Siirry pääsisältöön

Artikkeli

Pankkihuijaukset leviävät WhatsAppin välityksellä

Amit Tambe
Amit Tambe
|
18.2.2025
|
4 min lukuaika

Huijaus voi tapahtua missä tahansa, kunhan rikolliset onnistuvat tavoittamaan kohteensa. F‑Secure on havainnut erään erityisesti Intiassa vauhdilla yleistyvän huijauksen. Vaikka kyseinen huijaus ei ole vielä levinnyt Suomeen asti, kuka tahansa voi joutua saman­laisen hyökkäyksen kohteeksi asuin­paikasta riippumatta, sillä nyky­aikaiset huijaukset leviävät muihin maihin nopeasti.

Tämä huijaus alkaa WhatsAppiin saapuvalla viestillä, jossa kohteeksi valikoitunutta henkilöä pyydetään lataamaan haitallinen Android-ohjelma. Viestin lähettäjä väittää edustavansa tunnettua pankkia.

Kuvakaappaus WhatsApp-keskustelusta Axis Bankin edustajana esiintyvän huijarin kanssa.

Kuva 1. Huijausviesti painostaa vastaanottajaa toimimaan nopeasti. (Kuva julkaistu alunperin LinkedInissä.)

Kuvakaappaus toisesta WhatsApp-keskustelusta huijarin kanssa, joka esittää edustavansa ”axis bankia”.

Kuva 2. Toinen, F‑Securen haltuunsa saama huijausviesti, joka vaatii vastaanottajaa toimimaan nopeasti.

Huijauksen kohde saa ensin Whats­App-viestin, joka korostaa tilanteen kiireellisyyttä ja pelottelee vastaan­ottajaa pankki­tilin sulkemisella. Huijarit yrittävät saada uhrin asentamaan viestin liitteenä olevan APK-tiedoston ja väittävät sen olevan välttämätön käyttäjän tietojen päivittämiseksi.

APK on yleinen Android-käyttö­järjestelmässä käytetty tiedosto­muoto, mutta tässä tapauksessa tiedosto on haitta­ohjelman tartuttama. Hyökkääjä toivoo, että huijauksen kohde asentaa tartutetun APK-liite­tiedoston, jolloin haitta­ohjelma pääsee tunkeutumaan laitteeseen.

Miten haittaohjelma toimii?

Mitä tapahtuu seuraavaksi, kun huijauksen kohde on ladannut haitta­ohjelman? Saimme haltuumme Whats­App-viestin lähteeltämme (kuvassa 2) ja analysoimme viestin liitteenä tulleen APK-tiedoston. Havaitsimme seuraavaa:

Haitta­ohjelman asentamisen jälkeen väärennetty pankki­sovellus pyytää käyttäjältä lupaa lukea ja lähettää teksti­viestejä (kuva 3). Tämä saattaa tuntua harmittomalta, mutta käyttö­lupien saaminen on tärkeä osa haitta­ohjelman toiminta­logiikkaa. Selitämme myöhemmin, miksi huijaus tarvitsee onnistuakseen käyttäjän myöntämät luvat.

Kuvakaappaus väärennetystä Axis Bank -sovelluksesta, jossa pyydetään lupaa lähettää ja katsella tekstiviestejä.

Kuva 3. Haittaohjelma pyytää luvan lähettää ja lukea tekstiviestejä.

Saatuaan tarvittavat luvat, sovellus ohjaa käyttäjän seuraavaan vaiheeseen, jossa häntä pyydetään syöttämään henkilö­kohtaisia tietoja useassa eri näkymässä (kuva 4). Käyttäjältä pyydettäviin tietoihin kuuluvat esi­merkiksi puhelin­numero, henkilö­kohtaisen tilin numero, syntymä­päivä sekä maksu­kortin numero.

Kolme kuvakaappausta väärennetystä Axis Bank -sovelluksesta, jolla kerätään käyttäjän henkilökohtaisia tietoja.

Kuva 4. Sovellus ohjaa käyttäjän läpi erilaisista näkymistä, joissa häntä pyydetään syöttämään henkilökohtaisia tietoja.

Huijauksen kohde syöttää kaikki pyydetyt tiedot ja saa eteensä väärennetyn vahvistus­viestin (kuva 5), jonka mukaan vaaditut tiedot on tallennettu. Todellisuudessa käyttäjän pankki ei saa mitään hänen lähettämistään tiedoista.

Kuvakaappaus väärennetystä Axis Bank -sovelluksesta, jossa näkyy iso valintamerkki ja ”Success” vihreällä.

Kuva 5. Käyttäjän näkemä ”vahvistusviesti”.

Kuvakaappaus väärennetystä Axis Bank -sovelluksesta, jossa näkyy huonosti kirjoitettu ”Tärkeä huomautus”, jossa kehotetaan olemaan poistamatta tai poistamatta sovellusta.

Kuva 6. Vaihtoehtoinen ”vahvistusviesti”, jossa käyttäjää neuvotaan olemaan poistamatta pankkisovellusta.

