yle.fi-etusivu

Näin verkkorosvot huijasivat rahaa sadoilta suomalaisilta – ja näin hölmöihin salasanamokiin he kompastuivat

Sadat suomalaiset joutuivat vuonna 2014 ennätyksellisen suuren verkkopetoksen uhreiksi. Pääepäilty onnistui pakoilemaan poliisia kuukausien ajan tehden samalla yhä uusia petoksia. Tekijöiden kiinnisaamiseksi poliisi tunkeutui rikollisten välisiin salattuihin chat-keskusteluihin.

A-studio
Uhrin koti
Milla Vahtiala / grafiikka: Stina Tuominen / Yle

Helmikuun alussa Pohjois-Pohjanmaan lakeuksilla oli leuto talvikeli. Pk-yrittäjä Pirjo (nimi muutettu) tuli kotiinsa väsyneenä, jätti kostuneet saapikkaansa eteiseen ja avasi tietokoneensa. Sähköposteja selatessaan hän säikähti. Hänen käyttämältään lainayritykseltä oli tullut yllättävä viesti.

Kaikille vanhoillekin asiakkaille on tulossa 1.3.2014 lähtien 49,90 euron lasku kultajäseneksi siirtymisestä, vaikka et olisi sellaista tilannutkaan. Vielä ehtii peruuttamaan lisäominaisuuden Everydayn sivuilta tästä linkistä.

Pirjo klikkasi linkkiä ja loi tunnukset, joiden avulla pääsi lainapalveluihin. Sivut olivat normaalin näköiset, mutta missään ei ollut mainintaa kultajäsenyydestä, jota viesti koski. Jo tunnin kuluessa hänen tunnuksensa olivat väärissä käsissä.

Vihdissä Etelä-Suomessa myös Viljar Kivi istui tietokoneen ääressä. Hän seurasi tarkasti, kuinka hänen käytössään ollut tietokoneohjelma toimi: laskun peruutusta yrittävä Pirjo syötti tunnuksensa huijaussivustolle, joka lähetti tunnukset suoraan Kivelle.

Tämän jälkeen Kivi toimi nopeasti. Pirjon tunnuksilla hän otti jo samana iltana OPR-Vakuus Oy:n Everyday-palvelusta 1 215 euron lainan, siirsi rahat omalle tililleen, sieltä rahanvälitysyhtiön tilille ja edelleen erään pankkiiriyhtiön tilille.

280 petosta, 51 tietomurtoa

Pirjo ei ollut ensimmäinen, jota Viljar Kivi huijasi netissä. Vuonna 1990 syntynyt koneasentaja oli kolmen kumppaninsa kanssa myynyt olemattomia tavaroita Huuto.net-palvelussa vuosina 2011 ja 2012. Tässä rikossarjassa oikeus katsoi hänen syyllistyneen 280 petokseen, 51 tietomurtoon ja kahdeksaan petoksen yritykseen.

Pirjon huijaaminen näytti onnistuneen, joten seuraavina viikkoina oli aika laajentaa toimintaa.

Kivi pakoili poliisia jo vanhojen rikosten takia, mutta se ei estänyt häntä suunnittelemasta uusia. Tälläkään kertaa hän ei aikonut tyytyä vähään.

Pirjon huijaaminen näytti onnistuneen, joten seuraavina viikkoina oli aika laajentaa toimintaa. Mutta ensin hän lähtisi Viroon ja miettisi vielä kerran, kuinka rahoja kannattaisi siirrellä. Pian viestejä lähti Tullin, Postin ja perintätoimistojen nimissä tuhansiin sähköpostiosoitteisiin ja matkapuhelinnumeroihin.

Pelkästään Tullin tietoon tuli 500 tapausta, joissa ihmiset saivat osoitteesta lentotulli@tulli.fi viestin:

Teille on saapunut tullattava lähetys. Lähetys on noudettavissa kahden viikon ajan. Voitte käydä asioimassa Vantaan lentotullissa paikanpäällä, muista henkilötodistus mukaan tai verkossa verkkopankkitunnuksillasi.

