Kyberrosvo iskee verkossa

Tietoturvarikokset aiheuttavat maailmassa arviolta 400 miljardin euron vuosittaiset vahingot. Haittaohjelmat rakennetaan piiloutumaan koneen ohjelmiston sekaan, ja ne havaitaan vasta, kun uhrin tili on tyhjennetty. Keskus­rikospoliisi käyttää nimettömiä osaajia apunaan tietomurtojen selvittämisessä.

Kankaanpääläisen pienyrityksen toimitusjohtaja avaa tietokoneensa ja siirtyy internet-selaimellaan verkkopankin sivuille. Tunnusluvun ja salasanan jälkeen näytölle ilmestyy teksti: ”pankki tekee ylimääräistä tietoturvapäivitystä, anna seuraava tunnus.”

Sama pyyntö toistuu kolme kertaa, kunnes näytölle ilmestyy liikkuva kuvio ohjelmalatauksesta. Hetken päästä verkkopankin normaalitila avautuu.

Toimitusjohtaja haukkoo henkeään. Yrityksen tilin saldo näyttää lähes nollaa.

Tilitapahtumien avulla selviää 5 478,54 euron tilisiirto Enkhtuya Boldin –nimisen henkilön englantilaiselle tilille. Kyseessä lienee keksitty nimi. Toimitusjohtaja ei tiedä kyseistä henkilöä, eikä sitä, miksi rahat olisi siirretty pois yrityksen tililtä.

Kansainvälinen yhteistyö alkaa

Muutaman viikon päästä keskusrikospoliisin (KRP) rikosylikomisario Timo Piiroinen istuu pyöreän pöydän ääressä Haagissa, Europolin kokouksessa.

KRP on tutkinut kankaanpääläisen yrityksen – ja satojen muiden pienyrittäjien ja yksityishenkilöiden – tietokoneita, ja Europolin avulla on selvinnyt, että samankaltaisia tapauksia on muuallakin maailmalla.

Itävalta on tutkinut tilisiirtoja pidempään. Kyseessä on Zeus-haittaohjelma ja sen uudet variantit. Saastuneita koneita on Yhdysvaltoja myöten.

Kokouksessa päätetään järjestää maiden välinen tutkintaryhmä JIT, eli Join Investigation team. Suomen lisäksi Itävalta, Norja, Britannia ja Belgia ilmoittavat halukkuutensa osallistua tutkintaan.

Keväällä 2013 jaetaan ensimmäiset tehtävät: britit saavat tutkia rikollisten Facebook-kommunikoinnin, koska Englannilla on Yhdysvaltoihin parhaat suhteet. Belgia saa tehtäväkseen tutkia Skypen, sillä sen pääkonttori sijaitsee Luxemburgissa. Suomen tehtäväksi jää Send Space, eräänlainen tiedonjakopalvelu, jonka avulla rikolliset ovat keskenään siirtäneet valtavan määrän tiedostoja. KRP tekee Send Spaceen mahdollisesti Suomen historian suurimman televalvontapyynnön.

Tämä on vasta esitutkinnan alku. Itävalta antaa selvitystyölle nimen ”Case ­Mozart”.

”Eero” etsii haittaohjelman

Kankaanpääläisen yrittäjän, kuten muidenkin haittaohjelmien uhrien, tietokoneet päätyivät Case Mozartin esitutkinnan alussa keskusrikospoliisin kyberkeskuksen pöydälle.

Kiintolevyt poistettiin sammuneesta koneesta, sisältö kopioitiin ja toimitettiin ulkopuolisen yrityksen analysoitavaksi. Keväällä 2013 KRP palkkasi oman ky- berosaajan, ylitarkastaja ”Eeron”. Lyhyessä ajassa Eeron osaaminen tiedettiin ympäri Suomea. Turvallisuusfirmat yrittivät saada miehen omille palkkalistoilleen, mutta hän halusi jäädä hyvien puolelle. Tai siis, valtion. KRP tarvitsee alan osaajia, mutta heitä on vaikea löytää. Haittaohjelman analysointia kun ei opeteta Suomen kouluissa.

