Keskusrikospoliisi varoittaa yrityksiä: Rikolliset huijaavat todella taitavasti
Keskusrikospoliisilla (KRP) on ollut viime aikoina tutkinnassa läjäpäin yritysten identiteettivarkauksia. Lähinnä kyse on ns. toimitusjohtajahuijauksista.
– Keskusrikospoliisilla on tutkinnassa noin 40 tällaista tapausta. Ja niitä on todellisuudessa paljon enemmän, koska yritykset eivät tee kaikista tapauksista ilmoitusta poliisille, kertoo Yrittäjäsanomille rikosylikomisario Timo Piiroinen, joka on Keskusrikospoliisin kyberrikostorjuntakeskuksen päällikkö.
Pk-yrityksiäkin uhreina
Huijauksia ja identiteettivarkauksia on tehty myös pk-yrityksiin, ei pelkästään suuriin, eivätkä huijausyritykset valitettavasti lopu tähän. KRP:n tietojen mukaan Suomeen on tullut viime viikolla lisää satoja sähköposteja, joissa yritetään toimitusjohtajahuijausta.
Niin sanottujen toimitusjohtajahuijausten lisäksi yrityksiin tulee jatkuvasti ”tavallisia huijauslaskuja” ja harhaanjohtavaa markkinointia.
Rikosylikomisario Timo Piiroisen mukaan identiteettivarkauksien tekomuotoja on monia. Rikolliset hankkivat yritysten tietoja ja selvittävät avainhenkilöt yritysten nettisivuilta ja internetin avoimista lähteistä.
He saattavat käyttää myös haittaohjelmia. Huijarit myös soittavat yrityksiin ja lopuksi koettavat saada rahat liikkeelle väärennettyjen sähköpostien avulla.
Näin identiteettivarkaus tehdään
KRP:n kyberrikoksia tutkivan yksikön rikoskomisario Jyrki Kaipanen tuntee tapausten yksityiskohdat tarkasti. Hän on tutkinnanjohtajana näissä viime aikojen ns. toimitusjohtajahuijauksissa:
– Rikolliset ovat erittäin taitavia. Olemme kuunnelleet nauhoituksia, joissa lakimieheksi esittäytyvä rikollinen ottaa yhteyttä yrityksen talousosastolle. Erittäin taitavaa sosiaalista hakkerointia ja manipulointia, komisario Kaipanen kertoo.
Hän kuvailee yleisimmän identiteettirikoksen tekotaktiikan: Lakimieheksi esittäytyvä rikollinen lähettää esimerkiksi talouspäällikölle sähköpostin, jossa on kiireellinen ja luottamuksellinen lasku esimerkiksi yrityskauppaan tai muuhun kiireelliseen ostoon liittyen. Lakimies joko soittaa perään tai toteaa meilissä, että toimitusjohtajanne on varmaankin jo puhunut tästä asiasta.
Juuri kun talousjohtaja tai yrityksen laskuja ja maksatuksia hoitava ihminen ihmettelee yhteydenottoa, hän saa samantien toimitusjohtajalta sähköpostin. Toimitusjohtaja kysyy meilissään, että onko lakimies soittanut ja pyytää kiireellisesti maksamaan laskun.
Väärennetty meili näyttää todella aidolta. Voiko aitoutta varmistaa jotenkin muutenkin kuin soittamalla toimitusjohtajalle?
– Kannattaa lähettää reply eli vastata toimitusjohtajan meiliin. Siinä näkyy ennen lähettämistä vastaanottajan oikea osoite ja siellä onkin sitten esimerkiksi gmail- tai hotmail-pääte, rikoskomisario Kaipanen neuvoo.
Komisario Kaipasen mukaan heidän tutkinnassaan olevissa tapauksissa suomalaiset yritykset ovat lyhyen ajan sisällä maksaneet noin kaksi miljoonaa rikollisille. Summat vaihtelevat tuhansista satoihin tuhansiin euroihin per tapaus.
Poliisin, pankkien ja yritysten ripeän toiminnan ansiosta lähes kaikki on saatu takaisin.
– 75000 euroa on jäänyt saamatta takaisin, Kaipanen kertoo.
Verottaja nostanut torjuntavalmiutta
Verohallinto tiedotti ja varoitti elokuun lopussa, että kymmenkunta suomalaista yritystä on joutunut identiteettivarkauksien kohteeksi. Tietojen avulla rikolliset ovat yrittäneet saada yritysten nimissä arvonlisäveron palautuksia omille tileilleen. Huijareiden jäljet johtavat pääsääntöisesti Viroon.
