avulla hän pystyi osoittamaan minulle ”vakuuttavia” todisteita siitä, että koneeni on hakkeroitu. 

Soittajan tekninen osaaminen näytti myös olevan varsin rajallista. Soittajaa ei ollenkaan haitannut esimerkiksi se fakta, että koneestani oli hänen mukaansa saatu kolmen viikon ajan signaalia hakkerista, vaikka koneen tapahtumienvalvonnan lokitiedot ulottuivat vain kahden tunnin päähän, eli siihen pisteeseen, kun virtuaalikone oli asennettu. 

Valitettavasti puhelunauhoitukseni ei onnistunut, sillä Androidkäyttöjärjestelmä on tiukentanut tietoturvakäytäntöä puheluiden nauhoituksen osalta, joten käyttämäni sovellus ei tallentanut nauhoituksiin ollenkaan ääntä. Muuten olisitte saaneet kuulla myös parhaita paloja käymästämme keskustelusta. 

Mitä tästä opimme?  

  • Suhtaudu aina ”terveellisellä epäröinnillä” vastaavanlaisiin soittoihin ja viesteihin, sillä ne ovat lähes poikkeuksetta täyttä potaskaa. Suomalainen puhelinnumero ei ole luotettavuuden tae.  
  • Älä koskaan kerro salasanojasi tai verkkopankkitunnuksia kenellekään. 
  • Suojaa käyttämäsi tilitiedot kaksivaiheisella tunnistautumisella, mikäli sellainen on tarjolla.  
  • Seuraa kyberturvallisuuskeskuksen ilmoituksia, niin tiedät, onko vastaavanlaisia huijauksia meneillään. https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaiset 

Tämä kokeiluni osoittaa sen, että huijarit keksivät jatkuvasti uudenlaisia tapoja kalastella tietoja sekä huijata rahaa yrityksiltä ja yksityishenkilöiltä. Kaikkien huijausten torjumiseen ei välttämättä siinä hetkessä ole olemassa sopivaa teknologiaa, eikä huijauspuheluille oikeastaan voi mitään (ainakaan vielä). Paraskaan teknologia ei toimi, jos ihminen itse antaa luottokorttitietonsa tai menee haitalliselle sivulle varoituksista huolimatta. Sen vuoksi tärkein tietoturvateko on seurata uutisointia, suhtautua kriittisesti asioihin, pysyä valppaana sekä yritysmaailmassa hankkia tietoturvaan perehtynyt IT-kumppani. Wisdomic auttaa yrityksiä tietoturva-asioissa ja menee askeleen edellä huijareita niin, että yritys voi keskittyä liiketoimintaansa. Wisdomic ottaa puolestanne asioista selvää ja kehittää yrityksenne tietoturvapalveluita teidän tarpeiden mukaisesti. 

Jukka Kalliomäki
Latest posts by Jukka Kalliomäki (see all)

Kaipaatko lisätietoa aiheesta? Ota yhteyttä!