tiistai 29. huhtikuuta 2008

Yritysvakoilijoille koittaa vaikeat ajat

Eduskunta on säätämässä lakia, jonka perusteella työnantaja voisi lukea työntekijöiden lähettämien sähköpostien tunnistetiedot. Näitä tunnistetietoja ovat esimerkiksi tieto viestin lähettäjästä ja vastaanottajasta, yhteyden kestosta, reitityksestä, ajankohdasta ja siirretyn tiedon määrästä.

Näiden tietojen käsitteleminen olisi sallittua, jos viestintäpalveluiden ohjeiden vastainen käyttö aiheuttaa työnantajalle merkittävää haittaa tai paljastaa ulkopuolisille elinkeinotoiminnan kannalta keskeisiä yrityssalaisuuksia. Työnantajalla ei kuitenkaan olisi oikeutta avata viestejä.

Perinteiseen postiin verrattuna tämä tarkoittaa siis sitä, että mikäli työntekijää epäillään yrityssalaisuuksien vuotamisesta, työnantajalla on oikeus katsoa kirjekuoren päältä kenelle kirje on lähetetty, kuka sen on lähettänyt ja paljonko se painaa. Tietenkin vain, mikäli työnantaja on lähettänyt kirjeen yrityksen postin kautta, eikä esim. pudottanut kirjettä konttorin vastapäätä olevaan postilaatikkoon. Mikäli kirjeen päälle on kirjoitettu lähettäjäksi "Ilkka Insinööri, Nikoan salainen tuotekehittelylaboratorio", vastaanottajaksi "Ääriksonin teollisuusvakoiluosasto" ja isolla tussilla vielä kirjoitettu päälle "rahanarvoisia yrityssalaisuksia", niin yrityssalaisuuksien vuotaminen paljastuu.

Johan koittaa yritysvakoilijoille kovat ajat.

Ehkä lain hyvä puoli on siinä, että saadaan karsittua pahimmat tumpelot pois. Jos nimittäin minun työntekijäni kärähtäisi tämän lain avulla, potkujen perusteena ei olisi yritysvakoilu, vaan silkka typeryys.

Valitettavasti kuitenkin rikollinen osaa peittää jälkensä. Laista ei ole siis yhtään mitään hyötyä rikollisuuden torjumisessa, siitä on pelkkää haittaa tavallisille työntekijöille. Laki on vahvasti Nokian lobbaama, ja voimme pian odottaa sille jatkoa. Ensimmäinen askel on aina vaikein, mutta kun se on otettu, voidaan säätää pian lisälakeja, joiden perusteella työntekijöitä on mahdollista valvoa enemmän.

Jälleen kerran Suvi Linden osoittaa olevansa täysin pihalla siitä, miten Internet toimii. Tosin, hänen puolustuksekseen sanottakoon, että tämä, kuten surullisenkuuluisa lapsipornofiltterikin, olivat hänen edeltäjänäsä Susanna Huovisen lakiesityksiä. Silti nykyinen eduskunta ja hallitus jatkavat samaa linjaa. Molemmille laeille on yhteistä se, että ne ovat järjettömän tehottomia ja yhtä aikaa vaarallisia.

torstai 24. huhtikuuta 2008

Kutsu seikkailuun, eli pylly vasten pyllyä pum-pum

Varallisuusvalmennus ei varsinaisesti ole huijaus. Ainakaan lakiteknisesti; se on sitten eri asia, pitääkö kukaan rehti ihminen markkinakoijareiden kissankusen hajuisia liirumlaareita rehellisenä.

Varallisuusvalmennuksen blogi ja nettisivut (http://www.varallisuusvalmennus.fi) ovat hämmästyttävä yhdistelmä muka-filosofis-uskonnollista hömppää, homopinkkiä slurpsis-naminamia, bisnespellen lipevää linssinviilausta ja halpissarasvuon elämäntapa-tsemppausta. Virallisesti yritys harjoittaa liikkeenjohdon konsultointia ( kaupparekisteri) ja asuntosijoittamista (yrityksen nettisivut).

Mutta mitä kyseinen pulju oikeasti tekee, sitä ei tiedä Ken eikä äitee. Jostain karvalakkien sijoitusneuvonnasta näyttäisi olevan kyse. Eli ilmaista rahaa ja kaikkea kivaa kaikille. Vaurastuminen on kaikkien ulottuvilla, pitää vain poistaa esteet (tämä tietenkin tapahtuu vihreillä taikakaalinlehdillä, joita myös seteleiksi kutsutaan).