”Koneen saastuttamisen onnistumisprosentti on kiinni asiakkaan tietokoneen käyttämistavoista. Useimmiten virus pääsee koneelle sähköpostilinkin tai saastuneen mainoksen avulla. Käyttäjä klikkaa linkkiä, ja jos konetta ei ole asianmukaisesti päivitetty, haittaohjelma pääsee haavoittuvuuden takia läpi. Virus piiloutuu muiden ohjelmien sekaan”, Eero kertoo.

Saastumisen jälkeen virus odottelee sopivaa hetkeä hyökätä. Kun uhri menee koneensa nettiselaimella verkkopankkiin, haittaohjelma herää.

”Kaikki nettisivuthan ovat oikeasti pelkkää numeroa ja tekstiä, eli lähdekoodia. Nettiselain osaa vain näyttää koodin kauniissa muodossa, internetsivuna. Haittaohjelma on taas tehty injektoimaan hyökkääjän koodia tiettyyn kohtaan pankin sivujen lähdekoodia. Siten asiakkaalle avautuu oikean verkkopankin sijaan hyökkääjän hallitsema sivu. Visuaalisesti valesivut näyttävät oikeilta.”

Uhri voi helpottaa poliisin työtä kertomalla, milloin virus on mahdollisesti hyökännyt. Harva on kuitenkaan valmis tunnustamaan toimineensa typerästi.

Jos poliisi kuitenkin tietäisi viruksen iskemisajan, se pystyttäisiin paikallistamaan ajan mukaan listaavalla työkalulla.

Asiantuntijoiden mukaan suuri kyberturvallisuuden ongelma on yritysten ja yksityisten henkilöiden tietämättömyydessä. Kyberturvallisuuden merkitystä kuulemma vähätellään ja rahan varastamista verkon kautta ei mielletä oikeaksi tappioksi.

Viranomaiset pohtivatkin, kuinka vielä nykypäivänäkin verkkohuijaukset onnistuvat. Kyberrikollisuuden uhista ja kyberturvallisuudesta on puhuttu vuosi vuodelta enemmän, mutta silti kyberrikolliset onnistuvat aikeissaan. Esimerkiksi Case Mozartissa uhreja oli 452 ja rahasiirtoja tehtiin 900 000 euron edestä.

KRP:n kyberkeskuksen rikoskomisario Sari Saranin mielestä ihan perustieto ­internetin maailmasta auttaa ymmärtämään verkon uhkia.

Kunkin oma käyttäytyminen internetissä vähentää tartuntariskiä. Erityisesti yrityssalaisuuksien kanssa ei voi olla liian varovainen. Teknologian tutkimuskeskuksen tekemässä ­KYBER-TEO-hankekokonaisuudessa (2014–2016) testattiin usean yrityksen kyberturvallisuutta. Jokaisessa tapauksessa tekniikkaa olisi voitu kehittää entistä paremmaksi.

”Sekin riittää pitkälle, jos tietokoneen sekä ohjelmien päivitykset ovat kunnossa”, KRP:n asiantuntija Eero toteaa.

Rosvoille puoli miljoonaa

Case Mozart on yksi kolmesta pankkeihin kohdistuvasta haittaohjelmakampanjasta Suomessa. Hyökkäys kohdistui lähes kaikkien suomalaispankkien asiakkaisiin.

Yli puolessa tapauksessa pankit onnistuivat pysäyttämään rahasiirrot, joten rosvojen haaviin jäi ”vain” 450 000 euroa. Maailmanlaajuisesti taloudelliset haitat nousivat hurjiin lukuihin. Täysin tarkkaa summaa ei ole kenelläkään tiedossa.

