Mikä on S-Pankki-huijaus ja miten siltä voi suojautua?

S-Pankki on suomalainen, S-ryhmään kuuluva pankki, jonka nimissä on viime aikoina lähetetty huijausviestejä. Tällaista tapahtuu myös muiden pankkien ja yritysten nimissä. S-Pankki-huijausviestit lähetetään tekstiviesteillä tai sähköpostitse, ja tyypillisesti niissä on linkki, jota vastaanottajan on tarkoitus klikata. Linkki vie huijaussivustolle, jolla pyydetään uhrilta tietoja. Tiedot liittyvät usein asiakkaan pankkitietoihin, eli uhria pyydetään syöttämään pankkitunnukset tai korttitietonsa, ja huijareiden tavoitteena on päästä käsiksi uhrin rahoihin tai myydä tietoja pimeässä verkossa.

Joissain tapauksissa tavoitteena on puolestaan haittaohjelman ujuttaminen uhrin laitteelle. Haittaohjelma saattaa esimerkiksi vakoilla käyttäjän toimia, lukita tiedostoja kiristämistä varten tai hankkia tietoja laitteelta. Puhelin hakkeroitu? Haittaohjelmia voidaan käyttää myös älypuhelinten hakkerointiin.

Miksi pankkihuijauksia tapahtuu? Suomi on vahvasti digitalisoitunut maa, jossa nettipalveluja käytetään runsaasti, ja pankkiasiatkin hoidetaan sovelluksessa tai verkkopalvelussa. Potentiaalisia uhreja on siis runsaasti verrattuna vähemmän digitalisoituneisiin maihin, mikä tekee suomalaisista pankin asiakkaista kiinnostavia uhreja kyberrikollisten näkökulmasta.

Esimerkkejä S-Pankki-huijauksesta

Hiljattain on raportoitu S-Pankin huijausviesteistä sekä huijauspuheluista. Huijausviestejä on lähetetty etenkin tekstiviestillä, mutta huijarit ovat käyttäneet myös sähköpostiakin. Viesteissä varoitetaan usein epäilyttävästä tapahtumasta tai lisätystä maksunsaajasta, mikä saa potentiaalisen uhrin huolestumaan. Ratkaisuksi tarjotaan viestissä olevan linkin klikkaamista, ja linkki vie aidon sovelluksen tai sivuston sijaan vaaralliselle tietojenkalastelusivustolle.

Erityisen vaarallisia S-Pankki-huijausviestit ovat siksi, että niiden lähettäjänä voi näkyä S-Pankki, ja viestit saattavat näkyä samassa ketjussa aitojen pankin lähettämien viestien kanssa. Tämä on teknisesti mahdollista, eikä sitä voi lakikeinoin tällä hetkellä estää.

Kuuluisin esimerkki S-Pankki-huijausviesteistä ja niiden seurauksista on vuodelta 2022. Tuolloin rikollinen sai huijattua tällaisilla viesteillä uhreilta yhteensä yli kaksi miljoonaa euroa. Viesteissä kerrottiin lukitusta pankkitilistä tai epäilyttävästä toiminnasta ja kehotettiin klikkaamaan linkkiä, joka vei pankin sivuilta vaikuttavalle huijaussivuille, jolla uhrit antoivat pankkitietojaan. Niitä käyttäen huijari teki tilisiirtoja ja korttiostoja. Uhreja oli yli 400. Huijari saatiin kiinni ja tuomittiin muun muassa maksuvälinepetoksista.

Huijauspuheluissa huijari puolestaan esittäytyy pankin työntekijäksi, ja puhelun tavoitteena on saada uhri siirtämään varoja huijarille tai antamaan tälle pankkitunnuksensa.

S-Pankin nimeä on lisäksi hyödynnetty sosiaalisessa mediassa tapahtuvissa huijauksissa. Niissä käytetään yleensä väärennettyä profiilia ja erilaisia arvontoja, joihin osallistuminen vaatii linkin klikkaamista. Kyseessä ei kuitenkaan ole aito S-Pankin järjestämä arvonta, vaan uhrit huijataan tietojenkalastelusivustoille.