Uhrit eivät huomanneet tuhansien eurojen pikavippejä

Moni tarttui taitavasti laadittuun syöttiin ja näpytteli huijaussivustolle verkkopankin tunnuksensa.

Tunnuksia kalastelleille huijareille rahojen siirtely alkoi käydä työstä. Yhtenä päivänä Kivi rikoskumppaneineen sai kymmeniä tunnuksia. Seuraavien kuukausien aikana tekijät ottivat pikavippifirmoista lainoja noin viidensadan suomalaisen nimissä. Tieto pikavippifirmasta otetusta lainasta tuli rikoksen uhrille vasta puolitoista kuukautta tapahtuneen jälkeen.

Tyypillisesti lainat olivat muutaman tuhannen euron suuruisia, ja ihmiset valikoituivat uhreiksi sattumalta. Eräästä pikavippifiramasta otettiin yhteensä 130 000 euron lainat.

Voroilla kuukauden etumatka

Toiminta oli ehtinyt olla täydessä vauhdissa noin kuukauden päivät ennen kuin viranomaiset pääsivät tosissaan tutkinnan alkuun. Huhtikuun 2. päivänä 2014 Tulli teki tutkintapyynnön Helsingin poliisille, jossa juttua alkoi selvittää talousrikoksiin ja vakaviin tietotekniikkarikoksiin erikoistunut yksikkö.

Rikolliset olivat koko kevään askeleen edellä viranomaisia. Huijausviestejä tuli lukuisista internet osoitteista, jotka rikolliset olivat panneet pystyyn huijauksia varten: perintapalvelut.net, lindorff-online.com, posti-online.net, maksumerkinta.info.

Huhtikuussa Viestintäviraston Kyberturvallisuuskeskus sulki kymmenkunta huijausosoitetta. Rikolliset vastasivat pistämällä pystyyn seuraavassa kuussa kaksikymmentä uutta, ja yhä uudet ihmiset joutuivat huijausten uhreiksi.

”Mul on vitusti tilejä josta nostaa rahaa”

Poliisin työhuone
Milla Vahtiala / grafiikka: Stina Tuominen / Yle

Raha poltti Viljar Kiven tileillä, mutta haasteena oli sen saaminen käyttöön. Kokeneena huijarina hän tiesi, kuinka tärkeää on peittää rikoksen jäljet ja häivyttää rikoksilla hankittujen rahojen alkuperä. Hän ei enää ohjannut rahoja omalle tililleen. Tämän vuoksi Kivi tarvitsi apureita, joiden tilejä voisi käyttää rahanpesussa. Myöhemmin Kivi selitti rikoskumppanilleen asetelmaa näin:

Mul on vitusti tilejä josta nostaa rahaa
Ei vaan oo nostajia
kovin montaa

Mul on pelkästää nyt paril tilil 50k cash

Kivi oli sosiaalisesti taitava, ja hän onnistui värväämään mukaan Allun (nimi muutettu), jonka tehtävänä oli värvätä ihmisiä, joiden pankkitileille petoksilla hankittua rahaa voisi ohjata.

Yhteensä mukaan lähti yli neljäkymmentä ihmistä. Useilla heistä oli ollut ongelmia viinan ja huumeiden kanssa. Kivi ei itse ollut suoraan yhteydessä kaikkiin rahanpesijöihin, millä hän ilmeisesti yritti suojata itseään kiinnijäämiseltä.

Rahanpesuketjun peittelystä kertoo sekin, että yksi mukaan värvätyistä ihmisistä, Carl (nimi muutettu), sanoi ainakin poliisikuulustelussa, että hän tiesi vain Kiven etunimen ja tämän salatuissa chat-keskusteluissa käyttämän nimimerkin ”Kissanviiksi”.

