1990- ja 2000-luvulla koettiin digitalisaation täysaaltoja hyvässä ja pahassa: työvälineet uusiutuivat, arki vauhdittui ja kehitys harppoi eteenpäin yksi sähköposti, keskustelufoorumi ja matopeli kerrallaan. Teknologisen ilakoinnin ohella aikakausi edusti myös digitaalisen rikollisuuden kultaryntäystä. Millaisia nämä ensimmäisen sukupolven kyberhuijaukset olivat ja mitä niistä opittiin?
Muistatko hetken, kun postilaatikkoon kilahti ensimmäistä kertaa kirjoitusvirheiden ja hutaistujen kuvien kyllästämä sähköposti, joka sisälsi viattoman oloisen liitetiedoston – ehkä jo ennen kuin sähköpostihuijausten käsitettä edes tunnettiin?
Internetin yleistyessä 90-luvulla leijonanosa käyttäjistä sukelsi uuden digitaalisen leikkikentän tarjonnan sekaan uteliaasti, optimistisesti ja ilman lähdekritiikkiä. Tietoturvalliselle internetin käytölle ei oltu luotu selkeitä pelisääntöjä, koska kaikki uudessa uljaassa digitaalisessa maailmassa haki vielä muotoaan. Harvempi 90-luvun arkikäyttäjä olisi edes ymmärtänyt moisen pelikirjan päälle.
Myös uusia höynäytettäviä etsivät hämäräheikit löysivät nopeasti uusia tapoja edistää päämääriään internetin avulla. Ensimmäisen sukupolven kyberhuijaukset olivat usein yhdistelmä kömpelyyttä, onnenkantamoisia ja satunnaista nerokkuutta, mutta niiden vaikutukset osoittautuivat usein merkittäviksi ja kauaskantoisiksi. Ne myös auttoivat muovaamaan internetiä ja digitaalista kanssakäyntiä sellaiseen muotoon kuin ne tänä päivänä tunnetaan.
Huijariprinssejä ja hakkeroinnin aloituspakkauksia
Yksi klassinen esimerkki niin yrityksiä kuin yksityishenkilöitä koetellusta huiputuksesta on Nigerian rikoslain 419. pykälän mukaan nimetty 419-huijaus. Kotoisammin se tunnetaan nigerialaisen prinssin yhteydenottona – huijausviestien sarjana, jossa käyttäjä saa tietää olevansa vastaanottamassa muhkean rahasumman pientä käsittelymaksua vastaan.
Kaava on yksinkertainen: tunnepitoinen tarina, kiireellinen sävy ja tahallisen kömpelö ilmaisu, joka karsi skeptikot pois heti kättelyssä. Näin huijarien armoille jäivät vain ne, joita oli vaivattominta vetää höplästä. Tuloksena oli miljardiluokan menetyksiä ja roskapostisuodattimien synty – samanlaisia viestejä löytynee jokaisen käyttäjän roskapostilaatikosta vielä tänäkin päivänä. Yrittänyttä ei laiteta, sanotaan.
Atlantin toisella puolella alkuaikojen internet oli yhtä kuin AOL, eli America Online – palveluntarjoajan ja verkkoportaalin yhdistelmä, joka avasi oven internetiin miljoonille amerikkalaisille. Ikävä kyllä 90-luvun puolivälissä AOL myös tarjosi näyttämön hakkeroinnin aloituspakkauksena tunnetun AOHell-työkalusarjan syntytarinalle. AOHell tarjosi työkalut, joiden avulla oli mahdollista luoda hienostuneita ja laajamittaisia phishing-huijauksia teknologisen ymmärryksen tasosta huolimatta.
Varttuneemmille netinkävijöille tuttu termi script kiddie on AOHellin peruja: se oli viittaus nuoriin, yleensä korkeintaan tekniikan perusteet ymmärtäviin teini-ikäisiin käyttäjiin, jotka olivat AOHellin mahdollistamien simppelien mutta helppokäyttöisten huijaus- ja haittaohjelmien suurimpia faneja. AOHellin kyseenalainen perintö onkin se, että se toimi eräänlaisena kyberrikollisuuden oppikirjana nuorille käyttäjille.