Poliisin on vaikea päästä alkuperäisten rahojen jäljille, varsinkin jos tilisiirto on tehty ulkomaille. Useimmiten, riippuen asiakkaan huolellisuudesta, pankki korvaa menetetyt rahat asiakkaalle. Kankaanpääläinen yrittäjä sai rahansa takaisin puolen vuoden päästä tapahtuneesta. Poliisin esitutkinnassa selvisi, että yrittäjän koneella oli asianmukainen tietoturvajärjestelmä, eikä hän olisi muutenkaan voinut huomata rikollisen aikeita.

Case Mozartin päätekijät eivät tosin saaneet potista kovin paljon itselleen. Arviolta vain viidennes summasta päätyi heille, sillä loput menivät palveluiden ostamiseen sekä välikäsille. Case Mozartissa poliisi tunnisti 1 100 osallista.

”Ennen kuin mitään rikollista edes tapahtuu, päätekijät valmistelevat itse hyökkäystä, ja jo siihen osallistuu kymmeniä henkilöitä”, KRP:n tutkinnanjohtaja Timo Piiroinen selventää.

Apua tarvittiin muun muassa haittaohjelmien tekemisessä sekä rahansiirroissa. Viimeiseksi mainittua kutsutaan ”Mule as a service” -palveluksi.

Rakkausmuuleille ei tuomioita

”Joka ikinen tunnistettu suomalainen muuli kuulusteltiin Case Mozartissa. Monissa länsimaissa näille kohautellaan vain olkapäitä, mutta meillä ideana on käräyttää mahdollisimman moni. Poliisille kiinnijäänyttä muulia kun ei voida käyttää enää toista kertaa”, KRP:n tutkinnanjohtaja Tero Muurman kertoo.

Niin sanottujen muulien avulla rahaa siirretään eteenpäin, samalla tavalla kuin huumebisneksessä huumausaineita. Case Mozartissa yksi muuleista oli jutun alussa mainittu englantilainen Enkhtuya Boldin. Muuli vastaanotti rahat omalle tililleen ja siirsi ne toiselle tilille.

Romanssimuulit hankittiin nettiprofiili ”Irinan” avulla. Poliisin kuulusteluissa miehet sanoivat, että Irina on heidän naisystävänsä, eivätkä uskoneet vieläkään tulleensa petetyiksi.

”Rakkausmuuleja” ei syytetty edes tuottamuksellisesta rahanpesusta, sillä katsottiin, että heillä ei ollut kykyä kyseenalaistaa feikkiprofiilia.

Työsopimusmuuleja syytettiin rahanpesusta. Syyttäjä totesi, että yleisen elämänkokemuksen avulla olisi pitänyt ymmärtää, että 500 euron suuruinen viikkopalkkalupaus pelkällä toimivalla pankkitilillä ja puhelinnumerolla olisi huijausta.

Kolmannet muulit tiesivät hyvinkin tekevänsä rikoksen, ja heitä syytettiin rahanpesusta. Heitä oli Suomessa suhteellisen vähän, koska värvääminen osoittautui vaikeaksi. Päätekijät huomasivat sen. Keskinäisessä viestittelyissä he totesivat, että suomalaisia ei kiinnosta parinsadan euron muulipalkkiot, koska sosiaalivirastosta saa ”1 000–1 500 euroa tuosta vain”, kuten he tulkitsivat.

Kansainvälistä yhteistyötä

Maailmalla kyberrikollisuudesta käytetään kahta erilaista termiä: Cyber-­depended ja cyber-enabled. Ensimmäinen tarkoittaa sitä, että tietotekniikka on ollut keskeinen asia rikoksessa, eikä sitä olisi voitu toteuttaa ilman verkkoa. Cyber-enabled tapahtuu myös verkossa, mutta rikoksen kohteena ei välttämättä ole netissä säilytettävä tieto tai raha.

Kyberrikollisuuden sisältö ja siihen liittyvät lakipykälät vaihtelevat maittain, ja jo kyberrikollisuus-termiä on hankala selittää yhteneväisesti. Esimerkiksi lapsiin kohdistuvan seksuaalisen ­väkivallan materiaalin levittäminen ei ole Suomessa kyberrikollisuutta, kun taas muissa Euroopan maissa on.