Pankit, mukaan lukien S-Pankki, lähettävät toisinaan asiakkailleen viestejä. Mistä sitten erottaa aidon viestin huijausviestistä? Katso alta merkit, joista S-Pankki-huijausviesti on mahdollista tunnistaa.

Kiinnitä huomiota lähettäjän tietoihin tai soittajan numeroon

S-Pankin nimissä lähetyt huijausviestit saattavat näkyä älypuhelimessa S-Pankin lähettäminä aitojen viestien kanssa samassa viestiketjussa, kuten yllä kerrottiin. Jos kuitenkin katsot lähettäjän puhelinnumeroa, se on kuitenkin usein ulkomaalainen.

Jos taas saat puhelun henkilöltä, joka esittäytyy S-Pankin työntekijäksi, ole varuillasi, jos puhelu näkyy tulevan tuntemattomasta numerosta tai yksityisestä matkapuhelinnumerosta. Aidot puhelut soitetaan pankin asiakaspalvelun yritysnumerosta.

Jos saat aidolta vaikuttavan sähköpostin S-Pankin nimissä, katso, mikä lähettäjän sähköpostiosoite on. Huijausviesteissä saatetaan jäljitellä pankin sähköpostiosoitetta, mutta yleensä niissä on jonkinlainen paljastava ero. Joskus viestit lähetetään osoitteista, joilla ei ole mitään tekemistä pankin osoitteiden kanssa.

Jos taas kyseessä on sosiaalinen media, tarkista, että olet todella S-Pankin oikealla, varmistetulla sivulla tai profiilissa.

Yhteydenotossa pyydetään henkilökohtaisia tietoja

Pankit eivät koskaan pyydä viestissä tai puhelimitse asiakkailtaan pankkitunnuksia, joiden avulla voidaan kirjautua pankkisovellukseen tai -sivustolle. Aidossa puhelinpalvelussa pyydetään asiakasta tunnistautumaan S-mobiililla tai tunnuslukutaulukolla, eikä asiakaspalvelijalle tietoja kertomalla.

Jos taas saat viestin, jossa on linkki, sitä ei kannata klikata. Voit myös siirtää hiiren linkin ylle nähdäksesi, minne se johtaa – sekin usein paljastaa oudon osoitteen. Jos kuitenkin päädyt siirtymään huijaussivulle, älä syötä tietoja. Verkkourkintaa varten luodut sivustot voivat olla uskottavan näköisiä, mutta usein niillä on kirjoitusvirheitä, logot näyttävät oudoilta tai sisältöä on niukasti.

Viestin sävy on kiireellinen

Huijausviesteissä hyödynnetään myös psykologiaa: uhri halutaan saada uskomaan, että hänen on toimittava nopeasti, tai hänelle lähetetään viesti, joka saa hänet huolestumaan. Nopeasti ja tunteen vallassa toimiva viestin vastaanottaja haksahtaa huijaukseen todennäköisemmin, sillä hän ei välttämättä kiinnitä riittävästi huomiota hälytysmerkkeihin.

Tärkein tapa suojautua S-Pankin huijausviesteiltä on suhtautua varovaisesti kaikkiin viesteihin ja puheluihin, jotka tulevat tai vaikuttavat tulevan pankilta. Pankit eivät ota asiakkaisiin yllättäen yhteyttä kovin usein, joten tarkkana olemisesta ei ole vaivaa.

Muutoin S-Pankki-huijaukselta suojautuminen tapahtuu käytännössä samalla tavalla kuin muiltakin huijausviesteiltä ja puheluilta suojautuminen, joten alle listatut vinkit auttavat yleisesti huolehtimaan verkkoturvallisuudesta ja yksityisyydestä. Verkkolukutaito eli verkon välityksellä tapahtuvan viestinnän tulkinta oikein ja kriittisesti, on erittäin tärkeä taito – varsinkin Suomen kaltaisessa digitalisoituneessa maassa.

Muista myös huolehtia siitä, että iäkkäämmät digitaalisia palveluita käyttävät henkilöt osaavat tunnistaa mahdolliset huijaukset.