Kivi yritti myös suojata tarkasti mukaan värvättyjen ihmisten kanssa käydyt keskustelut. Kun Kivi halusi, että Carl menee salattuun Cryptocat-viestipalveluun, hän sai Whatsapp-viestipalveluun ennalta sovitun merkin eli kissahymiön.

Mukana olleille jaettiin setelitukusta erisuuruisia summia.

Tämän jälkeen Carl meni salattuun viestipalveluun ja lähetti Kivelle kuvan toisen apurin eli Timon (nimi muutettu) pankkitunnuksista. Kivi lähetti rahaa tilille, josta Timo kävi nostamassa potin. Mukana olleille jaettiin setelitukusta erisuuruisia summia.

Värväyksen hoitanut Allu kertoi saaneensa rahoista 2 000 euroa ja antaneensa suuren summan miehelle, jonka oli määrä viedä rahat Kivelle.

Rahoja siirreltiin myös toisenlaisia reittejä. Osalla rahoista apurit ostivat netissä virtuaalivaluutta Bitcoineja. Rahoja päätyi myös Viljar Kiven pelitileille, josta ne hävisivät nopeasti netin uhkapeleihin:

– Viljar Kivi saattoi pelata kerralla 10 000 euron pelejä näillä rahoilla, kertoi myöhemmin eräs apureista poliisin kuulusteluissa.

Kyberpoliisi nuuski rahavirtoja

Juuri rahavirtojen seuraaminen oli yksi tärkeimmistä poliisin keinoista. Tutkinnasta vastasi kokenut talousrikostutkija Jukkapekka Risu, joka aiemmissa tutkimuksissaan oli tottunut hankkimaan tietoja eurooppalaisista rahalaitoksista ja rakentanut niihin hyvät suhteet. Tälläkin kertaa hän sai tarvitsemiaan tietoja osoittamistaan rahansiirroista nopeasti.

– Jo jutun tutkinnan alkupäivinä sain tiedon yli 40 000 euron luottojen ottamisesta. Samana päivänä sain takavarikoitua yli 50 000 euroa, jotka olivat menossa bitcoinien ostoon. Jos emme olisi olleet nopeita, nekin rahat olisivat häipyneet, Risu kertoo.

Viljar Kivi ei enää ohjannut rahaa suoraan suomalaiselle pankkitililleen, mutta Risu huomasi rahaa siirtyneen Kiven nimissä olleeseen sähköiseen lompakkopalveluun, jonka kautta voi hoitaa mm. monien pelisivustojen maksuja. Lisäksi poliisit huomasivat maksuliikennettä Viljar Kiven pelitileille.

Rikostutkijat osasivat myös hyödyntää rikollisten huolimattomuutta. Kivi oli Pirjoa huijatessaan ohjannut rahat omalle tililleen, joten Risun oli helppo yhdistää tapaus häneen.

Huhtikuussa poliisilla oli kasassa niin paljon todisteita, että Kivestä voitiin kirjoittaa pidätysmääräys. Poliisi kävi useaan otteeseen etsimässä Kiveä hänen tyttöystävänsä asunnolta Vihdissä, mutta hän oli joka kerralla jossakin muualla.

Rikolliset perivät laskuja poliisipomon nimissä

Aikaisempien rikostensa takia Viljar Kiven oli vältettävä kohtaamisia viranomaisten kanssa. Pystyäkseen liikkumaan eri maiden välillä hän oli hankkinut väärennetyn henkilökortin, jossa oli itäeurooppalaiselta kuulostava nimi.

Samaan aikaan kun poliisi yritti etsiä Kiveä Suomesta, hän jatkoi toimintaa ulkomailla, todennäköisesti Tallinnassa.

Sivustoja perustivat mm. tekaistut henkilöt Asder Esdar ja Niilo Peräruiske.