Poliisin kyberrikollisuuden tutkinnassa kansainvälinen yhteistyö on kaiken a ja o. Case Mozartin esitutkinnan alussa perustetun tutkintaryhmän ansiosta maat pystyivät vaihtamaan tietoa ilman hankalaa byrokratiaa: normaalisti oikeusapupyynnössä menee kahdesta kuukaudesta vuoteen, nyt tarvittava tieto saatiin parissa päivässä.

”Jokainen maa on tajunnut, että verkossa tapahtuvan rikollisuuden torjunnassa ei pystytä yksin tekemään mitään. Kyberrikollisuudessa ei ole maarajoja, joten näin ei voi olla tutkinnassakaan”, rikosylikomisario Timo Piiroinen sanoo.

Rikosilmoituksia liian vähän

Keskusrikospoliisin kyberkeskus on laajentunut vuodessa organisaation sisällä suhteellisen paljon: on katsottu, että verkkorikollisuuden torjuntaan kannattaa laittaa euroja.

Kehitys on huomattu myös yritysmaailmassa. Wärtsilän turvallisuusjohtaja Rauno Hammarberg ja KRP:n Piiroinen ovat hyviä tuttuja. Vielä kymmenen vuotta sitten Hammarberg valitti poliisin tietämättömyydestä ja surkeista resursseista, mutta nykyään yritysmaailma tekee poliisin kanssa tiivistä yhteistyötä. Poliisin tehottomuuden takia yritysmaailmassa ajateltiin ennen, että mitä hyötyä ilmoituksen tekemisestä on, jos poliisi ei kuitenkaan tutki kunnolla. Helpompaa oli unohtaa hyökkäys ja jatkaa bisnestä.

Poliisin näkemyksen mukaan rikosilmoituksia tehdään edelleen liian vähän. Tämä ei ole vain pienyritysten ongelma, vaan kaikilla olisi parantamisen varaa. Jokainen rikosilmoitus helpottaisi ymmärtämään kyberrikollisuuden kokonaiskuvaa, ja ennaltaehkäisy olisi helpompaa.

”Vain murto-osa tapauksista päätyy tuomiolle asti”, kyberrikollisuuteen perehtynyt syyttäjä Harri Tiesmaa toteaa.

Rikosvastuun toteutuminen pitäisi olla selkeämmin strateginen päämäärä. Siihen päästäisiin, jos kansallinen yhteistyö pyrkisi oikeusvastuun toteutumiseen entistä enemmän. Case Mozartissa kaksi päätekijää tuomittiin, mutta ainakin yksi Suomessa toiminut pääsi pälkähästä.

Mitä syvemmällä rikollisten toiminta on esimerkiksi salatussa Tor-verkossa, sitä vaikeampaa rosvojen paikallistaminen on. Ja jos heitä ei saada kiinni, ei heitä saada myöskään vastuuseen. Tiesmaa korostaa, että kyberrikollisuuden tutkinnassa nopeus olisi kullanarvoista.

Keskusrikospoliisi julkaisi pidätysmääräyksen Case Mozartin päätekijöistä vuonna 2015 – neljä vuotta tutkinnan alkamisesta. Lopulta, valtavan palapelin kasaamisen ja kansainvälisen yhteistyön avulla epäillyt paikannettiin Latviasta.

Poliisien tutkintaryhmän JITin perustaja, Eurojust (Euroopan oikeudellisen yhteistyön yksikkö) auttoi päätekijöiden paikallistamisessa ja kiinniotoissa. Oikeudenkäynti alkoi kesäkuussa 2015. Toinen päätekijöistä sai 10 kuukauden ehdollisen vankeusrangaistukseen ja toinen 6 kuukauden. Ehdollinen rangaistus tarkoittaa käytännössä vapautusta.

”Suomen oikeusjärjestelmän mukaan syytetyt ovat ensikertalaisia, vaikka he olisivat kuinka kovia rikollisia lähtömaassaan”, KRP:n Muurman toteaa.