Ensimmäisestä verkkopankkiryöstöstä romanttiseen rötöstelyyn
Vaan osattiin sitä Atlantin toisella puolellakin. Vuonna 1994 koettiin historian ensimmäinen online-pankkiryöstö, kun venäläinen ohjelmistoinsinööri Vladimir Levin murtautui Citibankin järjestelmiin ja teki kymmeniä laittomia tilisiirtoja varastettujen käyttäjätietojen avulla ja toimitti nämä apuriensa perustamille tileille ympäri maailmaa. Kun vyyhti alkoi lopulta purkautua, Levinin kätyreitä jäi lain haaviin muun muassa USA:ssa, Hollannissa ja Israelissa.
Vaikka Levin kätyreineen jäivät lopulta kiinni ja suurin osa kähvelletystä 10 miljoonasta dollarista saatiin takaisin, tapaus jätti syvät jäljet finanssimaailmaan: ryöstössä ei ollut käytetty korkean luokan teknologiaa tai varta vasten kehitettyjä haittaohjelmistoja, vaan Levin hyödynsi verkkopankin heikkoa tunnistautumista ja kiersi yksinkertaiset turva-aidat leikiten. Hopeareunuksena tämäkin tapaus kiihdytti esimerkiksi kaksivaiheisen tunnistuksen kaltaisten vahvojen tunnistusteknologioiden kehitystä.
Kun viisari vierähti 2000-luvulle, nettideittailu alkoi yleistyä. Se toi mukanaan sekä rakkautta etsivien ihmisten päänmenoksi suunnitellut sosiaaliset huijaukset että yhden aikakauden kenties tunnetuimmista sähköpostimadoista. ILOVEYOU-mato maksoi maailmalle miljardeja, mutta rahallisia menetyksiä kenties merkittävämpi seikka on sen perimä sosiaalisen manipuloinnin välineenä.
Tilanne oli petollinen yksinkertaisuudessaan: käyttäjä sai sähköpostin otsikolla “ILOVEYOU”. Liitteenä oli tekstitiedostoksi naamioitu haittaohjelma. Kun tiedoston klikkasi auki, lemmenmato pääsi häkistään ja alkoi välittömästi tehdä tuhojaan käyttäjän koneella. Pahin temppu oli se, että mato lähetti itsensä eteenpäin kaikille käyttäjän sähköpostikontakteille – näin ollen matopostia saaneet luulivat järjestäen vastaanottaneensa viestin tutulta henkilöltä. Kun se harhaluulo ympättiin romanttisesti kutkuttavaan otsikkoon, syntyi soppa, jonka maailmanlaajuisten vahinkojen on arvioitu ylittäneen10 miljardin dollarin rajapyykin. Rakkauden kaipuu voi käydä kalliiksi.
Mitä tästä opimme?
90- ja 2000-lukujen kyberrikollisuus oli kokeilukenttä, jossa koeteltiin sekä järjestelmien että käyttäjien luottamuksen rajoja. Digitaaliset turvalukot oli helppo vääntää auki ja vastatoimiin ryhdyttiin yleensä vasta sitten, kun mämmi oli jo osunut tuulettimeen.
Vaikka ennakointi, joustavuus ja jatkuva kehitys ovat modernin tietoturvan kantakiviä, on muistettava, että nykypäivänä digitaalinen rikollisuus ja kyberuhat kehittyvät vähintään verrannollisella askelluksella.
Suosittelemmekin, että artikkelista seuraava etappi on siirtyä kuuntelemaan Kyberrosvot-podcastia, jossa käsittelemme kyberhuijauksia läpi vuosikymmenten ja kertaamme tapauksista kertyneitä oppitunteja.
Älä tule huijatuksi – ota Kyberrosvot-podcast kuunteluun!