Kissa ja hiiri -leikki jatkui. Jukkapekka Risun tiimi sulki rikollisten käyttämiä tilejä, mutta he perustivat uusia. Myös huijaussivustojen tehtailu jatkui. Sivustoja oli helppo perustaa, sillä sivustoille tilaa tarjoavat yritykset eivät tarkistaneet asiakkaiden taustoja. Sivustoja perustivat mm. tekaistut henkilöt Asder Esdar ja Niilo Peräruiske.

Sivuja perustaessaan tekijät eivät kuitenkaan aina olleet huolellisia. Kiven rikoskumppani rekisteröi useita huijaussivustoja käyttämällä samaa salasanaa. Kivi puolestaan kirjautui useisiin nettipalveluihin samalla salasanalla.

Tässä vaiheessa epäiltyjen nimet olivat poliisin tiedossa. Myös rikolliset näyttävät tienneen, kuka heitä jahtasi. Kuin näyttääkseen keskisormea poliisille rikolliset lähettivät perintätekstiviestejä myös Jukkapekka Risun nimissä.

Poliisi tunkeutui rikollisten salattuun chattiin

Kesäkuussa poliisi teki tärkeän pidätyksen napatessaan rahanpesijöiden värvääjänä toimineen Allun. Tästä alkoi mielenkiintoinen tapahtumaketju, jonka avulla poliisi pääsi tunkeutumaan rikollisten väliseen, Cryptocat-nimisellä ohjelmalla salattuun chat-keskusteluun.

Kuvituskuva
Milla Vahtiala / grafiikka: Stina Tuominen / Yle

Pian kuulustelujen jälkeen poliisi palautti Allulle tältä pakkokeinolain nojalla takavarikoidun tietokoneen. Allu otti jälleen yhteyttä Viljar Kiveen Cryptocat-ohjelmalla. Salattua viestintää oli käytetty koko kevään ajan, ja nytkin Kivi ilmeisimmin luotti salaukseen ja kertoi avoimesti rikoksen yksityiskohdista.

Allu: Kytät kyseli jostai N.N.:sta
Allu: Tunnetko
Kivi: Joo
Kivi: Se oli iha ensimmäisiä joskus maaliskuus.

Miehet puhuivat muistakin mukana olleista ihmisistä näiden oikeilla nimillä, ja Kivi kertoi tarkasti myös rahojen siirtelystä. Kivi oli turhautunut siihen, että rahojen nostamiseen ei saatu mukaan tarpeeksi osaavaa porukkaa.

Kivi: Pistin ma 50k [50 000 euroa]
Kivi: yhe muulin piti mennä nostaa ne perjantaina
Allu: ja nyt [tili] kii
Kivi: Oli lyöty kiinni ekaa kertaa tilit ;D ;:D:S;. D;:S
Kivi: Ulkomaantilit.
Kivi: Vitun hidas muuli apina saatana

Kivi myös opasti rikoskumppaniaan siitä, miten tämän tulisi toimia poliisin kanssa.

Allu: Epäilen et mut on vasikoitu
Kivi: luulen kans
Kivi: Koppi heiluu heti
Allu: Ihmettelinki, ku oli oudot kuulustelut ja päästi pois eikä vanginnu
...
Kivi: Jos sul ei löydy koneel mitään ni pitäs riittää todisteeks et joku sanoo sun tehneen jotain.
Kivi: Eli sanot jokaseen et wtf ei pidä paikkaansa ni pitäs päästää vangitsemiskäräjil pois.
Allu: Asens salee jotai paskaa mun koneel ja tulee hakee saaliin.

Jollakin tietoteknisellä ratkaisulla poliisit tallensivat Allun ja Kiven keskustelut. Jukkapekka Risu ei suostu paljastamaan, miten tallennus tapahtui. Joka tapauksessa poliisin esitutkintamateriaaliin kertyi kolme salattua keskustelua selväkielisenä.

