Selvitimme, miten helppoa verkkokaupoista on tilata tavaraa vääriin käsiin joutuneilla henkilötiedoilla.

Keväällä 2016 vantaalainen varastomies Daniil Andrejanov käveli kauppaan noutamaan pakettia, jota hän ei ollut koskaan tilannut.

Saapumisilmoitus oli tullut jo edellisenä päivänä, mutta Andrejanov oli epäröinyt. Hän piti koko juttua erehdyksenä.

Kaupassa häntä odotti toinenkin yllätys. Palvelupisteen työntekijä kertoi, että paketti oli juuri noudettu – joku oli vienyt sen vain minuuttia aiemmin.

Hakija oli ollut hermostuneen oloinen nuorukainen, jonka Andrejanov oli kohdannut käytävällä.

– Ja minä olin kävellyt parin metrin päästä hänen ohitseen! Andrejanov sanoo nyt.

– Aluksi aioin juosta perään. Mutta sitten ajattelin, että äh.

Outo saapumisilmoitus imaisi Andrejanovin mukaan tilauspetosten sarjaan, joka pyöri varastettujen henkilötietojen turvin. Pelkästään yhdessä jutun haarassa oli yli 60 uhria. Kutsumme rikosjuttua tässä nimellä Vyyhti – palaamme siihen usein.

Vyyhdin kaltaiset rikossarjat ovat mahdollisia, koska osa verkkokaupoista sallii tunnistautumisen pelkällä nimellä, osoitteella ja henkilötunnuksella.

Tässä jutussa testaamme, miltä suosittujen verkkokauppojen tietoturva näyttää varastettuja henkilöllisyyksiä käyttävien rikollisten näkökulmasta. Kerromme myös, mitkä yritykset ovat onnistuneet torjumaan huijauksia hyvin ja mitkä eivät.

Maalina usein ruotsalaiset luottofirmat

Kun Suomessa joku tekee tilauspetoksen toisen nimissä, on kuviossa usein mukana joko Klarna Bank tai Qliro. Nämä ruotsalaiset yhtiöt tarjoavat maksupalveluja, joiden turvin moni suomalainenkin ostaa verkossa luotolla.

Pelkästään Vyyhdissä Klarnaan ja Qliroon kohdistui yhteensä lähes 90 rikosta reilun puolen vuoden aikana. Ne ovat suosittuja kohteita markkina-asemansa vuoksi, mutta myös siksi, että niiden avulla voi ostaa luotolla ilman vahvaa tunnistautumista.

Klarna on vastannut kritiikkiin vetoamalla sen käyttämään "edistykselliseen petoksen merkkejä tunnistavaan teknologiaan, joka huomioi useita datapisteitä". Näin puolestaan Qliro:

– Jos Qliro epäilee petosta, tilauksen käsittely keskeytetään, kunnes koulutettu henkilökunta on tarkastanut tilauksen.

Jos kaupat vaatisivat vahvan tunnistamisen, tilausten joukosta ei tarvitsisi haravoida epäilyttäviä tekijöitä. Elias Aarnio

Toimiiko petosten seulonta vai onko kyse valkopesusta? Päätimme testata itse.

Kokeilemme, vieläkö tavaraa pystyy tilaamaan pelkällä henkilötunnuksella, nimellä ja osoitteella. Valitsemme kohteeksi Samsungin, vaatekauppa Nelly.comin ja kenkäkauppa Footwayn. Nämä liikkeet myyvät osamaksulla Klarnan tai Qliron kautta ja olivat myös Vyyhdissä useiden petosten kohteena.

Käytämme testiin oikeita henkilötietoja, mutta annamme verkkokaupoille syötiksi vihjeitä epäilyttävästä toiminnasta: "tilaajien" puhelinnumerot ja sähköpostiosoitteet vaihtelevat jatkuvasti, samoin ip-osoitteet ja sijainnit, joihin tilaukset tekevä netinkäyttäjä paikantuu.

