Suojaa yrityksesi huijauksilta

Toimitusjohtajahuijauksessa rikollinen esiintyy yrityksen toimitusjohtajana tai muuna yrityksen johtoportaaseen kuuluvana henkilönä. Yrityksen edustajana esiintyvä rikollinen on yhteydessä yrityksen työntekijään ja pyytää tätä tekemään kiireellisesti tilisiirron tai muun maksutapahtuman. Maksuohjeita saa yleensä henkilö, jolla on oikeus tehdä maksuja. Huijaus voi kuitenkin kohdistua myös yrityksen muihin työntekijöihin, joka antaa maksuohjeet edelleen. 

Yhteydenotto tapahtuu tyypillisesti sähköpostilla, tekstiviestillä tai viestisovelluksen kautta. Viesti on usein muotoiltu kiireelliseksi ja luottamukselliseksi. Huijarit hyödyntävät toisinaan myös ajanjaksoja, jolloin vastuuhenkilöt ovat poissa, kuten lomakausia.  

Rikolliset hyödyntävät tekoälyä ja syväväärennöksiä huijausten toteuttamisessa. On tärkeää, että työntekijöillä on hyvä tietoturvatietoisuus ja selkeät toimintatavat epäilyttävien tilanteiden varalle. 

• Jos saat maksuohjeita sähköpostitse, älä noudata niitä varauksetta. Tarkista jotakin toista reittiä, esimerkiksi soittamalla, onko viesti aito.  

• Kysy kollegan mielipidettä asiaan, mikäli olet epävarma. 

• Kouluta yrityksen henkilöstöä säännöllisesti tunnistamaan riskit ja turvalliset työtavat. 

  Ota yritykselle käyttöön selkeät sisäiset toimintatavat sähköpostitse tuleville maksupyynnöille ja laskuille. 

• Ole aina yhteydessä pankkiin, jos olet saanut huijarilta maksuohjeet tai epäilet joutuneesi huijatuksi. Ilmoita huijausyrityksistä myös Kyberturvallisuuskeskukselle. 

Valelaskulla vaaditaan maksamaan tuote tai palvelu, jota henkilö tai yritys ei ole tilannut tai jota ei ole toimitettu. Usein valelaskut lähetetään sähköpostitse. Myyjä voi myös soittaa ja vaatia rahaa väittämällä, että yritys tai henkilö on tehnyt sopimuksen heidän kanssaan. 

Jos rikollinen pääsee käyttämään verkkolaskupalvelua, valelasku voi tulla myös verkkolaskuna. Yllättävien ja epätavallisten laskujen kanssa on aina syytä olla tarkkana ja varmistaa laskun oikeellisuus ennen maksun tekemistä. 

• Tarkista laskut aina huolellisesti. Onko yrityksesi ostanut kyseisen tuotteen tai palvelun? 
• Etsi internetistä tietoa yllättävän laskun lähettäneestä tahosta. Huijauslaskuja lähettävistä yrityksistä voi löytyä tietoa ja kokemuksia muilta. 
• Tarkista sähköpostitse saapuvan laskun lähettäjän osoite huolellisesti. 
• Varmista, että yritykselläsi on selkeät laskutuskäytännöt ja ohjeet laskujen maksamiseen ja perehdytä työntekijät noudattamaan niitä. 
• Ilmoita huijausyrityksistä pankille ja Kyberturvallisuuskeskukselle. 

Huijarit voivat murtautua yrityksen sähköpostijärjestelmään varastamalla työntekijöiden kirjautumistiedot tietojenkalasteluviestin avulla. Kirjautumistiedot saatuaan huijarit seuraavat yrityksen sähköpostiviestintää ja pyrkivät hyödyntämään yrityksen liiketoimia sekä laskutuksia huijauksen toteutuksessa. Jos sähköpostiliikenteessä lähetellään laskuja, tunkeutujat pääsevät käsiksi myös niihin. Rikolliset saavat käyttöönsä laskupohjia ja voivat lähettää muokattuja laskuja yhteistyökumppaneille. Laskun tilinumeroa muutetaan niin, että laskun maksava taho maksaa suorituksen huijareiden hallinnoimalle tilille. Koska muokatut laskut ja viestit tulevat sähköpostiosoitteesta, johon on tunkeuduttu, maksaja saattaa luottaa laskun tietoihin ilman kyseenalaistamista.

• Mikäli kyseessä on maksu tutulle taholle, tarkista onko laskun tilinumero sama kuin aiemmissa laskuissa. 
• Jos laskuttava yritys ilmoittaa muuttuneesta tilinumerosta, varmista asia toista kanavaa pitkin (esim. sähköpostilla tullut ilmoitus on hyvä varmistaa puhelinsoitolla). 
• Jos epäilet, että organisaationne järjestelmiin on päässyt tunkeutumaan ulkopuolinen, ole viipymättä yhteydessä organisaationne IT-tukeen.  
• Ilmoita huijausyrityksistä pankille ja Kyberturvallisuuskeskukselle. 

Rikolliset pyrkivät esimerkiksi sähköpostien, tekstiviestien ja puheluiden avulla saamaan haltuunsa pankkitunnuksia tai yrityksen kirjautumistietoja. Näiden tietojen avulla he voivat päästä kirjautumaan esimerkiksi yrityksen verkkopankkiin tai taloushallintajärjestelmään.  

Tietojenkalastelu tapahtuu tyypillisesti luotettavan tahon kuten pankin, viranomaisen tai yhteistyökumppanin nimissä. Huijauksissa korostuu käyttäjän manipulointi – uhri saadaan toimimaan rikollisen toivomalla tavalla esimerkiksi luomalla kiireen tuntua. Tavoitteena on saada vastaanottaja klikkaamaan linkkiä, avaamaan liite tai luovuttamaan tietoja, joita rikolliset voivat väärinkäyttää. 

• Älä koskaan kerro pankkitunnuksiasi puhelimitse. Muista, että poliisi, pankin edustaja tai muu viranomainen ei kysy pankkitunnuksiasi. 
• Älä kirjaudu pankkitunnuksillasi palveluihin odottamattomien linkkien kautta, jotka ovat tulleet sähköpostilla ja tekstiviestillä. Varmista viestin oikeellisuus esimerkiksi pankilta ennen toimimista. 
• Älä klikkaa linkkejä tai avaa liitteitä, jos viesti vaikuttaa epäilyttävältä tai luo kiireen tunnetta. Suhtaudu kriittisesti myös yllättäviin maksupyyntöihin. 
• Viestit voivat näyttää tulevan tutulta taholta. Varmista viestin oikeellisuus ja sisältö ennen reagointia. 
• Kouluta henkilöstöä tunnistamaan tietojenkalastelun merkit ja toimiaan turvallisesti eri tilanteissa.