Pidätys Tallinan satamassa
Yle / grafiikka: Stina Tuominen / Yle

Keskustelujen jälkeen kului vain muutama päivä, ja Viron poliisi pidätti Kiven Tallinnan satamassa. Hänet luovutettiin Suomeen 11. elokuuta.

– Vittu mä sain melkein sydänkohtauksen silloin kun ne tuli pidättää. Voi jumalauta, muisteli Kivi pidätystään poliisin myöhemmin tallentamassa keskustelussa.

Suomessa poliisin kuulustelija esitti Kivelle lukuisia todisteita rahansiirroista ja huijausviesteistä. Hän kiisti syyllisyytensä.

Huijareiden kakkosketju kokoontui Kirkkonummella

Poliisilla oli nyt hallussaan jutun pääepäilty. Silti ihmisille tuli yhä huijausviestejä, ja rahaa siirtyi rikollisten tileille. Kivestä ei saatu puristettua tietoa siitä, miten tämä oli mahdollista.

Samaan aikaan kun poliisi jo piti jutun pääepäiltyä kiinniotettuna, otti toinen epäilty Tomppa (nimi muutettu) ohjat käsiinsä. Poliisin tutkimusten mukaan hän oli ollut mukana jo keväällä perustamassa huijaussivustoja ja siirtelemässä rahoja.

Hän kutsui tuntemiaan ihmisiä kirkkonummelalaiselle mökille ja kertoi heille, että tarjolla olisi rahaa. Jälleen mukaan lähti joukko ihmisiä, jotka olivat valmiita tarjoamaan tilinsä rahojen siirtoja varten ja nostamaan rahoja. Myöhemmin poliisikuulusteluissa he kertoivat saaneensa palkkioksi rahaa ja huumeita.

Petosringin jäljet olivat kuitenkin tällä kertaa lyhyet. Tilisiirtojen perusteella poliisi pääsi nopeasti Kirkkonummella kokoontuneiden nuorten jäljille.

Elokuun lopulla poliisi onnistui pidättämään Tompan, kun tämä oli vierailemassa Viljar Kiven tyttöystävän luona Helsingissä. Tompan hallusta löytyivät myös Viljar Kiven pankkitunnukset. Kuulusteluissa Tomppa ei osannut sanoa, miten hän sattui käyttämään elokuun huijauksissa samoja internet-osoitteita kuin keväällä tapahtuneissa petoksissa.

”Tää on Suomen historian törkein petos”

Todisteita petoksista ja rahanpesusta oli mapissa jo huomattava määrä, mutta poliisit eivät jarruttaneet. Tutkinnanjohtaja Risu päätti kokeilla vielä yhtä pakkokeinolain mahdollistamaa menetelmää.

Rikoskumppanit Kivi ja Tomppa saivat tavata toisensa tutkintavankilassa ilman, että poliisi tai vartija oli paikalla.

Jälleennäkeminen oli tunteikas. Varsinkin Tomppa oli huolissaan siitä, miten tuomiot jakautuvat, jos oikeus katsoo heidän olleen tasaveroisesti vastuussa petossarjasta.

Tomppa: Asianajaja sano, että on prosentin todennäkösyys, että ei tuu tuomioo.
Kivi: Ai tästä isosta?
Tomppa: Niin.
Kivi: Mikä siin on syy?
Tomppa: Siel on käytetty Pikkon yks… kakstoista salasanaa se on vittu joskus??? Joo vittu!
Kivi: Mut tota. Oliks sulla uudessa Pikkon? Oliks sulla uudessa kans?
...
Tomppa: Mitä jos se menee yksissä tuumin, niin siit tulee…Tää on Suomen historian törkein… Suomen historian törkein petos.

