Kesäloma lisää yrityksiin kohdistuvien huijausten riskiä

Kesä on paitsi lomien aikaa, myös otollinen hetki huijareille. Yritysten on syytä olla erityisen tarkkana loma-aikaan, jolloin tavanomaiset rutiinit voivat muuttua ja henkilöstössä on sijaisuuksia. Myös kaupan alalla tämä tarkoittaa korostunutta valppautta kyberuhkien ja muiden tietoturvariskien varalta.

Kesälomakausi tuo yrityksissä mukanaan sijaisuuksia, muuttuvia vastuita ja poikkeuksia normaaleihin prosesseihin – samalla erilaiset rikolliset aktivoituvat. Toimitusjohtajahuijaukset, kalastelusähköpostit, valelaskut ja päivittämättömät järjestelmät muodostavat erityisen riskin yrityksissä juuri kesän aikana.

”Tietoverkkoja hyödyntävä rikollisuus on yrityksille arkipäivää, ja kesäloma-aika on omiaan lisäämään niiden uhkaa myös kaupan alalla.”, huomauttaa Kaupan liiton johtava asiantuntija Terhi Kuljukka-Rabb. ”Rikolliset eivät pidä kesätaukoa”, hän jatkaa.

Toimitusjohtajahuijaukset

Toimitusjohtajahuijaus on huijaustyyppi, jossa rikollinen esiintyy yrityksen johdon – usein toimitusjohtajan tai talousjohtajan – nimissä. Hän lähettää esimerkiksi sähköpostin, jossa pyydetään kiireellisesti siirtämään suuri rahasumma tietylle tilille, usein salassapitoon vedoten. Viestien tavoitteena on saada uhri ohittamaan normaalit tarkistusprosessit asian kiireellisyyden vuoksi.

Huijari on yleensä luonut sähköpostitilin, joka eroaa toimitusjohtajan sähköpostiosoitteesta mahdollisimman vähän. Viesti voi näyttää aidolta ja kohdistuu usein juuri niihin henkilöihin, joilla on maksun hyväksymisvaltuudet. Viestit voivat tulla sähköpostin lisäksi WhatsAppin tai puhelun kautta. Huijauksia saatetaan monesti yrittää myös pieniin yrityksiin.

Myös palkkojen ja HR-asioiden hoitajat ovat rikollisille kiinnostavia. Esimerkiksi kevään aikana on nähty useita tapauksia, joissa huijari on esiintynyt työntekijänä ja yrittänyt vaihtaa tilinumeron palkanmaksua varten.

Kalastelusähköpostit

Kalastelusähköpostit ovat huijausviestejä, joilla rikolliset yrittävät saada vastaanottajaa paljastamaan luottamuksellisia tietoja – kuten käyttäjätunnuksia, salasanoja tai maksutietoja. Viestit voivat näyttää tulevan tutulta taholta, kuten kollegalta, esimieheltä, pankilta tai viranomaiselta. Ne sisältävät usein kiireellisen kehotuksen klikata linkkiä tai avata liite, joiden kautta tietoja voidaan varastaa tai haittaohjelmia asentaa.

Valelaskut

Valelaskut ovat huijauslaskuja, jotka näyttävät aidoilta mutta perustuvat tekaistuihin tilauksiin tai palveluihin, joita ei ole koskaan tilattu. Ne voidaan lähettää suoraan yrityksen taloushallintoon tai esimerkiksi kesälomasijaiselle, joka ei tunne normaaleja toimittajia tai laskutuskäytäntöjä. Tarkoituksena on saada yritys maksamaan perusteeton lasku rikollisen tilille. Huijari saattaa myös tilata verkkokaupasta tuotteita yrityksen nimellä. Kesätuuraajienkin on tärkeää tietää, ettei perättömiä laskuja makseta.

Tekniset päivitykset

Tekniset päivitykset – eli ohjelmistojen ja järjestelmien ajan tasalla pitäminen – ovat olennainen osa yrityksen tietoturvaa. Jos päivityksiä lykätään tai ne jäävät tekemättä, järjestelmiin voi jäädä tunnettuja haavoittuvuuksia, joita rikolliset voivat hyödyntää. Loma-aikaan päivityksiä saatetaan unohtaa tai siirtää myöhemmäksi, mikä lisää riskiä. Tietoturvaa ei voi ulkoistaa yhdelle vastuuhenkilölle – myös sijaisilla tulee olla riittävä perehdytys.

Näin suojaudut huijauksilta lomakaudella

Yrityksen tietoturva on koko organisaation vastuulla – erityisesti kesällä, kun työjärjestelyt muuttuvat. Näin vähennät riskejä:

  • Selkeät ohjeet: Varmista, että koko henkilöstö – myös sijaiset – tuntee käytännöt laskujen, maksujen ja salasanojen osalta.
  • Kaksoisvarmistus: Käytä kaksinkertaista hyväksyntää suurissa maksuissa ja tilimuutoksissa. Älä hyväksy siirtoja pelkän sähköpostin perusteella.
  • Säännöllinen muistuttaminen: Lyhyet tietoiskut yleisimmistä huijauksista lisäävät valppautta.
  • Päivitykset kuntoon: Huolehdi, että kriittiset päivitykset tehdään myös loman aikana – älä siirrä niitä syksyyn!
  • Tiedä toimintamalli: Varmista, että kaikki tietävät, kenelle ilmoittaa epäilyttävistä tilanteista ja että asiaan reagoidaan heti.

Mitä jos vahinko tapahtuu?

Vaikka varautuminen olisi huolellista, huijaus voi silti onnistua. Nopealla toiminnalla voit minimoida vahingot:

  • Ilmoita tietoturvaloukkauksesta heti organisaation sisällä. Varmista, että kaikki tietävät, kenelle ilmoitukset tehdään.
  • Ota yhteys omaan IT-tukeen tai ulkoiseen tietoturvakumppaniin. Mitä nopeammin reagoidaan, sitä paremmin vahinkoja voidaan rajoittaa.
  • Tee ilmoitus Kyberturvallisuuskeskukselle, joka auttaa tilanteen selvittämisessä ja tarvittaessa viranomaisyhteistyössä. Ilmoitus tehdään helposti verkossa: kyberturvallisuuskeskus.fi/ilmoita.
  • Huijauslaskujen tai tilisiirtojen osalta ota heti yhteys pankkiin. Mitä nopeammin reagoi, sitä suurempi mahdollisuus saada varat takaisin.
  • Dokumentoi tilanne ja päivitä sisäiset käytännöt vastaavien tapausten ehkäisemiseksi tulevaisuudessa.

Lähde: Kyberturvallisuuskeskus

 Lue tarkemmin:

Kesä tuo mukanaan toimitusjohtajahuijaukset – pysy tarkkana

Kyberrikolliset eivät lomaile – Vinkit tietoturvalliseen kesään

Älä anna päivitysprosessin lomailla suvena

Lue myös: Kaupan liitto mukana verkkohuijausten vastaisessa verkostossa: Mistä apua, jos tulee huijatuksi netissä? | Kauppa

Jaa:

Ajankohtaiset uutiset sähköpostiisi

Tilaa uutiskirje »