Toimitusjohtajahuijauksia tehtailevat rikolliset ovat laajentaneet repertuaariaan. Huijauksia kohdennetaan yhä pienempiin yhdistyksiin, esimerkiksi urheiluseuroihin ja järjestöihin. Lisäksi huijausviestejä tulee usein esimerkiksi rahoitusjohtajan nimissä.
Finanssiala ry:n petos- ja talousrikostorjunnasta vastaava johtaja Risto Karhunen kertoo tapauksesta, jossa runsaan kymmenen työntekijän yhdistyksen hallituksen puheenjohtajalta tuli toimiston sähköpostiosoitteeseen pyyntö tehdä pikainen kansainvälinen tilisiirto. Vajaan kymppitonnin tilisiirron perusteena oli verkkosivujen uudistus.
”Huijausviestin lähettäjän sähköpostiosoite oli melkein – huomaa – melkein sama kuin hallituksen puheenjohtajalla. Myös viestin teksti ja allekirjoitus matkivat taidokkaasti puheenjohtajan kirjoitustyyliä”, Karhunen kertoo.
Toimiston työntekijät soittivat hallituksen puheenjohtajalle ja ihmettelivät, miksi tällaisesta uudistuksesta ei ollut sovittu etukäteen.
”Puheenjohtajalta selvisi, että viesti on huijaus. Rahat siis säästyivät toimiston erinomaisen tarkan toiminnan ansiosta”, Karhunen kehuu.
Interpolin mukaan toimitusjohtajahuijaukset aiheuttivat viime vuonna kansainvälisesti yli miljardin dollarin tappiot. Finanssiala ry on mukana Interpolin kampanjassa, jolla lisätään tietoisuutta tämän kaltaisista huijauksista.
Lähettäjärivi syyniin
Viestejä ei myöskään aina suinkaan laiteta toimitusjohtajan nimissä, vaan pienempienkin dirikoiden lähettämissä toimeksiannoissa kannattaa olla tarkkana.
”Etenkin rahoitusjohtaja on yleinen identiteettikaappauksen kohde.”
Itse asiassa Interpolin kampanjassakaan ei enää puhuta toimitusjohtajahuijauksista (CEO) vaan väärennettyjen sähköpostien avulla tehtävistä huijauksista (BEC, business email compromise).
Miten sitten tällaisilta huijauksilta voi suojautua? Pitääkö pomon jokaista sähköpostia epäillä? Ei sentään, Karhunen toppuuttelee. Riittää kun on tarkkana maksuliikenteen hoitamisessa. Kaikkiin tavallisuudesta poikkeaviin viesteihin kannattaa suhtautua varovaisesti.
”Tarkasta aina sähköpostin lähettäjärivi – siellä yleensä piilee juju: toimitusjohtajan tai rahoitusjohtajan melkein-sähköpostiosoite. Huomattavat ja tavanomaisesta poikkeavat rahansiirrot kannattaa varmistaa käskyn antajalta omalla viestillään, ei siis samaan viestiketjuun laitetulla viestillä”, Karhunen vinkkaa.
Toisinaan huijausviestit ovat erittäin uskottavia.
”Rikokset on usein valmisteltu erittäin hyvin, ja tietoa on hankittu laajalti sekä laillisista että laittomista lähteistä. Johtajan sosiaalisesta mediasta – jopa johtajan perheenjäsenten sosiaalisesta mediasta – on urkittu, milloin väitetty lähettäjä on matkoilla ja laitetaan perään vaikkapa terveiset Teheranista. Lisäksi johtajan kanssa on saatettu vaihtaa muuten vain sähköposteja, jotta on saatu opeteltua kirjoitustyyliä ja tapaa allekirjoittaa viestit”, Karhunen kertoo.