Yritysmaailman ajankohtaiset digipetokset – laskutushuijaus, salakavala uhka
Johdanto
Olet todennäköisesti kuullut toimitusjohtajahuijauksesta (CEO fraud) eli tilanteesta, jossa kyberrikollinen lähestyy tyypillisesti sähköpostilla organisaation taloushallintoa esiintyen toimitusjohtajana, talousjohtajana tai muuna merkittävänä päätöksentekijänä pyytäen taloushallintoa tekemään suuren, salaisen ja kiireellisen tilisiirron esimerkiksi keksittyyn yrityskauppatilanteeseen liittyen.
Entä oletko kuullut kyberrikollisten toisesta, mahdollisesti jopa toimitusjohtajahuijauksia kavalammasta huijaustavasta eli laskutushuijauksesta (invoice fraud)? Tämän artikkelin tarkoitus on kertoa, miten tyypillinen laskutushuijaus toimii, jotta kykenet arvioimaan organisaatiossasi, millaisen riskin laskutushuijaukset muodostavat teille ja mitä mahdollisia lisäkontrolleja on syytä ottaa käyttöön vahinkoriskin pienentämiseksi.
Sekä toimitusjohtajahuijaukset, että laskutushuijaukset niputetaan kansainvälisesti BEC fraud -yleiskäsitteen alle. BEC on lyhenne Business Email Compromisesta eli sähköpostipohjaisista huijauksista. Huijauksien kokoluokasta saa käsityksen FBI:n Internet Crime Complaint Centerin raportista, jossa yksin yhdysvaltalaisten yritysten vahingot lasketaan kymmenissä miljardeissa euroissa. Suomessa julkisuudessa puhutaan lähinnä toimitusjohtajahuijauksista, vaikka laskutushuijaukset ovat vähintään yhtä yleisiä ja vakavia uhkia joka organisaation taloushallinnolle. Vahinkoja raportoitaessa sekä toimitusjohtaja- että laskutushuijaukset niputetaan saman otsikon alle, jolloin monen käsitys siitä, että taustalla on kaksi erilaista huijaustyyppiä, hämärtyy ja pahimmillaan laskutushuijauksia ei edes tunnisteta uhkana. Poliisin ja Finanssialan raporttien mukaan kotimaisten organisaatioiden vahingot lasketaan vuositasolla vähintään miljoonissa euroissa.
Artikkelin kirjoittaja on ollut tekemisissä yritysmaailman digitaalisten huijauksien kanssa vuodesta 2012 lähtien. Hän on nähnyt huijausyrityksien määrän kasvun ja kehityksen niin pankin työntekijän roolista kuin suurta maksuliikevolyymiä operoivien organisaatioiden näkökulmasta. Aiheeseen liittyvät rikosvahingot kasvavat globaalisti kymmeniä prosentteja vuodessa ja huijaustavat kehittyvät jatkuvasti. Esimerkiksi 3stepIT-konsernissa saamme toimintamaissamme tyypillisesti viikoittain tai kuukausittain jonkinlaisen huijausviestin ja vuositasolla vähintään muutaman kehittyneemmän huijausviestiyritelmän. Yksinkertaisemmat viestit ovat usein toimitusjohtajahuijausteemaisia, kun taas kehittyneemmät yritykset ovat usein laskutushuijausyrityksiä.
Laskutushuijauksen toimintatapa
Seuraavassa käyn läpi kehittyneemmän laskutushuijauksen toimintaperiaatteen. Huijaus voidaan jakaa kolmeen vaiheeseen
Ennakkotiedusteluvaihe
Ensin rikollinen tunnistaa kahden organisaation välillä tilaaja-toimittaja-asiakkuussuhteen, esimerkiksi tutkimalla pörssitiedotteita, referenssejä tai yksinkertaisesti loogisella päättelyllä tai arvaamalla. Erityisen herkullisia kohteita ovat organisaatiot, joissa on vastikään tapahtunut tai on paraikaa meneillään muutostilanne, kuten yhdistyminen, jakautuminen, ulkoistus, joka muuttaa totuttuja toimintatapoja.