Poliisit olivat tutkimuksissaan huomanneet, että tekijät olivat käyttäneet samoja salasanoja eri yhteyksissä, mikä näytti sitovan tekoja toisiinsa. Tämän selville saamiseksi poliisi oli käyttänyt vanhan pakkokeinon eli takavarikon kyberversiota.

Nyt epäillyt sanoivat salasanan ääneen

Poliisi oli tehnyt niin kutsutun etäetsinnän ja takavarikoinut epäiltyjen käyttämien sähköpostilaatikoiden sisällön. Sähköpostilaatikot avautuivat epäiltyjen käyttämällä Pikkon12-salasanalla, ja samaa salasanaa he käyttivät myös rekisteröidessään tilaa verkkosivuille. Nyt epäillyt sanoivat salasanan ääneen, puhuivat mukana olleista ihmisistä ja pohtivat muutenkin tarkasti rikoskokonaisuuden yksityiskohtia.

Kivi: Joo, onks sulla paljo rahaa jälel?
Tomppa: Kolme kybää. Tai niin on mul kolmesataa tuolla, joita ei voi todistaa, että mä oisin ottanu ne rikollisella tavalla.
Kivi: Satatonnia?
Tomppa: Olis pitäny vaan lyödä jonku pankkitilille plöts. Vittu kaheksantonnia. Mä tein suurimmat siirrot.

”Meillä on tyhmempiäkin nörttejä”

Keskustelu tallentui todisteiksi, sillä Jukkapekka Risu oli hakenut käräjäoikeudelta pakkokeinolain mukaisen luvan tilakuunteluun ja asennuttanut rikostoverien huoneeseen mikrofonin. Myöhemmissä kuulusteluissa molemmat epäillyt saivat luettavakseen, mitä olivat vankilassa puhuneet. Kivi pysyi kovana.

– Kiistän syyllistyneeni kyseiseen rikokseen, hän vastasi jokaiseen kuulustelijan kysymykseen.

Vaikeneminen ei kuitenkaan säästänyt verkkohuijaria rikosvastuusta. Käräjäoikeus tuomitsi Kivelle pisimmän mahdollisen eli kolmen ja puolen vuoden tuomion petoksista, törkeistä petoksista ja rahanpesusta. Tomppa selvisi vähemmällä saaden vuoden ja viisi kuukautta.

Kuulusteluhuone
Milla Vahtiala / grafiikka: Stina Tuominen / Yle

Poliisi laskee, että yhteensä suomalaisilta huijattiin yli puoli miljoonaa euroa, joista noin 200 000 euroa on onnistuttu saamaan takaisin. Jukkapekka Risu pitää todennäköisenä, että loput rahoista jäävät kateisiin.

Kivi kiistää edelleen syyllistyneensä rikoksiin, ja hän on valittanut tuomiostaan. Tapausta on määrä käsitellä hovioikeudessa ensi vuoden alkupuolella, joten käräjäoikeuden tuomio ei ole lainvoimainen.

Pirjo kertoo, että rikoksen uhriksi joutuminen herätti monenlaisia tunteita. Yrittäjä sai kuitenkin rikoksen paljastuttua rahansa nopeasti takaisin. Hän on ehtinyt pohtia rikossarjaa ja sitä, millaiset ihmiset olivat sen takana.

– Näille pitäisi sanoa, että menisivät oikeisiin töihin. Ei liene hääviä elämää, että pitää koko ajan vilkuilla selkänsä taakse. Eiköhän tällaisen kaverin kannattaisi hankkiutua it-alalle, että saisi rehellistä massia. Meillä on paljon tyhmempiäkin nörttejä, hän sanoo nyt.

Juttu perustuu poliisin oikeudenkäyntipöytäkirjoihin ja poliisin esitutkintamateriaaliin. Jukkapekka Risun lisäksi juttua varten on haastateltu rikosylikonstaapeli Antti Kurittua, joka työskenteli rikostutkinnan aikaan Kyberturvallisuuskeskuksessa tietoturva-asiantuntijana.