Pienistä tuomioista huolimatta Suomen viranomaiset uskovat, että kallis ja aikaa vievä rikosprosessi on tarpeellinen: rosvoille on hyvä antaa signaali, että tänne ei kannata tulla. Ei edes verkkoa pitkin.

”Kytät kovempia kun Venäjällä”

Kyberrikollisuus kehittyy joka päivä, ja poliisilla on kova työ pysyä kehityksen perässä. KRP:n kansainvälisten yhteyksien lisäksi poliisilaitokset tekevät työtä verkossa tapahtuvan rikollisuuden selvittämiseksi. Vaikka rangaistukset eivät ole pahoja, KRP:n rikoskomisario Tero Muurman uskoo, että Suomen poliisi on onnistunut tehtävässään. Ehkä hän on oikeassa. Yksi Case Mozartin päätekijöistä viestitti rikoskumppanilleen näin:

”Suomi ei ole sama kuin Baltia. Kytät ovat täällä kovempia kuin Venäjällä, saatpa nähdä.”

Hyökkääjä vastaan tutkija

Haittaohjelman analysoinnissa on kyse hyökkääjän ja tutkijan taitojen mittelystä: onko hyökkääjä taitavampi virusten rakentamisessa vai poliisi niiden tutkimisessa? Viruksia on kaikenlaisia, muutaman kymmenen euron vahinkoja aiheuttavista sähellyksistä lähtien. KRP:n asiantuntija ”Eero” pelkää aina pahinta, kuten valtiotason hyökkäystä vaalitulosten muokkausta varten.

Jokaisella haittaohjelmalla on niin sanottu tarkistussumma. Se on numerosarja, eräänlainen sormenjälki, ja jokaisella haittaohjelmalla se on erilainen. Poliisi selvittää numeron ja tekee sillä google-haun. Useimmiten tietoturvayhtiö tai yksityinen henkilö on törmännyt samaan haittaohjelmaan jo aiemmin ja julkaissut siitä varoittavan blogikirjoituksen netissä.

Poliisin googlettamisessa on ongelma: hyökkääjä voi havaita tehtyjen hakujen perusteella, että tarkistussumma on jonkun muun tiedossa, ja päättelee, että poliisi on hänen jäljillään. Hyökkääjä voi pelästyä ja tuhota komentopalvelimensa. Toisaalta hyökkääjää ei ehkä kiinnosta, jääkö hän kiinni vai ei.

Joissakin tapauksissa poliisi katsoo viisaammaksi jättää google-haun tekemättä. Pankkihyökkäysten kaltaisissa jutuissa uhreja on kuitenkin useita, ja niissä hyökkääjä tuskin tietää kaikkien koneiden yksilöllisiä IP-osoitteita. Näin hän ei erota poliisin konetta jonkun muun koneesta.

Poliisilla on kaksi tapaa analysoida haittaohjelma: joko virus käynnistetään tai avataan tiedostona siihen tarkoitukseen soveltuvalla ohjelmalla. Useimmiten Eero tekee molemmat. Käynnistäminen tehdään ”laboratorio-olosuhteissa” eli tietokoneella, jota ei käytetä muihin tehtäviin, eikä siinä ole nettiyhteyttä. Jos hyökkääjä on osaava, virus on rakennettu haistelemaan toimintaympäristöään ja etsimään Googlea. Jos nettiä ei löydy, virus tajuaa olevansa laboratoriossa ja tuhoaa itsensä.

Tarvittaessa poliisi ottaa uuden kopion analysoitavaksi, ja laboratorio-olosuhteita muutetaan niin, että virus luulee toista konetta Googleksi. Haittaohjelman suojaukset voivat joskus koitua hyökkääjän ­turmioksi: virus ei avaudu uhrin koneessa, tai viimeistään poliisin tutkijan pöydällä viruksen liiallinen salaus paljastaa viruksen olinpaikan.

Yrityksen muistilista

• Pidä tietokoneiden päivitykset ajan ­tasalla.

• Älä kerro yrityssalaisuuksista sähköpostitse.