Tunnistettuaan tilaaja-toimittajasuhteen rikollinen analysoi molempia kohdeorganisaatioita ja pyrkii selvittämään minkä nimisiä henkilöitä organisaatioissa työskentelee, etenkin keitä taloushallinnossa työskentelee ja miten taloushallintoon otetaan yhteyttä. Tyypillisesti tiedot löytyvät suhteellisen vähällä vaivalla joko organisaatioiden kotisivuilta tai internetistä, esimerkiksi LinkedInistä. Tämä on seikka, jota ei sinänsä kannata pelätä vaan pikemminkin tiedostaa. Organisaatioiden työntekijöiden nimien ja laskutuskäytäntöjen näkyminen ulospäin helpottaa normaalia taloushallinnon kanssakäyntiä ja on siksi perusteltua.
Tässä esimerkissä rikollinen tunnistaa seuraavat tiedot:
Toimittaja Oy on listannut Tilaaja Oy:n referenssikseen.
Linkedinin mukaan Tilaaja Oy:ssä työskentelee taloushallinnossa Timo Tarkka.
Toimittaja Oy:n kotisivuilla laskutusasioissa yhteydenottotahoksi on listattu laskutus@toimittaja.fi
Tilaaja Oy:n kotisivuilla laskutusasiossa yhteydedenottotahoksi on listattu talous@tilaaja.fi
Kohdennettu tiedonhankintavaihe
Saatuaan yhteystietoja selvitettyä, rikollinen saattaa yrittää lähestyä organisaation työntekijöitä kohdennetuilla kalasteluviesteillä ja yrittää kaapata haltuunsa työntekijöiden sähköpostitilejä. Esimerkiksi Kyberturvallisuuskeskus varoitti 20.10.2023 laajasta kotimaisiin organisaatioihin kohdistuneesta Microsoft 365 -tietojenkalasteluhyökkäyksestä. Koska monen organisaation sähköposti toimii nykyään pilvipalveluiden päällä, kaapatuilla tunnuksilla voi kirjautu tilille avaamalla selaimen ja syöttämällä tunnukset mistä päin maailmaa tahansa, jos mitään rajoituksia ei ole asetettu.
Rikollisen tarkoituksena on saada kaapatusta sähköpostista haltuunsa tilaaja-toimittajasuhteeseen liittyviä tietoja, etenkin laskuihin liittyviä sähköposteja. Rikollinen pyrkii myös kommunikoimaan uhrien kanssa kaapatun sähköpostilaatikon kautta. Tällöin viestien vastaanottajan on hankala huomata saavansa viestejä oikean yhteyshenkilön sijaan huijarilta, koska viestit lähetetään teknisesti oikeasta osoitteesta.
Vaihtoehtoisesti, jos rikollinen ei kykene kaappaamaan kalasteluviestien avulla sähköpostilaatikoita tai ei halua tällaiseen toimintaan ryhtyä, rikollinen saattaa yksinkertaisesti hankkia haltuunsa tilaaja-toimittajasuhteen osapuolen nimeä mukailevan sähköpostiosoitteen ja lähestyä tällaisesta osoitteesta kohdeorganisaatiota. Organisaation nimeä lähellä olevan sähköpostiosoitteen rekisteröiminen ei maksa paljoa ja on hankala estää aukottomasti, sillä variaatioita on suuria määriä. Oletamme tässä skenaariossa, ettei rikollinen saa kaapattua sähköpostitiliä haltuunsa, vaan päätyy rekisteröimään sähköpostiosoitteita, jotka näyttävät lähes samalta kuin uhriorganisaatioiden omat osoitteet.
Oletetaan että rikollinen kykenee rekisteröimään seuraavat verkkotunnukset:
ti1aaja.com
to1mittaja.com
Rekisteröityään osoitteet rikollinen esiintyy Tilaaja oy:nä ja lähestyy Toimittaja oy:n myyntireskontraa seuraavalla viestillä:
From: Laskutus <talous@ti1aaja.com>
Reply-To: Laskutus <talous@ti1aaja.com>
To: Myyntireskontra <laskutus@toimittaja.fi>
Subject: Onko meillä avoimia laskuja?
Hei,
Olemme Tilaaja Oy:ssä tekemässä ERP migraatiota ja tässä yhteydessä tietokantamme korruptoitui.
Onko meidän mahdollista saada teiltä listaus avoimista laskuista, jotta saamme verrattua järjestelmämme näyttämiin tietoihin?