Muissa analysoimissamme haitta­ohjelma­näytteissä viimeinen näkymä sisältää ”vahvistus­viestin” sekä tekstin, jossa käyttäjää kehotetaan olemaan poistamatta sovellusta. Tämä johtuu siitä, että kyseinen ”pankki­sovellus” ei ole saatavilla Play Storessa (kuva 6).

Mitä käyttäjän laitteella oikeasti tapahtuu?

Huijauksen kohde ei välttämättä osaa epäillä mitään erikoista olevan meneillään. Todellisuudessa haitta­sovellus on päässyt luvatta käsiksi uhrin pankki­tiliin. Seuraavaksi kerromme, kuinka tämä ovela pankki­huijaus vaarantaa uhrin arvokkaita tietoja ja pankki­tilin kulissien takana:

Sovellus varastaa uhrin tietoja

Kuten näimme yllä, vale­pankki­sovellus väittää tarvitsevansa käyttäjän tietoja pankki­tilin päivittämiseksi. Todellisuudessa huijarien sovellus kerää uhrin tietoja hänen huomaamattaan. Uhrin toimittamat tiedot siirtyvät joko pilvi­tieto­kantaan tai hyökkääjän hallitsemalle palvelimelle.

Kuvakaappaus sovelluksen koodista, jossa lomakkeen täyttämisen kannalta olennaiset rivit on korostettu keltaisella.

Kuva 7. Uhrin tiedot latautuvat huijarien tietokantaan.

Sovellus ohittaa monivaiheisen tunnistautumisen

Huijarien käyttämän haitta­ohjelman tärkein tehtävä on varastaa uhrin pankki­tunnukset. Saatuaan tarvittavat tiedot huijarit ovat askeleen lähempänä pankki­tilin kaappaamista. Heidän on kuitenkin ensin kirjauduttava uhrin pankki­tilille.

Pankki lähettää kerta­käyttöisen sala­sanan käyttäjän puhelimeen aina kirjautumisen yhteydessä, jos käyttäjä on aktivoinut kaksi­vaiheisen tunnistautumisen. Huijarit eivät siis pääse uhrinsa tilille pelkästään pankki­tunnusten avulla — he tarvitsevat myös uhrin puhelimeen lähetetyn kerta­käyttöisen salasanan.

Tätä varten huijarin on vakuutettava uhri myöntämään tarvittavat käyttö­oikeudet. Muistatko vielä vale­sovelluksen aikaisemmin pyytämän luvan lähettää ja lukea teksti­viestejä (kuva 3)? Luvan avulla huijari pystyy kaappaamaan pankin lähettämän kerta­käyttöisen salasanan.

Haittaohjelma tunnistaa automaattisesti uhrin puhelimeen lähetetyn sala­sanan ja ohjaa sen huijarin määrittämään puhelin­numeroon. Sala­sanan avulla huijari pystyy läpäisemään kaksi­vaiheisen tunnistautumisen ja kirjautumaan uhrin tilille.

Kuvakaappaus sovelluskoodista, joka käsittelee monitekijätodennuksen ohittamista.

Kuva 8. Tämä pätkä koodia ohjaa tekstiviestit hyökkääjän puhelimeen.

Yhteenveto: Varo pankin nimissä tapahtuvia huijauksia

Tämän huijauksen on havaittu kohdistuvan intialaisiin pankkeihin, mutta huijarit voivat käyttää saman­laista taktiikkaa myös muualla. Tämän lisäksi huijarit voivat esiintyä myös muina luotettavina palveluina, ei ainoastaan pankkeina.

WhatsAppilla on laaja käyttäjä­kunta, minkä ansiosta myös huijareiden uhrit voivat asua eri puolilla maa­ilmaa. Suosittelemme toimimaan varovaisesti, jos joku lähettää sinulle Whats­Appissa tuntemattomia linkkejä tai liite­tiedostoja. Muista myös, että pankit eivät koskaan kysele asiakkaidensa pankki­tunnuksia.

Rahasi ja tietosi pysyvät turvassa, kun olet valppaana ja tunnistat petoksen merkit.

  • devices secured illustration

    Suojaa kaikki, mitä teet netissä

    Suojaudu helposti yhdellä kattavalla sovelluksella

    Suojaudu nyt

    • Sivun osiot

    Tässä artikkelissa:

    Miten haittaohjelma toimii?Mitä käyttäjän laitteella oikeasti tapahtuu?Yhteenveto: Varo pankin nimissä tapahtuvia huijauksia
    total app on different devices

    Suojaa kaikki toimesi verkossa F‑Securen avulla

    Voit suojautua verkossa helposti yhdellä kaikenkattavalla sovelluksella. Vältä verkko­huijaukset, lataa tiedostoja ja sovelluksia turvallisesti, suojaa rahasi verkossa ja paljon muuta.

    • Palkittu virustorjunta ja suojaus haittaohjelmia vastaan

    • Verkkoselailun, pankkiasioiden ja ostosten suojaus

    • 24/7 verkkoidentiteetin ja tietomurtojen valvonta

    • Rajoittamaton VPN-palvelu yksityisyytesi turvaamiseksi

    • Salasanahallinta yksityisten tietojen suojauksella

    Lue lisää Totalista