Danske Bankin ”huijausviesti” pelotti

Liian hyvää ollakseen totta

Kaikkihan me tiedämme, ettei pankkeja kiinnosta asiakkaat, vaan heidän rahansa. Tai niin luulin, kunnes pankkini lähestyi minua oikein minulle itselleni suunnatulla sähköpostilla. Olin otettu.

Siinä oli vain pari pikku ”muttaa”, jotka saivat minut vauhkoontumaan sosiaalisessa mediassa.

 

Henkilökohtainen huijausviesti

Onhan se mukavaa, että pankkikin lähestyy asiakastaan muutoinkin kuin niiden kalseiden ikkunakuorien kautta. Mutta kun kyseessä on taho, joka huolehtii pitkälti koko arkielämästämme, tulee viestien olla loppuunsa asti hiottuja. Mikään, toistan, MIKÄÄN viestinnässä ei saa luoda epäilystä, että nyt siellä on taas joku nigerianperkele koijaamassa hyväuskoista suomipoikaa sähköpostitse.

 

”Hyvä asiakkaamme

Sinulle on saapunut uusi dokumentti verkkopankin arkistoon.
Kirjaudu verkkopankkiisi osoitteessa www.danskebank.fi.

Ystävällisin terveisin
Danske Bank”

— Ote sähköpostiviestistä, joka vaikutti pankin lähettämältä

 

danske-bankin-lahettama-huijausviesti-pelotti-1
Herättääkö tämä viesti sinussa kuinka paljon luottamusta?

 

Itkupotkuraivarit

Heti ensimmäisinä sekunnin sadasosina totesin tämän viestin roskapostiksi ja olin jo sormet hiirellä hioten heittämässä viestiä roskapostilaariin.

Sitten hätkähdin. Voiko joku niinkin vakavissaan luottamusimagoaan  vaaliva taho kuin pankki todella tehdä tällaisen viestin?

Siitäkös riemu repesi. Aloin tutkailemaan viestin sisältöä tarkemmin, ja kävin ihan verkkopankissakin varmistamassa*, onko sinne todella ilmestynyt jotakin dokumenttia. Ja olihan sinne. Mitä hittoa? Tämä-ei-voi-olla-pankin-lähettämä, hoin itselleni epäuskoisena.

* Olethan aina sen verran vainoharhainen, ettet koskaan kirjaudu yhdenkään sähköpostin kautta verkkopankkeihin, -kauppoihin, Paypal-tilillesi tai mihinkään, missä liikkuu (sinun) rahaa. Verkkotunnus voidaan feikata vääräksi, jolloin rosvot vievät käyttäjätunnuksesi ja tanssivat ripaskaa sinun pennosiasi poltellessaan. Kirjaudu tällaisille sivustoille aina erikseen selaimen kautta koskematta itse sähköpostiviestiin.

 

Aina kannattaa huudella siitä ensin somessa

Olin erittäin pöyristynyt. Koin isänmaalliseksi velvollisuudekseni kanssaeläjiäni pelastaakseni lähteä vouhkaamaan asiasta ensin Facebookiin, hetkeä myöhemmin myös Twitteriin.

Päätelmäni alkoi olla nyt vahvasti se, että kyseessä on oikeasti pankin viesti. Olihan sinne sentään ilmestynyt samaan aikaan se luvattu uusi dokumenttikin arkistoihin…

 

”Kuumottavaa keskiviikkoa, foliohattuiset ystäväiseni!

Täytyy sanoa, että Danske Bank on nyt kyllä aika pahasti mokannut tiedotuksensa. Suorastaan ”epic fail”.

Oheinen viesti tuli juuri sähköpostiin. Kävin uteliaisuuttani (selaimeen osoitteen kirjoittaen) tarkistamassa, onko dokumentteja tullut. On. Mutta tapa, jolla tästä tiedotetaan on vähintäänkin epäonnistunut.

ÄLÄ KOSKAAN klikkaile yhdenkään tämän näköisen sähköpostin linkkejä, vaikka ne näyttäisivät oikeilta! Usein avautuva sivukin saattaa näyttää oikealta mutta tallentaa kirjautumistietosi. Pankit eivät ikinä kysele mitään tietojasi tai jakele linkkejä sivuilleen. Paitsi nyt. Raippaa ansaitsisivat.