Pahoittelut aiheutuvasta vaivasta. Pyrimme varmistamaan, että maksamme avoimet laskut ajallaan
Terveisin,
Timo Tarkka
Tilaaja Oy laskutus
Rikollinen luottaa siihen, ettei viestin saanut taho huomaa väärää lähettäjäosoitetta ”ti1aaja.com”, oikean ollessa ”tilaaja.fi” ja vastaa viestiin. Rikollinen käyttää viestin allekirjoituksessa Tilaaja oy:n oikean työntekijän, Timo Tarkan, nimeä viestin allekirjoituksessa tehostamassa vaikutelmaa oikealta taholta tulevasta viestistä. Jos rikollinen olisi saanut kaapattua Timo Tarkan sähköpostilaatikon, lähetetty viesti voisi olla myös vastaus olemassa olevaan sähköpostiketjuun, jossa keskustellaan laskutuksesta, jolloin huijauksen huomaaminen on vielä hankalampaa.
From: Myyntireskontra <laskutus@toimittaja.fi> Reply-To: Myyntireskontra <laskutus@toimittaja.fi> To: Laskutus <talous@ti1aaja.com>
Subject: RE: Onko meillä avoimia laskuja?
Moi Timo,
Harmillista kuulla hankaluuksistanne.
Ohessa liitetiedosto johon olen kerännyt avoimet laskut, yhteensä 6 kpl ja yhteissumma 89 500 EUR alv0.
Toivottavasti saatte järjestelmänne ajantasalle.
Hieman kauhulla odotan omaa ERP uusintaamme, joka siintää muutaman vuoden päässä.
Terveisin,
Hanna Huolellinen
Toimittaja Oy Taloushallinto
Toimittajan edustaja, Hanna Huolellinen, saa viestin käsiteltäväkseen. Hän ei huomaa huijausta ja vastaa viestiin. Näin rikollinen saa haltuunsa tarkat tiedot laskuista, mukaan lukien toimituksen sisällön, viitenumerot ja summat. Nämä tiedot ovat tarpeellisia laskutushuijauksen viimeisen vaiheen läpivientiin.
Hyväksikäyttövaihe
Seuraavaksi rikollinen vaihtaa rooleja. Tähän asti rikollinen on esiintynyt Tilaaja oy:n edustajana, mutta saadakseen rahoja siirrettyä hänen on esiinnyttävä Toimittaja oy:n edustajana. Koska Hanna Huolellinen Toimittaja oy:stä vastasi viestiin, on luonnollista, että rikollinen pyrkii esiintymään hänenä ja käyttää esimerkiksi hänen sähköpostinsa allekirjoitusta tuomaan lisää uskottavuutta viestintään.
Rikollinen lähettää osoitteesta to1mittaja.com viestin, jossa hän kertoo Toimittaja oy:n maksuyhteystietojen muuttuneen. Hän tehostaa viestin uskottavuutta kyetessään listaamaan avoimet laskut, joiden sisältöjen ei luonnollisesti tulisi olla muiden kuin Toimittaja oy:n ja Tilaaja oy:n tiedossa.
From: Hanna Huolellinen <hanna.huolellinen@tolmittaja.com>
Reply-To: Hanna Huolellinen <hanna.huolellinen@tolmittaja.com>
To: Laskutus <talous@tilaaja.fi>
Subject: TÄRKEÄ -Toimittaja Oy:n maksuyhteystiedot muuttuvat
Tärkeä tiedote Tilaaja Oy:lle,
Hyvä asiakas, Toimittaja Oy:n maksuyhteystiedot ovat muuttuneet.
Pyydämme maksamaan kaikki avoimet laskut tilille
IBAN: GB15BNKA40127612345678
Reskontramme mukaan teillä on kuusi avointa laskua yhteissumaltaan 89 500 €, alv 0%.
Olen liittänyt laskut tähän viestiin päivitetyillä maksuyhteystiedoilla.
Pyydämme kuittaamaan, kun maksuyhteystietojen muutos on tehty. Kitos yhteistyöstä.
Terveisin,
Hanna Huolellinen
Toimittaja Oy - Taloushallinto
Toimittajan edustaja ei huomaa väärennettyä lähettäjäosoitetta ja muuttaa laskutusjärjestelmiin uuden tilinumeron.
From: Laskutus <talous@tilaaja.fi>
Reply-To: Laskutus <talous@tilaaja.fi>
To: Hanna Huolellinen <hanna.huolellinen@tolmittaja.com>
Subject: RE: TÄRKEÄ -Toimittaja Oy:n maksuyhteystiedot muuttuvat
Kiitos tiedosta, pyydetysti kuittamme, että tilinumerojen muutos on nyt tehty pyytämällenne tilille
GB15BNKA40127612345678.