Blogin mukaan eräs suurimpia vaurastumisen esteitä on epäily. Tämä on varmasti totta: viimeksi Wincapitankin kohdalla huomattiin, että juuri epäily oli suurin este rikastumisen tiellä. Tarvittiin sokeaa uskoa siihen, että joku tuntematon heppu veroparatiisissa sijaitsevasta bulvaanifirmasta tekee minusta rikkaan. Ja osa uskoo vieläkin kuin isäjumalaan. Jos lähtee mukaan sijoitusbisnekseen, ei kannata epäillä. Jos epäilys tartuu matkaan, niin saattaa sijoittaminen unohtua.

Epäilyn unohtamisen lisäksi pysyttele erossa köyhistä ihmisistä. Köyhät ovat huonoja ihmisiä, pelokkaita luusereita. Raha on rakkautta, raha on puolisosi. Älä pidä muita jumalia.

Sijoittamisessa ei ole kyse saamisesta, vaan antamisesta. Miksi et siis aloittaisi sijoitusneuvojastasi? Hän on sentään ystäväsi. Hän hymyillen trallalaa-auttaa kaikkia ystäviään rikastumaan, vaikka eihän rikastuminen ole tärkeää, vaan ystävien auttaminen. Rakkautta, vaurautta.. uuh... sisään, ulos... rakkautta, lisää vaurautta, taloudellista riippumattomuutta... Kaikki rahat tiskiin, ethän enää halua palata entiseen kurjaan elämääsi, haluat rahaa tekemättä töitä.

Oikeasti haluat 1000 euroa päivässä tekemättä töitä, leikkiä leluilla ja liimailla unelmiesi kuvia isolle paperille:

"Mieti unelmiasi ja tee niistä tavoitteita. Liimaile haluamiesi asioiden kuvia suurelle paperille ja laita ne seinälle, pieni kuva unelma-autosta peilin kulmaan, muistikirjaan, sinne mistä näet sen mahdollisimman usein. Ajattele tavoitteitasi paljon."


Unohda bisnesenkelit, tässä tulee itse jeesus, buddha ja kongfutse samassa ilmestyksessä.

Muista myös, että sijoittaja voi hävitä kaiken. Mitäs olit ahne. You've been fucked, bitch. Elämä on erikoinen paradoksien täyttämä seikkailu, kuten Matias sanoo.

Sinä et olekaan voittaja, vaan hikinen, köyhä, pelokas häviäjä, joka ei rakasta rahaa tarpeeksi. Etkö sinä olekaan valmis uhraamaan kaikkea tosirakkauden vuoksi?

Rakkkaudella,
Vieraskynä

Tapaus Enstaneette.com

Jostain syystä myös Messengerin, eli "Mesen" salasanat kiinnostavat huijareita. Mahdollisesti hankittuja Msn-tilejä käytetään massapostittamiseen tai muuhun väärinkäyttöön, kuten identiteettivarkauksiin. Oli syy mikä hyvänsä, omia tietojaan ei kannata tällaiseen laittaa.

Enstaeette on sivusto, joka lupaa kertoa, kuka on estänyt sinut Messengerissä. "Palvelu" toimii antamalla tunnus ja salasana sivustolla olevaan lomakkeeseen. Samalla se tunnuksia hyväksikäyttäen lähettää linkin sinun nimissäsi kaikille kavereillesi.

Sivusto itsessään on jo epäluotettavan ja amatöörimäisen näköinen. En tiedä, antaako palvelu oikeasti tietoa siitä, kuka Messengerissä on estänyt kenet, mutta varmaan on, että tuollaiseen ei kannata salasanojaan antaa.

Sivusto on tällä hetkellä suljettu, ja sen jäljet johtavat Turkkiin.

tiistai 22. huhtikuuta 2008

Salasanojen kalastelu

Phishing, eli "salasanojen kalastelu" on tunnusten ja salasanojen hankkimista vilpillisesti. Usein hankitaan pankkien nettitunnuksia tai luottokortin numeroita, mutta myös sähköpostien tunnuksia. Termi on yhteensulautuma kahdesta englanninkielisestä sanasta "password" ja "fishing", josta tulee phishing, eli sanasanojen kalastelu.