Huijausyritysten määrä on moninkertaistunut puolessatoista kuukaudessa:
– Olemme verohallinnossa nostaneet toimintavalmiutta, petoksen yrityksiä on ollut 50–100, kertoo kansainvälisen veropetostorjunnan asiantuntija, ylitarkastaja Juha Kuusala Yrittäjäsanomille.
Hän ei halua vielä yksilöidä tarkkaa lukumäärää, koska tutkinta on osassa alv-tapauksia kesken, ja osa niistä voi kuitenkin olla aitoja epäilyistä ja mahdollisista epäselvyyksistä.
– Olemme tehneet tietynlaiset riskiprofiilit ja pyrimme löytämään huijarit jo ennen kuin he yrittävät saada arvonlisäveron palautuksia itselleen, ylitarkastaja Kuusala sanoo.
– Verohallinto on yhteydessä epäillyn identiteettivarkauden kohteeksi joutuneisiin yrityksiin varmistaakseen onko asialla aidosti yritys itse vai petostoimija, Kuusala selventää.
Käytännössä kaikki huijausyritykset ovat tulleet Virosta.
Voivatko yritykset jotenkin suojautua tällaisia huijausyrityksiä vastaan?
–Yritysten on vaikea havaita näitä. Se yritysten kannattaa esimerkiksi tehdä, että käy tarkistamassa aika ajoin YTJ-järjestelmästä, että yrityksen tiedot ovat oikeat – ja ettei joku muu ole käynyt muuttamassa niitä, Kuusala neuvoo.
Verohallinnon ylitarkastaja Juha Kuusala kuitenkin rauhoittelee yrittäjiä:
–Näyttää siltä, olemme saaneet tämän ilmiön hallintaan toimintavalmiuden nostamisen ja jatkuvan skannauksen avulla. Teemme myös kansainvälistä yhteistyötä jatkuvasti, Kuusala sanoo.
Miten voit yrittää suojautua identiteettivarkauksilta, harhaanjohtavalta markkinoinnilta ja valelaskuilta:
1. Tarkista yrityksesi tiedot säännöllisesti YTJ-järjestelmästä, ettei kukaan ulkopuolinen ole muuttanut niitä.
2. Ohjeista henkilökuntaasi etukäteen! Jos he saavat yrityksenne johdolta omituisen sähköpostin, jossa pyydetään siirtämään rahaa tai luovuttamaan tietoja, ohjeista, että he soittavat ja tarkistavat pyynnön oikeellisuuden.
3. Kannattaa testimielessä klikata vastaa-nappulaa omituiselta vaikuttavassa sähköpostissa. Usein saapuneessa huijarisähköpostissa näkyy vastaanottajan oikealta näyttävä osoite, mutta kun viestiin koettaa vastata, siellä onkin esimerkiksi gmail- tai hotmail-pääte. Huijaussähköpostiin ei kuitenkaan kannata oikeasti vastata.
4. Jos et ole varma kenen kanssa asioit, älä sovi puhelimessa mitään. Pyydä lisätietoja sähköpostitse kirjallisena. Sano selvästi, ettet lähde mukaan mihinkään maksulliseen.
5. Älä ilmoita puhelinnumeroasi kaupparekisteriin. Puhelinnumeroa ei ole pakko ilmoittaa ja asiakkaat tuskin etsivät yhteystietojasi Kaupparekisterin tiedoista.
6. Jos sinulla on työntekijöitä, perehdytä heitä huijauslaskuista ja ohjeista tarkkuuteen laskujen maksussa. Käykää läpi myös mahdolliset toimitusjohtajahuijauksiin liittyvät tilanteet ja varautukaa niihin. Käykää yrityksen sisällä läpi myös yrityksen sopimuskumppanit, jotta henkilökunta tietää keiden kanssa toimitaan. Sopikaa myös, kun hyväksyy yrityksessä uudet sopimukset sekä yrityksen tilaukset.
7. Tarkista parhaasi mukaan, että laskussa näkyvät tilinumerot ovat oikeita.
8. Jos epäilet huijausta, identiteettivarkautta tai koet tulleesi huijatuksi, ota yhteyttä poliisiin, verottajaan tai Suomen Yrittäjien neuvontapalveluun puh. 09 229 221.
Jari Lammassaari