Enkä vieläkään siis tiedä, onko tämä oikeasti pankilta vaiko suht tasokas feikki sattumalta samana päivänä. Etenkin html-koodivirheet viestissä herättivät epäilykseni. Erittäin epäonnistunutta. Paheksun voimakkaasti.”

— Hysteerinen varoitusviestini Olbedesignin Facebook-sivulla

 

Varmistusta epävarmuuteen

Kotvan kuluttua iski kuitenkin epävarmuus. Mistäköhän tässä nyt oikein on lopulta kyse? Kirjoitinko sittenkin hätiköiden ja aivan suotta tulenpalavan lynkkausviestin Danske Bankin tietämättä asiasta yhtikäs mitään? Jospa tämä olikin joku satunnainen huijaus, sattunut vain sopivasti ilmestymään samana päivänä kun verkkopankkiin oli ilmestynyt dokumentti, johon viestissä viitattiin?

Asiaa oli kysyttävä pankilta suoraan.

Yhteystiedot osoittivat Danske Bankin Facebook-sivulle, joten sinne sitten kävin jättämässä kysymykseni viestin aitoudesta. Vastauksen sainkin yllättävän nopeasti:

”Hei Olli!

Kyllä kyseinen sähköposti vaikuttaisi olevan meidän verkkopankkimme automaattinen ilmoitus verkkopankkiisi saapuneesta dokumentista.

Kyseisistä viestipalveluista voit sopia omasta verkkopankistasi kohdasta Omat asetukset > Sovi teksti- ja sähköpostiviesteistä.

Voit käydä tarkistamassa, onko sinulla sopimus sähköpostiviesteistä olemassa ja tarvittaessa voit tehdä asetuksiin muutoksia tai poistaa sopimuksen. Piilotan tämän viestin seinältämme, sillä se sisältää henkilökohtaisia tietojasi.

Mukavaa päivänjatkoa!
-Sira”

— Asiakaspalvelijan vastaus

 

Säikähdyksellä selvittiin, mutta…

Okei, en siis joutunut kalasteluhuijauksen uhriksi. Hienoa. Mutta sen jälkeen heräsikin sitten hämmennys, miten voi pankin viestintä olla noin lapsellisella tasolla. Jopa vaarallisen lapsellisella tasolla. Kyseessä on aivan selkeästi huijausviesti, jos viestin taustoja ei lähde tarkistamaan sen tarkemmin. Edes kyseistä sähköpostiosoitetta ei hakukone löydä sellaisenaan mistään.

Nähtävästi tämä on aivan normaali viesti heiltä asiakkailleen, koska se tunnistettiin välittömästi omaksi! Erittäin huolestuttavaa, sanoisin.

Mielestäni en juurikaan ylireagoinut, kun tästä housuni suttasin, sillä viimeksi lokakuussa 2013 Danske Bank varoitti nimissään lähetetyistä tanskankielisistä huijausviesteistä.

Pirustakos minä sen tietäisin, josko tämä vaikka olisi saman viestin suomennettu variaatio?

 

Otolliset huijausolosuhteet luodaan itse

Miten käy, kun tällaiset sähköpostiviestit koetaan vähitellen ’tavanomaiseksi pankin viestinnäksi’? Eikö silloin tarjota oivat olosuhteet huijausten masinointiin, kun asiakkaat alkavat tottumaan viesteissä esiintyviin virheisiin, huonoon suomen kieleen ja kirjautumislinkkeihin?

Mitä seuraavaksi, alkaako Veikkaus lähettelemään lottovoittoilmoituksensa sähköpostitse, kököllä englannilla höystettynä?

Vuosien tietoturvaopetus hukkaan

Jo parin vuosikymmenen ajan, ensimmäisistä Paypal-, Amazon- ja verkkopankkihuijauksista alkaen on painotettu, että mitään kirjautumislinkkejä ei koskaan klikkailla sähköpostiviesteissä. Ihan hienosti tässä vesitetään tämäkin vähäinen oppi.

 

Normikäytännöt

Yleensä kaikilla pankeilla on tapana erittäin voimakkaasti painottaa juuri näitä turvallisuusasioita tiedotuksessaan ja huijausuutisten yhteydessä. Esimerkiksi S-Pankilla on omat Verkkopankin turvallisuusohjeet, joissa sanotaan muun muassa näin:

Älä avaa sähköposteja, sähköpostin liitteitä ja/tai näissä olevia linkkejä, jos et ole varma lähettäjän luotettavuudesta tai motiiveista.