Huijaus voidaan tehdä kahdella tavalla:


  1. Huijari lähettää sähköpostiviestin esimerkiksi pankin nimellä ja pyytää lähettämään tunnuksia. Viestissä voidaan vedota esim. tilin uudistamiseen tai tarkistamiseen. Oikeasti pankit eivät kuitenkaan kysele tunnuksia sähköpostilla.


  2. Luodaan verkkosivut, jotka näyttävät pankin käyttöliittymältä, mutta todellisuudessa kyseessä on huijaussivusto, joka lähettää tunnukset huijarille.


Yleensä näitä tapoja käytetään yhdessä, eli massapostitetaan viestejä sähköpostitse ja pyydetään kirjautumaan välittömästi verkkopankkiin annetun linkin kautta - joka johtaa tietenkin huijaussivustolle.

Esimerkkitapaus 1: Nordean tunnusten kalastelu

Keväällä 2007 useat Nordean asiakkaat saivat seuraavanlaisen viestin:


Arvoisa Onlina-Banking jarjestelman kayttaja.

Tilien tarkistuksen yhteydessa pyydamme Teidat, vahvistamaan Teidan tilin tietoja ja kooditaulukkoja. Tarkistuksen yhteydessa pyydamme Teidat tayttamaan tilin tarkastuksen taulukon. Tassa taulukossa on tietojen kysely tilille paasya varten, tilin laji ja salasanantaulukon ja Payment Confirmation Codes-taulukon tiedot.

Pyydamme tayttamaan tietoja huolellisesti, koska virhe jopa yhdessa kentassa voisi aiheuttaa tilin lukitusta, tilin avaamisen ja kayton seikkojen selvittamista. Lomakkeessa annetaan ohjeita kenttien tayttamiseksi.

HUOM! Tama tarkistus suoritetaan ainoastaan asiakkaidemme turvallisuude! n tason turvaamiseksi.

Toivoen ymmartamykseen ja kannatukseen Teidan puolelta.

Kunnioittaen,
Hallinto

Huolimatta kömpelöstä kielestä (huijarit olivat latvialaisia, ja todennäköisesti käänsivät viestin jollain käännösohjelmalla) monet klikkasivat viestin linkkiä ja täyttivät salasanansa huolellisesti huijareiden taulukkoon. Odotettavissa kuitenkin on, että lähitulevaisuudessa huijausviestit kehittyvät ja ovat vaikeampia tunnistaa.

Silti huono kieliasu on edelleen hyvä tunnistuskeino: jos viesti on kirjoitettu päin mäntyä, ei siihen välttämättä kannata vastata lähettämällä nettipankin tunnuslukuja.

Esimerkkitapaus 2: Paypal-tunnusten kalastelu

Onneksi kansainväliset huijarit harvemmin osaavat suomea uskottavasti, mutta suuressa maailmassa englanninkieliset viestit näyttävät jo hieman uskottavammilta:

Dear valued PayPal member,

It has come to our attention that your PayPal account information needs to be updated as part of our continuing commitment to protect your account and to reduce the instance of fraud on our website. If you could please take 5-10 minutes out of your online experience and update your personal records you will not run into any future problems with the online service.

However, failure to update your records will result in account suspension. Please update your records on or before August 20, 2007.

Once you have updated your account records, your PayPal session will not be interrupted and will continue as normal.


To update your PayPal records click on the following link:
http://www.paypal.com/


Thank You.
PayPal Update Team

Accounts Management As outlined in our User Agreement, PayPal will periodically send you information about site changes and enhancements.

Visit our Privacy Policy and User Agreement if you have any questions.

Copyright 1999-2007 PayPal. All rights reserved.


Viestissä oli myös Paypalin logo, lähettäjän nimi oli "Paypal Security Center" (tosin sähköpostiosoite oli service@yahoo.co.uk) Linkki oli naamioitu näyttämään siltä kuin se johtaisi Paypalin sivuille, mutta todellisuudessa käyttäjä joutui aivan muualle. Itsekin meinasin uskoa tähän, klikkasin linkkiä, mutta onneksi huomasin, että linkki ei johtanutkaan Paypalin oikeille sivuille.

On siis vain ajan kysymys, milloin suomenkielisetkin viestit näyttävät uskottavilta. Yhä useammin huijarit ovat suomalaisia ja käännösohjelmatkin kehittyvät. Pian huijausviestejä ei erota vain surkeista konekäännöksistä, joten erityinen tarkkaavaisuus on tarpeen.

