Pääosa nettihuijauksista perustuu käyttäjän harhauttamiseen. On yleinen harhaluulo, että nettihuijausten uhrit ovat tyhmiä. Yksi syy tähän on se, että useimmat ihmiset ovat kohdanneet geneerisiä huijauksia, toisin sanoen massapostitettuja viestejä ilman kohdennusta. Geneerisissä huijauksissa huijari olettaa vain pienen osan viestinsaajista tarttuvan syötiin. Useat tekijät lisäävät geneerisen huijauksen riskiä. Jo pelkkä geneerisen kalasteluviestin sujuva käännös suomeksi voi saada jopa 40 prosenttia vastaanottajista klikkaamaan linkkiä. Tilannetekijöillä on myös merkittävä vaikutus. Kuriiripakettia odottava uhri on alttiimpi geneeriselle kuriiripalveluhuijaukselle.
Mitä paremmin huijaus muistuttaa aitoa viestintää, sitä vaikeampi sitä on tunnistaa. Taitava huijari luo myös viestejä, joissa dokumenttien avaaminen, linkkien klikkaaminen tai tietojen antaminen tuntuu normaalilta. Vain harva osaa erottaa monimutkaisen verkkotunnuksen oikean osoitteen väärennöksestä. Tämä taito tulisi sisällyttää peruskouluopetukseen.
Huijatuksi tulemisen riski kasvaa myös, kun huijari hankkii kohteen asiakkaiden ja liikekumppaneiden perustietoja ja hyödyntää niitä huijauksessa. Yrityksissä omien prosessien mallintaminen on perusta estomekanismien rakentamiselle. Tämä vaatii yrityksiltä liiketoimintaprosessien analyysiä väärinkäyttötapausten perusteella. Koska kyberturvastandardit eivät riittävästi painota tätä näkökulmaa, väärinkäyttömallinnuksen opetus ja yritysten osaaminen ovat puutteellisia. Tämä osaaminen on integroitava myös liiketaloustieteen opetukseen Suomessa.
Videoväärennöksien käyttö yleistyi vuodesta 2019 alkaen. Rikollisjärjestöt tietävät, että edistyneisiin kyberrikoksiin ei tarvita syvällistä teknistä osaamista. Videoväärennöksiin perustuva toimitusjohtaja- tai romanssihuijaus vaatii ainoastaan älypuhelinsovelluksen käytön osaamista. Yrityksissä poikkeaville rahansiirroille tulee sopia menettely, joka ei voi olla julkinen. Videoväärennöksien varalle perheissä kannattaa sopia yhteinen salasana, jota ulkopuoliset eivät tiedä.
Suomessa huijauskeskustelussa korostuu liikaa pankkien rooli. Globaalisti suurin osa uhrien rahoista siirtyy mobiilimaksujen ja kryptovaluuttapalveluiden kautta. Vastuu tulee olla myös hakukoneilla ja sosiaalisen median palveluilla. Rikollisjärjestöt ostavat hakukoneesta mainoksia, joka ohjaa käyttäjän esimerkiksi väärennetylle pankkisivustolle. Huijausmainoksia on myös laajasti sosiaalisessa mediassa. Tutkimamme rikosliigat siirtyivät jo vuosia sitten sähköpostihuijauksista Facebookiin, Instagramiin, YouTube-mainoksiin, WhatsAppiin, Telegramiin, deittipalveluihin ja verkkosivuväärennyksiin.
Yksityisyys- sekä informaatiovaikuttamisen keskustelu vääristyy yksittäisiin sovelluksiin ja maihin. Tietoja keräävät laajasti eri sovellukset, hakukoneet ja verkkosivut. Yhdistämällä käyttäjätietoja eri lähteistä luodaan käyttäjäprofiileja, jotka sisältävät yksityisiä tietoja, joiden käyttäjä uskoo olevan pelkästään omassa tiedossaan. Kuka tahansa – esimerkiksi rikolliset tai vieraan valtion tiedustelupalvelu – voi ostaa näitä profiilitietoja datavälittäjiltä (data brokers) noin 0,12 Yhdysvaltain dollaria per henkilö.
Valtiollisen tai muun toimijan ei siis tarvitse päästä käsiksi sovelluksiin kerätäkseen tietoa. Poliittisen tai valtiollisen toimijan ei myöskään tarvitse pakottaa sovelluksia levittämään tiettyä ideologiaa. Ne yksinkertaisesti ostavat sosiaalisessa mediassa tai verkkosivuilla näkyvän mainoskampanjan.
Sovellusten valinnassa pääpainon tulee olla todennettavissa ominaisuuksissa. Riskiä voi pienentää valitsemalla yksityisyyteen keskittyviä hakukoneita ja selaimia, jotka blokkaavat tiedonkeräystekniikoita. Myös sovellukset, jotka keräävät minimaalisesti tietoja eivätkä myy niitä, vähentävät riskiä. Valikoimaan kuuluvat lisäksi vahvan salauksen viestintävälineet ja VPN-ratkaisut.
Informaatiovaikuttamiselta suojaa parhaiten kyky kriittisesti analysoida argumentteja ja kysyä evidenssiä. Keskeistä on myös tunnistaa argumentointivirheet sekä omat kognitiiviset vinoumat, koska taitava manipulaatio hyödyntää näitä. Kansalaiset tarvitsevat teknistä apua osoite- ja muiden väärennösten tunnistamisessa sekä riippumatonta tukea sovellusten ja laitteiden valinnassa niiden todennettuihin ominaisuuksiin perustuen. Suomessa on julkinen terveydenhuolto. Miksei silloin kansalaisille ole julkisia kyberterveyskeskuksia? Vai hyväksytäänkö se, että kansalainen valistakoon itseään, silläkin riskillä, että isolta osalta kansasta huijataan rahat pois?
Mikko Siponen
Kirjoittaja on Oulun yliopiston entinen professori, joka toimii Yhdysvalloissa professorina ja lukeutuu kyberturvallisuuden hallinnan arvostetuimpiin tutkijoihin maailmassa.