Terveisin,
Timo Tarkka
Tilaaja Oy laskutus
Saatuaan kuittauksen, rikollisen ei tarvitse kuin odotella laskujen eräpäivää ja varojen siirtymistä rikollisen tilille. Uhrille huijaus selviää tyypillisesti vasta, kun toimittajaorganisaatio ryhtyy kyselemään erääntyneiden laskujen suoritusten perään, jolloin maksusuorituksista väärälle tilille on kulunut jo useita päiviä tai viikkoja. Tässä vaiheessa todennäköisyys varojen saamiseksi takaisin edes osittain pyytämällä maksuliikepankkia peruuttaman maksun on erittäin matala, sillä rikollinen joko nostaa rahat tililtä tai siirtää ne välittömästi edelleen uuteen pankkiin saatuaan varat tilille.
Huijaukselta suojautuminen
Kuten edellä käsitelty esimerkki osoittaa, tietoteknisillä kontrolleilla ei voi suojautua huijausviestejä vastaan aukottomasti. Tästä huolimatta suosittelen, että organisaatiot ottavat sähköpostissaan käyttöön kaksivaiheisen tunnistautumisen, joka hankaloittaa sähköpostitilien kaappaamista. Kaapatulta sähköpostitililtä tulevien viestien havaitseminen on kaikkein hankalinta ja siksi tilien kaappaamisen estämiseksi kannattaa tehdä kaikki voitava.
Kaikkein tehokkaimmat kontrollit tulee kuitenkin rakentaa organisaation taloushallintojen omiin toimintaprosesseihin. Koska rikollisen toimintatapa perustuu siihen, että maksut ohjataan uudelle tilille, on tärkeää määritellä, miten toimittajien tilinumerovaihdokset käsitellään. Lähtökohtaisesti tilinumeron muutosta ei saisi antaa yksittäisen työntekijän tehtäväksi, vaan sen tulisi edellyttää aina toisen, lähtökohtaisesti työnjohtoroolissa toimivan henkilön vahvistusta. Tämä on hyvä asia myös yksittäisen taloushallinnon työntekijän oikeusturvan kannalta. Jos jokaisen toimittajan osalta näin tiukka prosessi ei ole mahdollista, tulisi toimintatapaa noudattaa vähintään suurimpien toimittajien osalta.
Tilinumeron muutosta ei pitäisi tehdä yksittäisen sähköpostitoimeksiannon perusteella vaan se tulisi varmistaa riippumatonta kanavaa pitkin, esimerkiksi puhelinsoitolla muutosta pyytäneeseen yritykseen tai laittamalla sähköposti yrityksen tunnetulle yhteyshenkilölle. Huomaa, että jos tilinumeron muutosta pyytävässä viestissä on listattuna yhteydenottopuhelinnumero, tätä ei pidä käyttää tai päädyt juttelemaan huijarin kanssa, joka varmasti kertoo, että tilinumeronvaihdos on haluttu toimenpide. Sen sijaan tulisi käyttää esimerkiksi sopimusjärjestelmästä tai toimittajan kotisivuilta löytyviä yhteystietoja. Erityisen tarkkana on syytä olla silloin, kun toimittaja väittää vaihtavansa maksuyhteystietonsa täysin toisessa maassa toimivan pankin tilille.
Lisäksi kotimaisessa kontekstissa on hyvä pohtia, pitäisikö yhteiskunnan järjestää suomalaisille yhteisökäytössä oleville tilinumeroille online-palvelu, josta voi tarkistaa tilinumeron haltijan. Esimerkiksi Norjassa on tällainen palvelu. Nykytilassa huijarit eivät useinkaan ole kotimaista alkuperää eivätkä käytetyt tilinumerot ole kotimaisia, mutta tilanne voi muuttua nopeastikin toisenlaiseksi. Tällöin yhteiskunnan tasolla on hyvä pitää yllä valmius reagoida edellyttämällä tilinumeroiden tarkastuspalvelun rakentamista.
Yleinen tietoisuus huijaustavasta on myös tärkeää. Lähtökohtaisesti huijarit kykenevät lähettämään viestejä uhriorganisaation kohdekielellä, koska heillä on oletettavasti käytössään yleisiä viestipohjia, joita saa konekäännettyä halutulle kielelle. Suomenkielinen viesti ei siis ole mikään aitouden tae. Viesteissä voi kuitenkin olla pieniä kömmähdyksiä, outoja sananvalintoja ja kirjoitusvirheitä, jotka ovat kaikki varoitusmerkkejä. Tällaisia pieniä virheitä löydät myös tämän artikkelin esimerkkiviesteistä.
