Huijaukset onnistuvat usein siksi, että viesti näyttää kiireiseltä, tutulta ja uskottavalta. Vastaanottaja toimii nopeasti ennen kuin ehtii varmistaa, onko pyyntö oikea.
Tämä korostuu nyt entisestään, koska kalastusviestit, huijauspuhelut ja valetilit näyttävät jatkuvasti aidommilta. Siksi yksi tehokkaimmista tavoista suojata yritystä ei ole pelkkä tekninen suojaus, vaan selkeät käytännöt. Kun yrityksessä tiedetään etukäteen, miten tietyissä tilanteissa toimitaan, huijarin on huomattavasti vaikeampi saada ketään tekemään hätiköityjä päätöksiä.
Hyvin määritellyt käytännöt eivät ainoastaan vähennä virheitä, vaan myös helpottavat työntekijöiden arkea. Kun toimintatapa on sovittu etukäteen, kenenkään ei tarvitse tehdä riskipäätöstä yksin kiireen keskellä.
Sovi yrityksen hälytysrajat
Yrityksessä kannattaa määritellä tilanteet, joissa mikään pyyntö ei mene läpi ilman erillistä varmistusta. Tällaisia voivat olla esimerkiksi pankkitilinumeron muutos, kiireellinen maksupyyntö, poikkeava laskutusosoite tai normaalista poikkeava toimintatapa.
Käytännössä tämä voi tarkoittaa esimerkiksi seuraavia sääntöjä:
- Pankkitilinumeron muutos varmistetaan aina puhelimitse soittamalla itse ennestään tuttuun numeroon, ei koskaan viestissä annettuun numeroon.
- Yli tietyn summan maksut vaativat aina tietyn prosessin.
- Kiireellinen pyyntö tai poikkeusprosessi tarkoittaa automaattista pysähdystä ja lisävarmistusta.
Tärkeintä on, että nämä rajat sovitaan etukäteen. Silloin työntekijän ei tarvitse jäädä tilanteen kanssa yksin, vaan hän voi nojata yhteiseen sääntöön.
Selvitä, mitä kanavia oikeasti käytetään
Moni huijaus paljastuu heti, kun tiedetään, mitä kanavia oikeat toimijat käyttävät. Yrityksen kannattaa käydä läpi ainakin pankin, kirjanpitäjän, maksupalveluiden ja tärkeimpien yhteistyökumppaneiden kanssa käytettävät viestintäkanavat.
Jos viesti tulee väärästä paikasta, sen pitäisi herättää epäily heti. Esimerkiksi OP on varoittanut nimissään tehdyistä WhatsApp-yhteydenotoista, vaikka pankki ei koskaan käytä WhatsApp-viestintäkanavaa.
Kun yrityksessä tiedetään tarkasti, missä asioissa käytetään sähköpostia, missä verkkopalvelua ja missä puhelinta, mahdollinen huijausviesti erottuu paljon helpommin.
Harkitse erillistä asiointisähköpostia
Yksi käytännöllinen ratkaisu on käyttää erillistä sähköpostiosoitetta pankki-, kirjanpito- ja muihin virallisiin asioihin. Kun tietyt viestit tulevat aina samaan osoitteeseen, poikkeamat huomaa nopeammin. Jos esimerkiksi pankkia koskeva viesti saapuukin yleiseen asiakaspalveluosoitteeseen tai henkilön henkilökohtaiseen sähköpostiin, kyseessä voi olla huijausyritys.
Erillinen asiointisähköposti tekee myös arjesta selkeämpää. Viralliset viestit eivät huku muun postin joukkoon, ja tärkeiden yhteydenottojen seuraaminen helpottuu.
Harkitse erillistä ylläpitäjätiliä
Yrityksessä kannattaa erottaa päivittäinen työskentely ja hallinnolliset oikeudet toisistaan. Ylläpitäjätiliä ei pitäisi käyttää tavalliseen sähköpostiin, tiedostojen avaamiseen tai muuhun arkikäyttöön. Näin pienennetään riskiä, että yhden kaapatun käyttäjätilin kautta päästään muuttamaan koko ympäristön asetuksia.