• Kouluta henkilöstöä kyberturvallisuudesta ja verkkorikollisuuden vaaroista.

• Hanki hyvä viruksentorjuntaohjelma ja jos mahdollista, palkkaa yritykseen asiantuntija.

• Opettele ainakin perusteet tietotekniikasta ja kyberturvallisuudesta.

• Avaa vain sellaisia liitteitä, jotka tiedät varmasti turvallisiksi ja tunnistat lähettäjän. Mikäli viesti vaikuttaa oudolta, vaikka lähettäjä on tuttu, ota yhteys puhelimitse ja kysy viestin aitoudesta.

• Erityisesti Javan tai Adobe Flashin haavoittuvuuksien takia haittaohjelmat pääsevät helposti läpi. Jos ohjelmia ei oikeasti tarvitse, ne kannattaa poistaa.

Kyberrikollisuus numeroina

• Vuonna 2015 Suomessa oli vähän alle neljäsataa tietomurtoa, tietojärjestelmän häirintää, tietoliikenteen häirintää sekä vaaran aiheuttamista tietojen käsittelyssä. Luku perustuu poliisin tietoon tulleisiin rikoksiin, joten siksi se on vain arvio todellisuudesta.

• 2008 Suomen poliisin tietoon tuli 5 tietomurtoa. Vuonna 2014 tietomurtoja ja törkeitä tietomurtoja tuli poliisin selvitettäväksi 368 kappaletta.

• Poliisin resurssien vuoksi kyberrikoksista 50 prosenttia jää selvittämättä.

• Vuosina 2014–2015 puolet petos­rikoksista tapahtui verkossa.

• Yli miljoona ihmistä joutuu maail­malla päivittäin kyber­rikollisuuden uhriksi.

• Verkossa kiertää joka päivä yli 150 000 haittaohjelmaa.

• 88 prosenttia haitallisista verkkoresursseista sijaitsevat Euroopassa ja Pohjois-Amerikassa.

Yrityksen muistilista

• Pidä tietokoneiden päivitykset ajan ­tasalla.

• Älä kerro yrityssalaisuuksista sähköpostitse.

• Kouluta henkilöstöä kyberturvallisuudesta ja verkkorikollisuuden vaaroista.

• Hanki hyvä viruksentorjuntaohjelma ja jos mahdollista, palkkaa yritykseen asiantuntija.

• Opettele ainakin perusteet tietotekniikasta ja kyberturvallisuudesta.

• Avaa vain sellaisia liitteitä, jotka tiedät varmasti turvallisiksi ja tunnistat lähettäjän. Mikäli viesti vaikuttaa oudolta, vaikka lähettäjä on tuttu, ota yhteys puhelimitse ja kysy viestin aitoudesta.

• Erityisesti Javan tai Adobe Flashin haavoittuvuuksien takia haittaohjelmat pääsevät helposti läpi. Jos ohjelmia ei oikeasti tarvitse, ne kannattaa poistaa.

Kyberrikollisuus numeroina

• Vuonna 2015 Suomessa oli vähän alle neljäsataa tietomurtoa, tietojärjestelmän häirintää, tietoliikenteen häirintää sekä vaaran aiheuttamista tietojen käsittelyssä. Luku perustuu poliisin tietoon tulleisiin rikoksiin, joten siksi se on vain arvio todellisuudesta.

• 2008 Suomen poliisin tietoon tuli 5 tietomurtoa. Vuonna 2014 tietomurtoja ja törkeitä tietomurtoja tuli poliisin selvitettäväksi 368 kappaletta.

• Poliisin resurssien vuoksi kyberrikoksista 50 prosenttia jää selvittämättä.

• Vuosina 2014–2015 puolet petos­rikoksista tapahtui verkossa.

• Yli miljoona ihmistä joutuu maail­malla päivittäin kyber­rikollisuuden uhriksi.

• Verkossa kiertää joka päivä yli 150 000 haittaohjelmaa.

• 88 prosenttia haitallisista verkkoresursseista sijaitsevat Euroopassa ja Pohjois-Amerikassa.