Vakuutusturva on luonnollisesti myös yksi tapa rajata mahdollisia vahinkoja. Tämän osalta on hyvä käydä oman vakuutusyhtiön tai meklarin kanssa läpi, miten esimerkissä kuvattu vahinkoskenaario tulisi korvattavaksi. Kybervakuutus ei välttämättä kata kuvatun laista huijausta, koska rikollinen ei missään vaiheessa varsinaisesti käytä mitään tietomurtotyökalua, vaan yksinkertaisesti lähettää uskottavan oloisia sähköpostiviestejä.
Rikosvakuutus taas lähtökohtaisesti kattaa tällaiset petosvahingot, mutta niissä oleelliseksi tekijäksi muodostuu korvausvastuun ala- ja ylärajan asettaminen soveltuvalle tasolle. Vakuutuksen omavastuun alarajan lasku muutamien kymmenien tuhansien eurojen tasolle voi tehdä vakuutusmaksusta turhan kalliin, jolloin riskiä pienemmistä vahingoista ei välttämättä kannata vakuuttaa. Toisaalta rikollisen aiheuttama vahinko voi huonoimmassa tapauksessa olla miljoonaluokkaa, jolloin korvaussumman ylärajan on syytä olla myös pohdittu. Esimerkiksi Konecranes kärsi ensimmäisessä isommassa kotimaisiin yhtiöihin kohdistuneessa huijausaallossa vuonna 2015 17 miljoonan euron vahingon, josta vakuutus korvasi 10 miljoonaa euroa.
Tuoreempia julkisia tapauksia edustaa ulkoministeriön vuonna 2019 kärsimä 400 000 euron petosvahinko YK:n edustajana esiintyneen huijarin toimesta. Finanssialan raportin mukaan vuonna 2023 pankkien tietoon on syyskuuhun mennessä tullut 1,9 miljoonan euron edestä toimitusjohtajahuijauksiin (toim. huom. oletettavasti luku sisältää myös laskutushuijaukset) liittyviä vahinkoja, jossa on kasvua edelliseen vuoteen 31 prosenttia. Finanssialan luku tuskin sisältää kaikkia tapauksia, sillä yksin Helsingin poliisi kertoi helmikuussa 2023 saaneensa tutkintaan kolmen kuukauden aikana 750 000 euron edestä yrityksiin kohdistuneita huijauksia.
Lopuksi
Ennustan, että organisaatioiden taloushallintoon kohdistuvat sähköpostipohjaiset huijaukset jatkavat kasvuaan ja monimuotoistuvat hyödyntämään puhelinsoittoja, erilaisia some-kanavia, kuten WhatsApp-viestintää. Viestien laatu sekä lokalisointi kehittyy, eikä liene kaukaa haettua, että rikolliset hyödyntäisivät tekoälyä toimintansa kehittämisessä. Koska rikollisuus on lähtökohtaisesti organisoitua ja rajat ylittävää, poliisin on hyvin vaikea saada tekijöitä kiinni. Esimerkiksi ulkoministeriön tapauksessa tutkinta jouduttiin keskeyttämään, koska epäiltyjä ei tunnistettu.
Onneksi muun muassa FBI ja Europol ovat onnistuneet saamaan jotain tekijöitä tuomiolle monikansallisen yhteistyön avulla. Karu todellisuus kuitenkin on, että jokaisen organisaation taloushallinnon on kyettävä itse pysäyttämään huijaukset. Jos rikoksen uhriksi joutuu, todennäköisyys saada varoja takaisin on hyvin pieni. Kannustan organisaatioita jakamaan taloushallinnon foorumeissa, kuten Tilisanomissa, tietoa erilaisista huijauksista, sillä jaettu tilannekuva todellisista huijausviesteistä auttaa meitä kaikkia. 3stepIT-konsernissa jaamme kaikki eri maiden taloushallintojen turvallisuustiimille raportoimat huijausviestit kaikkien taloustiimien yhteisessä työtilassa, jotta joka maalla on sama tietämys käytössään. Toivon tämän artikkelin antavan avaimia suojaustoimenpiteiden arvioimiseen ja rakentamiseen omassa organisaatiossasi. 
Jos artikkelista heräsi kysymyksiä, voit olla yhteydessä kirjoittajaan: elias.alanko@3stepit.com