Microsoft suosittelee, että ylläpitäjillä on erillinen tavallinen käyttäjätili päivittäiseen työhön ja admin-tili vain hallintatehtäviin. Microsoftin admin only -tiliä ei myöskään tarvitse lisensoida erikseen, jolloin siitä ei synny lisäkuluja. Lue lisää Microsoft-sivulta.
Aseta maksuille rajat
Maksuihin kannattaa asettaa selkeät euromääräiset rajat joko yksittäisille maksuille tai päiväkohtaisesti.
Näin vahinko ei pääse kasvamaan yhtä suureksi, vaikka huijaus menisi hetkellisesti läpi. Maksurajat eivät poista riskiä kokonaan, mutta ne voivat rajoittaa vahingon määrää merkittävästi.
Harkitse vapaaehtoista luottokieltoa
Jos et ole hakemassa lainaa tai luottoa, vapaaehtoinen luottokielto voi olla hyödyllinen lisäsuoja. Positiivisen luottotietorekisterin kautta asetettava vapaaehtoinen luottokielto on maksuton, ja sen tarkoitus on auttaa tilanteissa, joissa joku yrittää hakea luottoa toisen nimissä. Kiellon voi tehdä sähköisessä asiointipalvelussa. Lue lisää Verohallinnon sivuilla.
Tämä ei sovi joka tilanteeseen, mutta voi olla järkevä lisä etenkin silloin, jos haluat pienentää identiteettivarkauden seurauksia. On kuitenkin hyvä muistaa, että kielto täytyy poistaa ennen omaa luotonhakua.
Kertakäyttöinen kortti tuo lisäsuojaa verkko-ostoksiin
Verkko-ostoksissa voi olla järkevää käyttää kertakäyttöistä virtuaalikorttia, jos palvelu tarjoaa sellaisen mahdollisuuden. Tällöin varsinainen pankki- tai maksukortti ei päädy jokaisen verkkokaupan järjestelmään.
Esimerkiksi Klarnan on kertaluonteinen kortti on virtuaalinen kortti, jolle asetetaan ostosta varten summa, ja käyttämätön kortti vanhenee 24 tunnin kuluessa. Lue lisää Klarnan sivuilla. Tämä ei poista kaikkia riskejä, mutta rajaa niitä. On kuitenkin tärkeää muistaa palvelun omat maksuehdot, jotta ostos ei jää vahingossa maksamatta ja aiheuta lisäkuluja.
Älä jätä lomakkeita oletusnimille
Myös pieniltä tuntuvat yksityiskohdat vaikuttavat turvallisuuteen. Jos verkkosivustolla on yhteydenottolomakkeita, niiden sähköposti-ilmoituksia ei kannata jättää oletusnimille, kuten “Simple Contact Form”.
Oletusnimet muuttuvat nopeasti taustahälyksi. Kun niihin tottuu, viestejä ei enää arvioi kunnolla ja tutun otsikon perusteella voi klikata helpommin viestin, jonka muuten ei avaisi.
Kun ilmoitukset nimetään selkeästi, esimerkiksi “Yhteydenotto – Etusivu” tai “Tarjouspyyntö – Palvelut”, näkee heti mistä viesti on tullut. Samalla on helpompi seurata, mitkä lomakkeet oikeasti tuottavat yhteydenottoja, ja tottumuksesta tehtyjen väärien klikkausten riski pienenee.
Yhteenveto
Yrityksen ei tarvitse tunnistaa jokaista huijaustyyppiä erikseen, jos sen toimintatavat ovat selkeät. Kun sovitte valmiiksi:
- milloin vaaditaan lisävarmistus
- mitä kanavia oikeasti käytetään
- miten maksut hyväksytään
- mitä tilejä käytetään hallintaan
- miten verkkosivuston lomakkeet nimetään ja seurataan
poikkeamat alkavat erottua paljon helpommin.