Tällaisten poikkeavuuksien pitäisi mielestämme saada verkkokaupat vaatimaan luotolla ostavalta asiakkaalta lisätodisteita henkilöllisyydestään. Jos tilaukset kuitenkin menevät läpi, palautamme ne saman tien takaisin.

Testi alkaa

Ensiksi tilaamme kengät Pohjoismaiden suurimpana kenkien nettikauppana pidetystä Footwaystä. Yhtiö käyttää luottomaksamisen kumppaninaan Klarnaa.

Ostoskoriin päätyvät uudet talvikengät. Pankkitunnuksia tai mobiilivarmennetta ei kysellä, heikko tunnistautuminen riittää.

"Jippii, tilauksesi on pakattu. Mikäli maksat laskulla, tulet saamaan meiliä Klarnalta. Halein, Footway."

Pyrimme tilaamaan tuotteen pakettiautomaattiin. Se on rikollisen näkökulmasta varmin vaihtoehto.

Myös Postin palvelupisteestä pystyy noutamaan lähetyksiä. Se tarkoittaa kuitenkin yhtä tai kahta rikosnimikettä lisää, kun on käytettävä väärää valtakirjaa tai vääriä henkilöpapereita.

Identiteettivarkauden uhri Daniil Andrejanov on ehdottanut Postille muutosta, jolla tilauspetoksista tehtäisiin hankalampaa.

– Ehdotin, että asiakas voisi valita, että hänelle lähetettyjä paketteja ei saisi noutaa valtakirjalla. Valitettavasti se ei mennyt läpi.

Andrejanov on nähnyt väärennetyn valtakirjan, jota rikolliset käyttivät hänen nimissään tilatun lähetyksen noutamiseen. Se oli kirjoitettu hänen mielestään "kamalalla käsialalla".

Aluksi aioin juosta perään. Mutta sitten ajattelin, että äh. Daniil Andrejanov

Footwayn paketin jälkeen seuraava tilaus lähtee Qliron kanssa samaan konserniin kuuluvaan nettivaatekauppaan Nelly.comiin. Myös siellä tilaus näyttää menevän läpi ilman hankaluuksia.

Alun tulokset pakottavat miettimään, mihin petosten estäminen perustuu.

Seuraavaksi kokeilemme tehdä vieläkin epäilyttävämmän tilauksen.

Näin yritykset ovat torjuneet petoksia

Vaikka rikollisuus vähenee, petokset ja varastetun henkilöllisyyden avulla tehtävät rikokset lisääntyvät. Sekä petosten että identiteettivarkauksien määrä nousi vuonna 2019 ennätyslukemiin. Petoksia tehtiin yli 13 000 ja identiteettivarkauksia yli 4 000.

Nettipetokset ovat yleensä oheisrikollisuutta, jolla rahoitetaan muuta elämää. Esimerkiksi Vyyhdissä taustalla oli huumeongelmia, eräässä toisessa laajassa petossarjassa uhkapeliriippuvuus.

Tätä juttua varten kahlasimme läpi lähes neljäsataa Helsingin käräjäoikeuden käsittelemää rikossyytettä, joissa rikollisten työkaluina olivat väärät henkilötiedot ja luotto-ostokset nettikaupoissa.

Ne kertovat suoraa kieltä siitä, miten helppoa tavaran hankkiminen toisen nimissä on ollut – ja mitkä yritykset ovat useimmin olleet rikollisten välikappaleina.

Vuonna 2017 paljastunut Vyyhti on tästä hyvä esimerkki. Siinä yrityksiin kohdistui yhteensä 200 petosta tai petoksen yritystä. Lähes kaikissa oli käytetty vääriin käsiin joutuneita nimiä, osoitteita ja henkilötunnuksia.

Tiedot olivat peräisin vuoden 2011 Hetudump-vuodosta, jossa 16 000 ihmisen henkilötiedot päätyivät jakoon ensin Ylilaudalle ja myöhemmin Tor-verkkoon. Vastaamon murtoon asti se oli Suomen historian pahin tietosuojapommi.