Huijausten yleiset tunnusmerkit

Monet nettihuijaukset ovat olleet olemassa jo ennen Internetiä. Uuden tekniikan avulla monet perinteiset huijaustavat ovat kuitenkin muuttuneet helpommiksi, ja monet huijarit ovat siirtyneet nettiin. Nettihuijauksia edesauttaa kaksi netin piirrettä: toisaalta Internetin avulla on mahdollista tavoittaa suuria kansanjoukkoja ja Internetissä on ainakin periaatteessa mahdollista toimia anonyymisti.

Kuluttajaviraston huijaussivut (tai pikemminkin huijauksien ehkäisysivu) on hyvä lähde hankkia perustietoa nettihuijauksista. Sivulla eritellään huijausten tyyppejä: esimerkiksi lomaklubihuijaukset, valelaskut, pyramidipelit, ketjukirjeet tai sijoitushuijaukset ovat olleet jo kauan olemassa ennen nettiä. Internet on kuitenkin tehokas väline huijareiden käsissä. Tuhansia roskapostiviestejä lähettämällä tavoitetaan lukuisia pontentiaalisia uhreja. Vaikka huijaustapa olisikin sellainen, johon vain yksi tuhannesta lankeaa, niin lähettämällä sata tuhatta viestiä saadaan jo sata hyväuskoista uhria.

Internetin anonyymiys on kaksipiippuinen juttu. Toisaalta Internetissä jää aina kaikesta jälki. Siksi yksityishenkilön ei tulisi lähettää kevytmielisesti luottamuksellisia tietoja Internetiin, koska ne saattavat säilyä siellä vuosikausia. Toisaalta, ammattirikolliset osaavat peittää jälkensä. Internetissä hämärämiesten on varsin helppo esiintyä muuna kuin ovat. Nettisivuja ja sähköposteja on helppo avata tekaistuilla nimillä.

Kuluttajaviraston mukaan:

Huijauksiin liittyvät mainokset, kirjeet, verkkosivut ja puhelinkeskustelut on suunniteltu ja toteutettu huolellisesti, joten ne vaikuttavat aidoilta.
(Lähde: Kuluttajavirasto
http://www.kuluttajavirasto.fi/Page/ac6c8adf-b248-4d12-89b0-f7fd8c236e9a.aspx)


Näin ei välttämättä aina ole: varsin usein huijarit käyttävät konekäännöksiä tai ohjelmia, jotka generoivat automaattisesti sisältöä tehtaillessaan huijaussivustoja (palaamme myöhemmin siihen, miksi näin tehdään). Silti viime aikoina on yhä enemmän kiinnitetty huomiota huijausviestien, nettisivujen ja roskapostien kieli- ja ulkoasuun. Roskapostia ei välttämättä ensi silmäyksellä tunnista. Moni viesti, joka näyttää siltä, että se olisi tullut pankilta tai Paypalilta, onkin huijausviesti, jolla yritetään saada kalasteltua käyttäjätunnuksia.

Kuluttajaviraston mukaan huijauksissa käytetään tehokkaasti erilaisia psykologisia keinoja, joita ovat:


  • Vedotaan ihmisten toiveisiin nopeasta rikastumisesta, elämän kohentumisesta tai laihtumisesta

  • Vedotaan palvelun tai tuotteen laajaan suosioon

  • Vedotaan auktoriteettiin

  • Kerrotaan, että tarjous on voimassa vain hyvin lyhyen aikaa tai tuotetta on tarjolla rajoitetusti

  • Annetaan jokin nimellinen lahja, jonka jälkeen kuluttaja tuntee olevansa vastapalveluksen velkaa ja tarjouksesta kieltäytyminen on vaikeampaa.


Nyrkkisääntö on, että mikäli tarjous kuulostaa liian hyvältä ollakseen totta, niin usein se on. Kehumisen osaavat kaikki, mutta huijaukset eivät kestä kritiikkiä. Silti uskomattomatkin huijaukset usein toimivat. Orwellin romaanin "1984" moton mukaan "todellinen huijaus on niin uskomaton, ettei kukaan osaa epäillä mitään".

keskiviikko 16. huhtikuuta 2008

Nettihuijaukset

Joku kerää perhosia, toinen postimerkkejä. Minä kerään nettihuijauksia. Tähän blogiin on tarkoitus kerätä vastaan tulleita huijauksia.

Toivottavasti näistä sivuista on muillekin sekä hyötyä että hupia.

vinkit, haasteet ja uhkaukset voi lähettää osoitteella:
nettihuijaukset@gmail.com