Etsi lisätietoja ennen kuin klikkaat

Saitko odottamattoman viestin, joka vaikuttaa tulleen pankiltasi? Tarkastele viestiä yllä kerrottuja tunnusmerkkejä etsien, ja hae tietoa myös internetistä. Esimerkiksi S-Pankin sivuilla ja muiden pankkien sivuilla sekä viranomaisten sivuilla on tietoa erilaisista huijausyrityksistä. Voit myös etsiä pankin puhelinnumeron pankin viralliselta, aidolta verkkosivustolta, ja kysyä, onko saamasi viesti aito.

Älä klikkaa linkkejä

Jos viesti on vähänkään epäilyttävä, älä klikkaa siinä näkyvää linkkiä. Se vie todennäköisesti huijaussivustolle, jolla kalastellaan tietoja tai jota käytetään esimerkiksi haittaohjelmien levittämiseen.

Älä vastaa epäilyttäviin yhteydenottoihin

Jos viestissä pyydetään ottamaan yhteyttä ja annetaan yhteystiedot, tai mielesi tekee vastata viestiin ja pyytää lisätietoja, älä tee niin. Huijausviesteihin vastaavat huijarit, jotka haluavat saada sinuun yhteyden manipulointitarkoituksissa.

Älä luovuta tietojasi

Älä anna pankkitunnuksiasi tai korttisi tietoja kenellekään – pankki ei koskaan pyydä niitä asiakkailtaan. Älä myöskään lähetä kuvaa tunnuslukukortista, henkilökortista tai passista, sillä kyberrikolliset saattavat myös pyytää näitä tietoja huijaustarkoituksissa.

Seuraa rahaliikennettäsi

On hyvä pitää silmällä tilitapahtumia säännöllisesti, sillä näin huomaat, jos tililtäsi siirtyy rahaa yllättävään paikkaan, tai luottokortilla on tehty maksuja, joita et tunnista. Jos havaitset jotain epäilyttävää, ota välittömästi yhteyttä pankkiin.

Näiden keinojen lisäksi on hyvä huolehtia kyberturvallisuudesta yleisemmin. Katso alta vinkit, joiden avulla käytät internetiä turvallisesti ja yksityisesti.

Tässä on muutamia vinkkejä, jotka voivat auttaa olemaan turvallisempia verkossa.

Jaa tietojasi niukasti

Ole tarkkana, mitä tietojasi kerrot internetissä tai annat erilaisille palveluille tai sivustoille. Mitä vähemmän tietoa on saatavilla, sitä paremmin pystyt hallitsemaan yksityisyyttäsi, ja mahdollisen tietovuodon sattuessa vahingot ovat pienempiä. Muista myös olla tarkkana sosiaalisen median kanssa ja tarkista yksityisyysasetuksesi.

Käytä maksukortteja vain luotettavilla sivustoilla

Verkkokauppoihin liittyy myös huijauksia. Jos siis näet tarjouksen, joka kuulostaa liian hyvältä ollakseen totta, pidä pääsi kylmänä. Houkuttelevia tarjouksia käytetään potentiaalisten uhrien saalistamisessa huijaussivustoille tai väärennettyihin verkkokauppoihin, joihin ei todellakaan ole syytä kirjoittaa luottokortin tietoja. Mistä luotettavan sivuston sitten tunnistaa? Valitse yleisesti käytettyjä, tunnettuja verkkokauppoja, etsi arvioita ja käyttäjien kokemuksia ja tarkista osoitepalkista, että olet todella haluamasi verkkokaupan sivustolla huijaussivuston sijaan.

Pidä sovellukset päivitettyinä

Käytät arjessasi pankkisovelluksen lisäksi luultavasti monia muitakin sovelluksia. Ne on syytä päivittää aina, kun uusi versio on saatavilla. Se takaa, että käytössäsi on paitsi uusin ja kätevin myös turvallisin versio. Päivityksissä nimittäin korjataan erilaisia haavoittuvuuksia, joita hakkerit voivat hyödyntää.

Käytä vahvoja salasanoja

Salasanojen merkitystä ei ole syytä aliarvioida, vaan vahvoihin salasanoihin kannattaa panostaa. Heikot salasanat ovat lyhyitä ja helppoja arvata, ja vahvat salasanat ovat puolestaan pitkiä ja käytännössä mahdottomia arvata tai murtaa. Vahvojen salasanojen luomiseen kannattaa käyttää salasanaohjelmaa, joka myös säilyttää salasanat turvallisesti. Älä käytä samoja salasanoja eri palveluihin, sillä se voi altistaa useita tilejä yhden tietovuodon sattuessa.