Alla olevasta grafiikasta näet, miten hyvällä tai huonolla menestyksellä huijarit onnistuivat hyödyntämään verkkokauppoja Vyyhti-rikossarjassa.

Klarnan ja Qliron ohella myös verkkokauppoja voi pitää vastuussa ongelmasta. Esimerkiksi Samsung antoi tilata rikossarjan aikana peräti 15 puhelinta väärillä tiedoilla, yhteensä 13 335 euron arvosta.

Hobby Hall ja sen kumppani Resurs Bank puolestaan lähettivät rikollisille 3 727 euron arvosta tietokoneita ja puhelimia ilman, että yksikään petosyritys olisi epäonnistunut.

Samaan aikaan esimerkiksi Teliaan kohdistui rikossarjassa 11 petoksen yritystä, mutta niistä vain yksi meni läpi.

"Pöljiähän ne on"

Tietoturva-asiantuntijoiden mukaan keskeinen ongelma on vahvan tunnistautumisen puute. Osa verkkokaupoista painottaa ostamisen helppoutta turvallisuuden kustannuksella.

– Pöljiähän ne on, sanoo identiteettivarkauden uhri Pasi.

Hän joutui osaksi Vyyhtiä, kun hänelle alkoi tulla outoja saapumisilmoituksia ja lopulta luottoyhtiön lasku. Pasi esiintyy tässä keksityllä nimellä, koska hän ei ole suojautunut uusilta petoksilta esimerkiksi omaehtoisella luottokiellolla. Hänen ja monien muiden tietovuotojen uhrien tiedot saattavat edelleen olla saatavilla pimeän verkon palstoilla.

Identiteettivarkauden uhri ei yleensä joudu maksamaan hänen nimissään tehtyjä tilauksia. Sen sijaan uhrin tehtäväksi jää asioiden selvittely luottoyhtiön ja verkkokaupan kanssa sekä yleensä myös omaehtoisen luottokiellon hankkiminen. Se voi olla raskasta: eräs Vyyhdin uhriksi joutunut pienten lasten äiti kertoi melkein romahtaneensa, kun outoja laskuja alkoi tulla.

Testi päättyy

Muutama päivä testin aloittamisen jälkeen puhelin piippaa. Ensimmäinen Footwaystä tilattu paketti odottaa automaatissa, koodi on "huijarin" puhelimessa.

Myös kolme Nelly.comista tilattua pakettia tulevat perille. Niistä jokainen on tilattu eri sijainnista ja eri ip-osoitteista ja myös "tilaajan" yhteystiedot ovat vaihtuneet joka kerta.

Sen sijaan tilaukset Samsungin verkkokauppaan eivät mene läpi. Sivusto ei salli asiointia salatusta sijainnista. Ja vaikka paljastamme sijainnin, kauppa vaatii vahvan tunnistautumisen.

Todennäköisesti Samsungin luottokumppani Klarna on alkanut epäillä tilauksiamme. Kysymys Klarnaan vahvistaa epäilyn: yhtiö on parantanut suojaustaan viime vuosina. Se on alkanut vaatia vahvaa tunnistautumista tiettyjen ostosten yhteydessä – ei kuitenkaan kaikkien.

Muutos on huono asia vain huijarin kannalta: rehellinen asiakas voi edelleen tunnistautua helposti pankkitunnuksilla.

Testin perusteella tilauspetoksen tekijöiden "suosikkikaupat" edelleen sallivat heikosti tunnistautuneen asiakkaan luotto-ostokset. Ne vaikuttavat kuitenkin hankaloittaneen tuotteiden tilaamista luotolla pelkällä henkilötunnuksella.

Se on rikolliselle hidaste, muttei este.

Kansalaisten sähköisiä oikeuksia puolustavan Effi ry:n näkökulmasta petosten vähentäminen on väärä ratkaisu, jos ne voisi myös estää.