Lähettäjän luotettavuudesta ei koskaan voi olla täysin varma, sillä verkkotunnuksenkin pystyy feikkaamaan aidoksi. Jotain kertoo sekin, ettei kyseistä sähköpostiosoitetta löytynyt hakukoneella.

Aiheesta vielä kattavammin kertoo Nordea omalla selkeällä turvallisuusohjesivullaan, jossa kerrotaan tietojen kalasteluhuijauksista näin:

Mitä on phishing?

”Phishing” tarkoittaa henkilö-, kortti- tai verkkopankkien tunnistustietojen kalastelua sähköpostiviesteillä, puhelimitse ja/tai väärennetyillä verkkosivuilla. Kalastelijat käyttävät roskapostittajien tapaan eri tavoin kerättyjä sähköpostiosoitteita ja lähettävät kalasteluviestejä hyvin suurella jakelulla. He eivät tiedä minkä pankin asiakas viestin vastaanottaja on.
Kalastelijat eivät saa sähköpostiosoitteita tai muitakaan henkilötietoja pankeista. Kalastelijoiden tavoitteena on anastaa rahaa rikollisella tavalla kerätyillä tiedoilla.

 

Ja, tokihan Danske Bankillakin omansa on…

 

Älkää tehkö kuten me teemme

Erityisen tragikoomisen tapauksesta tekee se, että myös Danske Bankin omat tietoturvaohjeet neuvovat välttämään heidän omia viestejään! En tosiaan enää tiedä, pitäisikö tässä itkeä vai nauraa.

 

danske-bankin-lahettama-huijausviesti-pelotti-2
Jos pankin lähettämät viestit osuvat viiteen varoituskohtaan kymmenestä heidän omissa tietoturvaohjeissaan, ei kovin vahvasti mene.

 

Vuoropuhelua

Tästä ”pikku töppäyksestä” huolimatta täytyy kyllä sanoa, että mukavan nopeasti reagoivat näihin narinoihini. Facebookissa vastaus tuli nopsasti ja Twitterissä saimme hetkellisesti aikaan kevyttä keskusteluakin aiheesta. Tai no, ainakin minulle vakuutettiin tiedon välittyvän eteenpäin.

 

danske-bankin-lahettama-huijausviesti-pelotti-31
Miellyttävää ja nopeaa asiakaspalvelua ainakin, jos ei muuta.

 

 

Kahdeksan huijausviesti-epäkohtaa, joiden tulisi turauttaa köntsät housuihisi

Muutamia huomioita, joita tein viestiä lukiessani, ja joihin sinunkin on hyvä kiinnittää huomiota vastaavassa tilanteessa:

  1. Vastaanottajan nimi. Jos olisi oikeasti kyseessä henkilökohtainen viesti, pankki kyllä saisi edes etunimeni järjestelmästään helposti viestin alkuun. Tämäkin tosin onnistuu huijareiltakin jos tiedot on varastettu jostakin palvelusta, jossa on myös oma nimesi liitettynä tietoihisi.
  2. Kirjautumislinkit. Tämän kaltaiset luottamukselliset viestit eivät koskaan saisi sisältää ”Kirjaudu tästä”-linkkejä.
  3. Sanamuodot. Viestissä lukee ”verkkopankkiiSI”, sen sijaan että puhuttaisiin yhteisestä, molemmille tutusta pankistaMME. Tämä tosin lienee makuasia, miten se tulisi ilmaista.
  4. Koodivirheet. EI, EI, EI ja vielä kerran: EI. Yhtäkään HTML-viestipohjan virhettä ei saa näkyä.
  5. Ei kuvia. Edelliseen liittyen, yhtäkään kuvaa ei mielellään tulisi olla viestissä. Kun kuva ladataan sähköpostiohjelmassa, tieto sen luetuksi tulemisesta (latautumisesta) välittyy takaisin lähettäjän (roskaposti)järjestelmään.
  6. Omituista ilmaisua ja toistoa. Saamani viesti sisälsi jokseenkin erikoista ilmaisua, sillä samat asiat toistettiin hieman eri tavalla kahteen kertaan. Tämäkin on suht outoa. Lähinnä roskapostirobotit tekevät tämänkaltaisia virheitä.
  7. Ristiriitaiset toimintokehoitteet. Yhdessä kohdassa kielletään vastaamasta, ”Tähän viestiin ei voi vastata.”, kun sitten toisessa, geneerisessä varoittelutekstissä käsketään nimen omaan lähettämään samaan osoitteeseen huolensa jos on tullut väärälle vastaanottajalle. Mitä helvettiä?
  8. Salaamattomia viestejä pankilta. Tietenkään pankki ei pysty salaamaan peruspulliaisille lähetettäviä viestejä, koska se vaatii molemminpuolisen salaustekniikan, mutta miksi pirussa niitä sitten edes lähetetään?! En minä halua pankkini levittelevän tietojani pitkin kyliä, saati sitten toimittavan minulle viruksia, kun eivät he siitä vastuutakaan ota.

