Itä-Suomen poliisissa on kiinnitetty huomiota viime vuosina yleistyneeseen SIM swapping -tekotapaan, jossa tietojenkalastelun uhrin, niin sanottu perinteistä SIM-korttia käyttävä, liittymä on muutettu eSIM-liittymäksi.
Huijaus alkaa pääsääntöisesti tietojenkalasteluviestillä, joka voi tulla minkä tahansa sovelluksen tai viestintäkanavan välityksellä. Kalastelun tarkoitus on saada haltuun uhrin henkilötietoja, joiden avulla rikollisen on mahdollisuus pyytää operaattorilta liittymän muuttamista eSIM-liittymäksi, varoittaa Itä-Suomen poliisilaitos.
Liittymämuutoksen jälkeen uhrin laitteessa käytössä oleva SIM-kortti lakkaa toimimasta, ja yhteys verkkoon katkeaa. Rikollinen voi ottaa kaappaamansa liittymänumeron käyttöön omassa puhelimessaan ja saa suoraan itselleen SMS-viesteinä lähetetyt vahvistuskoodit, jotka voivat liittyä esimerkiksi verkkopankissa tehtäviin toimenpiteisiin, kuten maksujen vahvistamiseen tai muutoin kaksivaiheiseen tunnistautumiseen.
Kun liittymä kaapataan ja yhteys katkeaa, uhri ei välttämättä pysty kirjautumaan omaan verkkopankkiinsa nähdäkseen, mitä on tapahtunut tai olemaan nopeasti yhteydessä pankkiinsa tunnustensa sulkemiseksi.
Osassa tapauksia uhrien tiedoilla on avattu uusia eSIM-liittymiä, joita on käytetty hyväksi uusiin uhreihin kohdistuvissa rikoksissa. Näissä tapauksissa uhrit saavat tapahtuneen usein tietoonsa vasta pitkän viiveen jälkeen operaattorin laskuttaessa avatun liittymän tai liittymien käytöstä.
eSIM on digitaalinen SIM-kortti, joka toimii sitä tukevissa laitteissa perinteisen SIM-kortin tapaisesti, mutta joka ei tarvitse erikseen puhelimeen asennettavaa korttia. eSIM-liittymä otetaan käyttöön aktivoimalla se puhelinoperaattoreilta sähköpostilla saatavalla tunnuksella. Aktivointikoodi lähetetään huijaustapauksissa rikollisen operaattorille antamaan sähköpostiosoitteeseen.
Näistä merkeistä voit tunnistaa SIM-korttihuijauksen
- Saat ilmoituksia liittymääsi koskevista palvelumuutoksista, joita et ole itse tehnyt.
- Saat ilmoituksia eSIM:n käyttöönotosta tai aktivointiin tarkoitetun QR-koodin, vaikka et ole tilannut sitä.
- Puhelinliittymä ei yhtäkkiä toimikaan omassa puhelimessa, eli et voi esimerkiksi soittaa ja vastaanottaa puheluita tai viestejä.
- Et pääse laitteeltasi sosiaalisen median tileillesi tai verkkopankkiin.
- Sosiaalisen median tileilläsi on tehty muutoksia tai tililtäsi on julkaistu sisältöä.
Jos olet joutunut huijauksen uhriksi, toimi seuraavasti:
- Ole yhteydessä teleoperaattoriisi.
- Ole yhteydessä pankkiisi.
- Tee asiasta rikosilmoitus poliisille.
- Pyri saamaan tilisi takaisin haltuusi ja vaihda salasanat.
Miten huijaukselta voi välttyä?
- Huijaukselta voi välttyä toimimalla verkossa ja keskustelualustoilla varovasti. Vältä henkilötietojesi luovuttamista. Suurin osa yleisessä käytössä olevista sovelluksista ja palveluista ei pyydä pankkitunnuksia tai henkilötunnusta. Tällaisiin pyyntöihin on aina syytä suhtautua varauksella.
- Varo tietojenkalastelusähköposteja ja tarkastele aina linkeistä avautuvien sivustojen osoitteita. Tarkkaile myös muista mahdollisesta huijauksesta varoittavia merkkejä, kuten kirjoitusvirheitä.
- Vältä eri alustojen käyttäjätilien yhdistämistä puhelinnumeroon.
- Ota käyttöösi teleoperaattorin tarjoama mahdollisuus käyttää liittymässäsi omaa salasanaa tai PIN-koodia niissä tapauksissa, kun liittymään tehdään muutoksia.
- Kaksivaiheinen tunnistautuminen on hyvä työkalu tilien suojaamiseen, mutta kaksivaiheisen tunnistautumisen sitominen puhelinliittymään voi koitua tässä huijauksessa rikollisen hyödyksi. Esimerkiksi biometriset tunnisteet, kuten sormenjälki tai kasvojentunnistus, ovat päteviä tunnistautumistapoja.
