WhatsApp luopuu puhelinnumeropakosta – Kyberturvallisuuskeskus varoittaa jo väärennetyistä käyttäjätunnuksista

Uudistus parantaa yksityisyyttä, mutta samalla katoaa tuttu varoitusmerkki eli tuntematon numero. Varausvaihe on ollut auki kesäkuun lopusta, joten oma tunnus kannattaa lunastaa ennen huijareita.
Tiivistelma
WhatsApp ottaa käyttöön käyttäjätunnukset, joilla voi viestiä jakamatta puhelinnumeroa. Kyberturvallisuuskeskus varoittaa, että rikolliset voivat rekisteröidä tunnettuja nimiä jäljitteleviä tunnuksia tekeytymishuijauksiin. Suomeen ominaisuus ehtii arviolta syksyllä, mutta oman tunnuksen voi varata jo nyt.
WhatsAppissa voi jatkossa viestiä pelkällä käyttäjätunnuksella, eikä puhelinnumeroa tarvitse enää näyttää kenellekään. Ensimmäisissä maissa, muun muassa Algeriassa, Ghanassa ja Nepalissa, tunnukset otettiin käyttöön tänään 7. heinäkuuta.
Muutos parantaa yksityisyyttä ihan konkreettisesti. Numero ei enää näy ryhmissä, tapahtumissa eikä uusille keskustelukumppaneille. Tunnuksen voi siis antaa vaikkapa nettikaupan myyjälle tai harrasteryhmälle paljastamatta numeroaan.
Julkista hakemistoa ei kuitenkaan tule. Toisen tunnusta ei voi selata mistään luettelosta, vaan se pitää tietää tarkalleen. Silti Kyberturvallisuuskeskus ehti varoittaa uudistuksen varjopuolesta jo tänään puoliltapäivin, vain tunteja ensimmäisten maiden avauksen jälkeen.
Keskus kertoo, että rikolliset voivat rekisteröidä tunnuksia, jotka jäljittelevät pankkeja, viranomaisia tai tunnettuja henkilöitä hyvin pienin muutoksin. Ylimääräinen kirjain, numero o-kirjaimen tilalla tai alaviiva väärässä kohdassa riittää.
Roni Kokkola, Kyberturvallisuuskeskuksen tietoturva-asiantuntija, muistuttaa ettei ilmiö ole uusi.
– Rikolliset ovat aiemminkin hyödyntäneet organisaatioiden ja tunnettujen henkilöiden nimiä huijauksissa, Kokkola sanoo.
Kuvio etenee tutulla kaavalla. Ensin luottamus rakennetaan uskottavalla tunnuksella, ja sitten uhri ohjataan valekirjautumissivulle tai häneltä kalastellaan kertakoodeja, henkilöllisyystodistuksen kuvia ja lopulta koko tili.
Kaapatulla tilillä huijaus jatkuu uhrin omille kontakteille. Yksikin luovutettu kertakoodi voi siten poikia kymmeniä uusia uhreja.
Suomessa muutos osuu viestimeen, jota selvä enemmistö suomalaisista käyttää. Tähän asti tuntematon numero on ollut esimerkiksi Hei äiti -huijausten selkein varoitusmerkki, ja poliisi on varoittanut niistä toistuvasti.
Käyttäjätunnusten maailmassa se merkki katoaa.
Niissä huijari esiintyy lapsena, jonka puhelin on muka hajonnut, ja pyytää rahaa vieraasta numerosta. Jatkossa sama tarina voi tulla tunnukselta, joka näyttää melkein oikealta.
Mistä huijarin sitten tunnistaa, kun outoa numeroa ei enää näe?
Oman tunnuksen on voinut varata 29. kesäkuuta lähtien kohdasta Asetukset > Tili > Käyttäjänimi. Varaaminen onnistuu jo Suomessakin, vaikka itse tunnuksilla viestiminen ei täällä vielä toimi.
Tunnuksessa saa olla enintään 35 merkkiä ja vähintään yksi kirjain. Pisteet sekä alaviivat kelpaavat, www-alkuiset nimet eivät.
Tietoturvayhtiö Malwarebytes neuvoo lisäksi, ettei samaa nimeä kannata kierrättää Instagramista tai Facebookista. Eri tunnus joka alustalla vaikeuttaa profiilien yhdistelyä ja kohdennettuja huijauksia.
Käyttäjänimiavain (Username Key)
Valinnainen lisäsuoja tunnuksen rinnalle. Uusi yhteydenottaja tarvitsee sekä tunnuksen että avaimen, joten pelkkä tunnuksen tietäminen ei riitä yhteydenottoon. Olemassa olevilta kontakteilta avainta ei kysytä.
Tunnistusmerkit
Väärennetty tunnus eroaa aidosta yleensä vain yhdellä merkillä. Tyypillisimpiä temppuja ovat nolla o-kirjaimen paikalla, ylimääräinen piste ja iso kirjain keskellä nimeä. Huomaisitko itse, jos alaviiva on vaihtunut pisteeksi?
Toinen tuntomerkki on kiire. Jos pankki tai viranomainen vaatii pikaviestimessä nopeita toimia, kertakoodeja tai kuvaa henkilöllisyystodistuksesta, kyse on melko varmasti huijauksesta. Oikeissa organisaatioissa näitä asioita ei hoideta WhatsAppissa.
Kolmas merkki on yhteydenotto tyhjästä. Koska julkista hakemistoa ei ole, kannattaa pysähtyä miettimään, mistä tuntematon lähettäjä on tunnuksesi oikein saanut.
Mitä tehdä
Kytke WhatsAppin kaksivaiheinen tunnistautuminen päälle ja tarkista lähettäjän tunnus merkki merkiltä ennen vastaamista. Raha- ja tunnuspyynnöt varmistetaan aina toista kanavaa pitkin, vaikkapa soittamalla vanhaan tuttuun numeroon.
Organisaatioiden kannattaa varata tunnuksensa ajoissa ja kertoa virallisista kanavistaan asiakkaille. Muuten joku muu voi pian viestiä niiden nimissä varsin uskottavasti.
Varattu tunnus kannattaa julkaista omilla verkkosivuilla ja uutiskirjeessä, jotta väärennös erottuu heti. Sama neuvo pätee julkisuudesta tuttuihin henkilöihin.
Huijausyrityksestä voi ilmoittaa Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Jos rahaa tai tunnuksia on jo ehtinyt lähteä, tee rikosilmoitus poliisille.
Suomeen tunnukset ehtivät todennäköisesti vasta syksyllä. Toinen maa-aalto käynnistyy 20. heinäkuuta, muu maailma seuraa syyskuusta alkaen, eikä Suomen tarkkaa ajankohtaa ole tätä artikkelia kirjoitettaessa vahvistettu.
Varauksen voi silti tehdä jo nyt. Se kannattaa hoitaa ennen kuin joku muu tekee sen sinun nimelläsi.