”Vaikka uskomme, ettei viestissä liitetiedostoineen ole viruksia tai muita virheitä, jotka voisivat vaikuttaa viestin vastaanottamisessa ja lukemisessa käytettävään tietokoneeseen tai IT-järjestelmään, vastaanottaja avaa viestin omalla vastuullaan. Emme vastaa mistään tämän viestin vastaanottamisesta tai käytöstä aiheutuvasta tappiosta tai vahingosta.<BR>”
— Ote Danske Bankin viestistä, jonka vastaanottaminen saattaa olla hyvinkin vaarallista. Eli omalla vastuulla.

Että mitäs jos lähettäisitte sitten jatkossa nämä viestinne tekstarina tai vaikka paperikirjeenä, mutta ei enää huijausviesteinä, kiitos.

 

EDIT 09/2014 : 

Huhuh, melkeinpä luulin tätäkin heidän lähettämäkseen:

Luojan kiitos en mennyt halpaan! Viestin sisältö ja rakenne saattaisi hyvinkin olla pankilta peräisin.
Luojan kiitos en mennyt halpaan. Pelottavia yhtäläisyyksiä aidon viestin kanssa. Tämä on kuitenkin oikea huijausviesti, ei suinkaan Danske Bankin lähettämä. Alareunassa näet mihin tekstilinkki oikeasti vie. Älä koskaan usko, mitä linkissä lukee, katso minne se vie.

 

Varmistus hetkeä myöhemmin:

Sain jälleen nopeasti vastauksen Twitterissä, jossa varmistettiin kyseessä olevan huijausviesti.
Sain jälleen nopeasti vastauksen Twitterissä, jossa varmistettiin kyseessä olevan huijausviesti. Voin jälleen nukkua yöni levollisesti.

 

 

 

Muita kirjoituksiani samasta aihepiiristä:

SEO Finland — ja sinua kusetetaan (SEO Finland 1/2),
TTVK & Piraattilahti — Epic fail

 

2 vastausta kirjoitukseen
“Danske Bankin ”huijausviesti” pelotti”

  1. Hmm… PayPal lähettelee myös linkeillä varustettuja viestejä, joihin olen reagoinut samoin! Kertoivat sieltä että kyse on heidän normaalista tiedottamisestaan. En kyllä siltikään mene PayPaliin linkkien kautta.

    1. Terve Olli!

      Minäkin olen vuosien varrella saanut PayPalilta aidon oloisia viestejä, jotka kehottavat kirjautumaan. Täytyy kyllä tunnustaa, että alkuvaiheessa meinasin haksahtaa tällaiseen, mutta jossain kohtaa sähköpostilinkin painalluksen ja ”kirjautumislomakkeen” täyttelyn välimaastossa hälytyskelloni soivat. Sen koommin en ole rahafirmojen email-linkkejä juuri klikkaillut.

      Koskaan ei selvinnyt, pelastuinko tilintyhjennykseltä vai menikö foliohattuiluksi. Niin tai näin, ainakin tilini pysyi neitseellisenä.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Huomaathan, että arvostan omalla nimelläsi jättämääsi vastausta hassunhauskojen nimimerkkien takaa huutelemista korkeammalle. Sähköpostiosoitettasi ei julkaista eikä paljasteta NSA:lle, mutta se mahdollistaa yhteydenottoni tarvittaessa — jospa kommentissasi olisi uuden jutun aihetta? Tarkistan ensimmäisen viestisi aina käsin roskapostin ja laittomuuksien varalta, mutta pääsääntöisesti kaikki kommentit kyllä julkaistaan sisällöstä tai mielipiteestä riippumatta kun vain maltat odottaa. Relax.