Toimitusjohtajapetoksessa (CEO Fraud) rikolliset hyödyntävät toimitusjohtajan auktoriteettia saadakseen työntekijän esimerkiksi siirtämään rahaa huijareille. Osaa rikoksista on valmisteltu erittäin hyvin, ja tietoa on hankittu laajalti sekä laillisista että laittomista lähteistä.
Toimitusjohtajapetoksissa rikolliset lähettävät esimerkiksi maksuliikenteestä vastaavalle työntekijälle väärennetyn sähköpostiviestin, joka näyttää tulleen organisaation ylimmästä johdosta. Tyypillistä toimitusjohtajahuijauksissa – kuten monissa muissakin huijauksissa – on tulenpalava kiire, jolloin vastaanottaja ei välttämättä ehdi kyseenalaistaa käskyä. Tätä tuetaan urkkimalla esimerkiksi sosiaalisesta mediasta, milloin väitetty lähettäjä on vaikkapa missäkin matkoilla.
”Kansainvälisen yrityksen maksuliikennettä pyörittävä työntekijä sai keskellä yötä viestin, joka näytti siltä, että Kaukoidässä työmatkalla oleva toimitusjohtaja pyytää maksamaan pikaisesti puolen miljoonan euron tilauslaskun. Sähköpostiviestissä matkittiin jopa toimitusjohtajan kirjoitustyyliä ja maneereita siten, että teksti näytti häkellyttävän aidolta”, kuvailee poliisitarkastaja Jyrki Aho Poliisihallituksesta.
Esimerkki pohjautuu tositapaukseen, joka päättyi lopulta onnellisesti: Viestin saanut työntekijä laittoi maksun eteenpäin, mutta havahtui sitten epäilyyn, oliko maksumääräys sittenkään aito. Työntekijä tarkasti asian ja sai rahat pysäytettyä. Lopulta paljastui, että kyseessä oli pitkään valmisteltu huijausyritys. Huijareita ei koskaan saatu kiinni, mutta rahat sentään säästyivät.
Rikolliset ovat voineet saada tietoa kohteestaan esimerkiksi kaapatun sähköpostitilin kautta. Tietoa saa hankittua myös avoimista lähteistä, kuten yhteisön omien verkkosivujen tai vastuuhenkilöiden – jopa vastuuhenkilöiden puolisoiden tai tuttavien – somejulkaisujen kautta.
Kohteina kaikenlaiset yhteisöt
Huijausyrityksiä on kohdistunut kaikenkokoisten yritysten lisäksi yhdistyksiin ja järjestöihin. Aina kyse ei ole sadoista tuhansista euroista, eivätkä tapaukset aina pääty onnellisesti.
”Pienen yhdistyksen puheenjohtajan nimissä lähetettiin sähköpostiviesti yhdistyksen taloudenhoitajalle, joka maksoi 4 600 ja 4 000 euron suuruiset maksut ulkomailla olevalle pankkitilille. Viestin mukaan kyse oli tietokonepalvelun ja sivuston uudistamisesta”, Aho kertoo.
Taloudenhoitajan mukaan viestit näyttivät luotettavilta ja siltä, että puheenjohtaja oli ne lähettänyt. Sähköpostitulosteet osoittivat, että taloudenhoitajan vastaus viestiin maksujen suorittamisesta ohjautui aivan muuhun osoitteeseen. Poliisille ilmoitettiin asiasta, mutta rahoja ei koskaan saatu takaisin.
”Pienen yhdistyksen taloudelle vajaan kymppitonnin katoaminen huijareiden taskuun voi olla jopa kuolinisku”, Aho toteaa.
Aho kehottaa, että kaikissa yhteisöissä tulisi käydä ajatuksella lävitse tämän kaltaisten rikosten mahdollisuus ja sopia suojautumiskeinot.
”Näitä ovat muun muassa laskutuskäytännöistä sopiminen: miten tarkastetaan laskutuksen tai niihin liittyvien tietojen muuttumisen oikeellisuus. Saatuihin viesteihin ei saa vastata niiden kautta, vaan tarkastukset tulee tehdä henkilökohtaisesti tapaamalla, tuttujen sähköpostiosoitteiden tai puhelinnumeroiden kautta. Eli ei toimita viesteissä olevien ohjeiden ja yhteystietojen mukaan eikä avata viesteissä olevia linkkejä tai liitetiedostoja.”
Finanssiala ry on mukana Europolin Cyber scams -kampanjassa yhdessä Kyberturvallisuuskeskuksen, Keskusrikospoliisin ja Poliisihallituksen kanssa. Lue lisää pankkiturvallisuus.fi-sivustoltamme.