– Ongelman ydin on, että henkilötunnusta ei pitäisi käyttää tunnistamiseen. Jos kaupat vaatisivat vahvan tunnistamisen, tilausten joukosta ei tarvitsisi haravoida epäilyttäviä tekijöitä, Effin varapuheenjohtaja Elias Aarnio sanoo.

Miksi esimerkiksi Klarna vaatii vain osalta luottoasiakkaista vahvan tunnistautumisen? Yhtiö ei vastaa kysymykseen.

– Äärimmäisen pieni petosten määrä Suomessa on vahva osoitus siitä, että turvatoimemme ovat riittävät, yhtiö vastaa sähköpostitse englanniksi.

Kun tilauspetokset eivät näyttäneet loppuvan, Daniil Andrejanov päätyi hankkimaan itselleen luottokiellon. Hän maksoi sen itse, kuten useimmat muut identiteettivarkauden uhrit. Silja Viitala / Yle

Erityisen ristiriitaisia ovat Qliron vastaukset Ylelle. Sen mukaan yhtiön koulutettu henkilökunta estää epäilyttävät tilaukset, mutta tässä testissä emme löytäneet mitään keinoa, millä olisimme saaneet tilauksen epäonnistumaan. Testin aikana ehdimme tilata yrityksen kautta lähes 500 eurolla tavaraa maksamatta ja käytännössä tunnistautumatta.

Qliron mukaan se myös velvoittaa kumppaneitaan varmistamaan, että lähetykset tulevat oikealle ostajalle. Kuitenkin testissämme kaksi lähetystä kolmesta tuli pakettiautomaattiin. Kolmas tuli Postin palvelupisteeseen, mistä sen olisi saanut väärennetyllä valtakirjalla.

Kysyimme Qlirolta, mitä sillä on sanottavana identiteettivarkauden uhreille, jotka pitävät yritystä osasyyllisenä rikoksiin.

– Petokset ovat uhka yhteiskunnalle ja tietysti epämiellyttävä asia yksittäiselle uhrille. Qliro pyrkii pysäyttämään mahdollisimman monta petosta sijoittamalla vahvasti petosten estämiskykyyn, yhtiö kirjoittaa englanninkielisessä sähköpostivastauksessaan.

Pöljiähän ne on. "Pasi", identiteettivarkauden uhri

Rikollisen mentävä aukko on siis edelleen olemassa. Siitä kertovat myös poliisin tilastot.

Esimerkiksi Helsingin poliisi on saanut kahden viime vuoden aikana valmiiksi 51 sellaisen petoksen tutkinnan, jonka asianomistaja Klarna on. Qliron kohdalla luku oli 11. Keskeneräiset tutkinnat puuttuvat tilastosta.

Oikeusministeriö selvittää lakimuutosta

Oikeusministeriö on kertonut selvittävänsä, pitäisikö verkko-ostoksilla vaatia tulevaisuudessa tiukempaa tunnistautumista. Lakimuutoshanke alkaa todennäköisesti keväällä.

Asia on kuplinut pinnan alla pitkään, mutta Vastaamon tietomurto teki siitä entistä ajankohtaisemman. Lisäksi pankkien mobiilisovellukset ovat tehneet vahvasta tunnistautumisesta entistä helpompaa.

Ainakin Kilpailu- ja kuluttajavirasto, Effi ry ja Finanssivalvonta kannattavat lakimuutosta, jonka jälkeen kukaan ei voisi enää ostaa tavaraa luotolla henkilötunnuksen turvin.

– Pidän nykyistä lakia epäkohtana, joka pitäisi korjata. Henkilötunnus ei voi minusta olla osatekijä heikossa eikä vahvassa tunnistautumisessa, Finanssivalvonnan johtava lakimies Sanna Atrila sanoo.

Lakimuutos ei ole nopea tie, mutta mikään ei estä yrityksiä korjaamasta tietoturva-aukkoa oma-aloitteisesti. Tähän ovat pyrkineet esimerkiksi suomalaiset teleoperaattorit.