Hyödynnä kaksivaiheista tunnistautumista

Tilit kannattaa suojata myös kaksivaiheisella tunnistautumisella, jolloin tilisi suojaus ei ole ainoastaan salasanan varassa. Tämä tarkoittaa sitä, että jos tilillesi pyritään kirjautumaan tuntemattomalta laitteelta, saat ilmoituksen. Näin huomaat heti, jos tilillesi pyritään murtautumaan, eikä se onnistu, sillä tilille pääsee vain kahdessa vaiheessa tunnistautumalla.

Käytä VPN-palvelua

VPN on lyhenne sanoista virtual private network, eli se on virtuaalinen erillisverkko. Laadukas VPN-palvelu suojaa yksityisyyttä tehokkaasti: se salaa verkkoliikenteesi ja suojaa IP-osoitteesi, joten liikennettäsi ei voida seurata ja fyysinen sijaintisikin pysyy piilossa mainostajilta ja muilta uteliailta tahoilta. Laadukkaat VPN-palvelut tarjoavat myös muita turvallisuusominaisuuksia, joista on hyötyä erityisesti pankkihuijauksilta ja verkkourkinnalta suojautumisessa: NordVPN:n Threat Protection -ominaisuus estää siirtymisen vaarallisille sivustoille ja pysäyttää esimerkiksi haittaohjelmia sisältävien tiedostojen lataamisen.

Mitä teen, jos olen klikannut huijausviestin linkkiä?

Jos olet ainoastaan klikannut linkkiä, mutta et ole kirjoittanut sivustolle tietojasi tai ladannut tiedostoa, olet luultavasti turvassa. Älä vastaa viestiin, vaan poista se. Jos taas olet ladannut tiedoston, tarkista laitteesi virusten ja haittaohjelmien varalta. Jos olet kirjoittanut huijaussivustolle esimerkiksi pankkisovelluksen tunnuksesi tai luottokorttisi tiedot, ota välittömästi yhteyttä pankkiisi ja kerro tapahtuneesta.

Miten S-Pankki-huijauksesta voi ilmoittaa?

Jos olet joutunut huijatuksi, ota yhteyttä poliisiin. Jos taas saat huijausviestin tai -puhelun, ota yhteyttä S-Pankkiin ja kerro heille asiasta. Huijausviesteistä voi ottaa kuvakaappauksen, joka lähetetään sähköpostiosoitteeseen turvallisuus@s-pankki.fi. Näin pankki pysyy ajan tasalla siitä, minkälaisia huijauksia sen nimissä tapahtuu, ja osaa ilmoittaa sekä asiakkaille että asianmukaisille viranomaisille tapahtumista.

Onko S-Pankin käyttö turvallista?

S-Pankin sivuilla kerrotaan, että verkkopankki on asianmukaisesti suojattu, ja onkin hyvä pitää mielessä, että viestihuijauksissa ei hyödynnetä S-Pankin haavoittuvuuksia, vaan käyttäjiä on huijattu luovuttamaan tietojaan. On kuitenkin tärkeää suojata omat laitteet VPN-palvelulla, etenkin julkisia Wi-Fi-verkkoja käytettäessä, jotta hakkerit eivät pääse seuraamaan toimiasi verkossa.

Vuonna 2022 S-Pankin järjestelmähäiriö mahdollisti sen, että pankin asiakkaat pääsivät katsomaan toisten asiakkaiden tietoja, ja tätä tilannetta käytettiin myös rikollisiin tarkoituksiin. Haavoittuvuutta hyödyntänyt rikolliskaksikko suoritti yli 50 maksuvälinepetosta. Tämä haavoittuvuus on sittemmin korjattu, ja rikolliset saatiin kiinni. Juuri tästä syystä noihin aikoihin alkoi liikkua erityisen paljon S-Pankki-huijausviestejä, sillä pankin asiakkaat olivat jo valmiiksi huolissaan, ja siksi erityisen alttiita erilaisille kiireisiä toimia vaativille viesteille.