04.02.2010 12:00

Facebook-ryhmissä viritellään ansalankoja

Viime aikoina tietoturvauutisissa on saatu lukea useista tuoreista Facebook-huijauksista. Eräässäkin luvattiin ilmainen Dell-tietokone tiettyyn Facebook-ryhmään liittyville. Nopeasti selvisi, ettei Dellillä ollut mitään asiaa ryhmän kanssa, mutta silti yli 20 000 ihmistä päätti koettaa onneaan.

Ihmismieli on siitä mielenkiintoinen järjestelmä, että onnenkantamoisia odotetaan ja niihin tarraudutaan, vaikka todennäköisyydet olisivat asiaa vastaan. Ajatellaan vaikkapa lottoa. Jos tietokoneelta kysyttäisiin, kannattaako lottoaminen, sen vastaus olisi yksiselitteisesti kielteinen. Lotossa voiton todennäköisyys on niin pieni, että useimmat ihmiset menettävät enemmän rahaa kuin voittavat. Silti ihmiset vyöryivät veikkaamaan numeroita, kun mainoksissa kiilui se seitsemän miljoonaa euroa.
Tätä samaa epärationaalista voitontavoittelua on helppo hyödyntää myös ihmisiä vastaan. Tuskin kaikki 20 000 Dell-ryhmään liittynyttä olivat varmoja, että Facebookista saisi ilmaisen tietokoneen, mutta silti jokin sai osallistumaan huijaukseen. Ehkä se oli voiton pienen pieni mahdollisuus tai sitten vain halu nähdä, mihin koko asia johtaa. Kumpikin olisi voinut olla vaaraksi tietoturvalle. Tällä kertaa oli onni onnettomuudessa, että huijaus oli tehty valistusmielessä.
Suomen Dell-ryhmä perustui suoraan Englannissa aiemmin tehtyyn huijaukseen. Ryhmässä kuvailtiin, kuinka jokin IT-alan yritys oli tilannut Delliltä suuren erän kannettavia tietokoneita, jotka eivät vastanneetkaan tilaajan vaatimuksia. Tilauksen palauttaminen Dellille ei jostain syystä onnistunut eikä koneita haluttu myydä tappiolla. Sen sijaan ne päätettiin lahjoittaa tarvitseville, jotta yritys saisi positiivista mainosta.
Jos asiaa oikein ajattelee, syyt kannettavien lahjoitukselle kuulostavat hieman liian ylimalkaisilta ja hyviltä ollakseen totta. Miksi tilauksen palauttaminen ei ole vaihtoehto? Jos koneet eivät vastaisi tilausta, virhe varmasti korjattaisiin. Toisaalta miksi kukaan tilaisi tuhansia tietokoneita ottamatta selvää, sopivatko ne tilaajan tarkoituksiin? Entä olisiko lahjoittaminen todella kannattavampi vaihtoehto kuin uusien koneiden myyminen eteenpäin? Ja ennen kaikkea, miksi yritys lahjoittaisi tietokoneet mainostusmielessä paljastamatta edes nimeään? Sehän olisi aivan mieletöntä.
Tarkkaavaisuuden ylläpitäminen on Facebookissa tärkeää, koska vastaavien huijausryhmien perustaminen on lasten leikkiä. Kuka tahansa voi milloin tahansa perustaa Facebookiin sivun, johon muut voivat liittyä. Ominaisuuden tarkoituksena on mahdollistaa samanmielisten ihmisten kokoontuminen keskustelemaan heitä kiinnostavista asioista, mutta mikään ei käytännössä estä ominaisuuden väärinkäyttöä.
Toinen hyvä esimerkki huijaamisen helppoudesta tulee Ruotsista, jossa perustettiin ryhmä Haitin maanjäristyksen uhrien auttamiseksi. Ryhmä lupasi lahjoittaa 400 000 kruunua Haitin hyväksi, jos se saa 200 000 jäsentä. Rahojen alkuperää ei paljastettu. Jäsenmäärän täytyttyä ryhmän ideaa muokattiin ja sinne ilmestyi nekrofiliaan vihjaavaa materiaalia. Tällaisten, joskus mauttomienkin, huijausten tavoitteena on lähinnä höynäyttää hyväuskoisia, mutta samalla ne todistavat, kuinka helppoa Facebookin väärinkäyttö on. Rikolliset voivat vaivattomasti onkia käyttäjiä esiin koloistaan ryhmien avulla. Esimerkiksi tietojenkalastelijan on käytännöllisempää valikoida uhrejaan ryhmästä, johon liittyy naiivisti tietoturvaansa suhtautuvia ihmisiä, kuin sattumanvaraisesti koko käyttäjäkannasta.
Käyttäjien tulisi aina epäilyttävillä sivuilla liikkuessaan kiinnittää huomiota nettiselaimensa yläosassa istuvaan osoiteriviin. Se on Internetin pyhä paikka, eikä siellä lukeva teksti ole aivan yhdentekevää. Toki osoiterivin teksti voi joskus näyttää kryptiseltä, mutta alkuosa, joka sisältää sivuston nimen, tulisi aina tarkistaa. Jo yhden kirjaimen kirjoitusvirhe voi olla merkki siitä, että auki oleva sivusto onkin lumetta ja kalastelee käyttäjän syöttämiä tietoja. Jos on pieninkään epäilys vilpistä, kannattaa palata varmuudeksi sivuston etusivulle (esim. www.facebook.com) eikä syöttää tilitietojaan mahdollisesti väärennetylle sivulle.
Myös Dell-huijauksessa osoiteriviä käytettiin hyväksi, tosin hieman toisella tavalla. Ryhmään liittyviä pyydettiin kopioimaan osoiteriville linkki, joka oli rekisteröivinään käyttäjän tietokoneen saajaksi. Todellisuudessa linkki sisälsi koodinpätkän, joka salli ryhmän rajattoman mainostuksen käyttäjän kavereille. Jos kyseessä olisi ollut vihamielinen huijaus, osoitteessa olisi yhtä hyvin voinut olla myös virus, joka alkaisi levitä uhrin ystäväpiirissä. Osoiteriville ei ikinä pidä kopioida epäilyttävää tekstiä, koska se toimii koko selaimen ohjauskeskuksena.
Facebookin jatkuvaa kytkeytymistä huijausyrityksiin ei pidä kuitenkaan säikähtää. Perimmäinen syy huijauksiin on Facebookin valtaisa suosio, joka yhdistyy monesti verrattain kokemattomiin tietokoneen käyttäjiin. Kunhan ei anna kyberajan sähköisen vilskeen sokaista silmiään, palvelu on edelleen mainio paikka yhteydenpitoon. Huijausyritykset oppii tunnistamaan järkeä käyttämällä.
Vanha amerikkalainen viisaus sanoo, että ”there ain't no such thing as a free lunch” – maailmassa ei saa mitään ilmaiseksi. Sananlaskun pitäminen mielessä on jo yksistään vahva silta, jolla räikeimmistä ansoista pääsee yli.
 

Kimmo Pukkila
 

Linkit:
 

Dell-huijauksen Facebook-ryhmä
Iltalehden artikkeli Dell-huijauksesta
Aamulehden artikkeli Haiti-huijauksesta
It-viikon artikkeli väärennetystä Facebookista