Telia, Elisa ja DNA olivat vielä viisi vuotta sitten helppoja kohteita huijareille. Esimerkiksi Daniil Andrejanovin tiedoilla tilattiin Telian ja Elisan puhelinpalvelusta useita kalliita Applen laitteita.

Nykyään Elisa vaatii vahvan tunnistautumisen sekä verkkokaupassa että puhelinkaupassa, viimeistään tilausta noudettaessa. DNA:lla on sama viesti. Telia ei vielä vaadi vahvaa tunnistautumista puhelinmyynnissä, mutta tilastojen perusteella yritys on pystynyt viime vuosina estämään petoksia hyvällä prosentilla.

Luotolla ostaminen nimellä, osoitteella ja henkilötunnuksella. Se on minusta huono yhdistelmä. Daniil Andrejanov

Myös suomalaiset maksupalveluiden tarjoajat Checkout ja Paytrail vaativat verkkokaupoista luotolla ostavilta asiakkailta vahvan tunnistautumisen.

– Melkein joka paikassa kysytään nykyään pankkitunnuksia, naurahtaa Andrejanov.

Joku voi pitää sitä epäkäytännöllisenä. Henkilötietonsa vääriin käsiin menettänyttä Andrejanovia suunta ei häiritse. Päinvastoin.

– Luotolla ostaminen nimellä, osoitteella ja henkilötunnuksella. Se on minusta huono yhdistelmä.

Uhri: "Antakaa huijarille vain tuomio, se riittää"

Vuosi sen jälkeen, kun Andrejanov oli saanut ensimmäisen monista oudoista saapumisilmoituksista, puhelin soi. Se oli poliisi, epäillyt oli saatu kiinni.

Kaksi nuorta afrikkalaistaustaista miestä oli käyttänyt mielin määrin hyväkseen verkkokauppojen huonoa suojausta. Toista heistä epäiltiin lähes sadasta rikoksesta.

Andrejanovilta kysyttiin moneen otteeseen, vaatiiko hän tekijöiltä korvausta.

– Sanoin, että antakaa huijarille vain tuomio, minkä hän ansaitsee. Se riittää.

Kaksi Vyyhdin päätekijää saivat lyhyet vankeusrangaistukset. Heille petossarja oli vain yksi osa koko nuoruuden läpi jatkunutta rikosten ja niiden seuraamusten vuorottelua. Kumpikin oli aiemmin syyllistynyt muun muassa väkivaltaisiin ryöstöihin.

Oikeuden mukaan petosten taustalla oli "jatkuvaa ja sitkeää pyrkimystä laittoman hyödyn saamiseen".

Ylen selvityksen perusteella tilauspetokset tehdään Suomessa tyypillisesti ulkomaisten luottoyhtiöiden ja ulkomaisten verkkokauppojen kautta. Silja Viitala / Yle

Andrejanov ei tiedä, kuka rötösjengistä oli hänen kohtaamansa pelokas mies kaupan käytävällä. Todennäköisesti se oli joku avustajista.

Avustajia oli monta. Yksi heistä oli tuen tarpeessa ollut erityisnuori. Hänen tehtävänsä oli noutaa lähetyksiä, jotta muiden ei olisi tarvinnut näyttäytyä valvontakamerassa tai Postin palvelutiskillä.

Vastineeksi hän sai pikkurahaa, kuten muutkin muuleina käytetyt. Käräjäoikeudessa hän sai osuudestaan 114 euron sakot.

Kun rikossarja päättyi, oli kulunut yli kuusi vuotta siitä kun Andrejanovin tiedot oli varastettu. Vanhojen tietomurtojen uhrit toivovatkin, että Vastaamon uhrien piina ei kestäisi yhtä kauan kuin heidän.

Vastaamon jälkeen Suomessa on varovaisimpienkin arvioiden mukaan vähintään 50 000 ihmistä, joiden henkilötunnukset ja muut tiedot ovat joskus joutuneet rikollisten käsiin.

