Yhdistyksille lähetetään katteettomia maksupyyntöjä puheenjohtajan nimissä – tietoturvariskit varjostavat toimintaa
Vastikään eräässä uusimaalaisessa yhdistyksessä paljastui huolestuttava petostapaus, joka tuli ilmi sattumalta muun prosessin yhteydessä. Puheenjohtajan nimissä oli lähetetty rahastonhoitajalle väärennettyjä sähköposteja, joissa tiedusteltiin tilin saldoa ja esitettiin maksupyyntöjä. Taloudelliset vahingot onnistuttiin minimoimaan nopealla reagoinnilla, mutta mahdollinen tietoturvavuoto jäi selvittämättä, ja sen seuraukset voivat vielä paljastua.
Tapaus alkoi, kun rahastonhoitaja käsitteli jäsenten henkilötunnuksia (HETUja) kertaluonteisesti harjoituspaikan sisäänpääsyä varten. Jäsenet luovuttivat tunnuksensa rahastonhoitajalle, joka toimitti ne puheenjohtajalle Excel-taulukossa. Sovittuna päivänä puheenjohtaja ei kuitenkaan saanut listaa ja soitti rahastonhoitajalle. Pian selvisi, että aamulla oli tapahtunut seuraavaa: puheenjohtajan sähköpostiosoite oli väärennetty näyttämään aidolta, mutta vastausosoite ohjasi viestit tekaistuun @mail.com-osoitteeseen. Ensimmäisessä viestissä rahastonhoitajalta kysyttiin tilin saldoa vedoten ”ulkomaanmaksuun”. Rahastonhoitaja vastasi, mutta viesti meni tekaistuun, väärään osoitteeseen. Tämän jälkeen tekaistusta osoitteesta tuli maksupyyntö, jossa maksutiedot ja viite vastasivat yhdistyksen ydintoimintaa – pyyntö vaikutti täysin uskottavalta.
Rahastonhoitaja oli jo lähettänyt 10 jäsenen HETUt tekaistuun osoitteeseen, kun puheenjohtaja soitti kertoen, ettei ole ole saanut listaa. Sähköpostin puuttuminen paljasti väärennöksen. Samalla kävi ilmi, että rahastonhoitaja oli maksanut kaksi päivää aiemmin vastaavan pyynnön samasta osoitteesta. Hän otti välittömästi yhteyttä pankkiin, ja maksuprosessi keskeytettiin. Pankki peruutti yhden suorituksen, ja aiempi maksu korvattiin vakuutuksen kautta.
Puheenjohtaja informoi jäseniä puhelimitse ja lupasi kirjalliset ohjeet:
- Omavero.fi-palveluun voi asettaa vapaaehtoisen luottokiellon, joka estää uusien luottojen ottamisen mutta ei vaikuta olemassa oleviin. Kielto on ilmainen ja peruttavissa tarpeen tullen.
- Jäseniä kehotettiin harkitsemaan maksurajoituksia pankki- ja luottokorteilleen.
- Poliisin rikosilmoituspuhelimessa HETUjen luovutusta ei pidetty vakavana, sillä luottoja ei enää saa ilman vahvaa tunnistautumista.
Yhdistys teki petoksesta rikosilmoituksen, ja puheenjohtaja ilmoitti tietojen kalastelusta jäsenten valtuuttamana. Poliisi jätti tapauksen tutkimatta. Tietosuojavaltuutetun toimistolta ei saatu neuvoja, mutta yhdistys laati asiasta itse oman tietosuojailmituksen. Toimistyosta todettiin, ettei prosesseissa ole korjattavaa.
Yhdistys uudisti toimintatapojaan:
A) laskut käsitellään nyt vain taloushallintaohjelman kautta hallituksen nimetyn jäsenen hyväksynnällä, ja yli tietyn summan (esim. XXX euroa) hankinnat päätetään ennakkoon.
B) HETUt ja muut arkaluonteiset tiedot kulkevat salattuina sähköposteina. Kaksi kuukautta tapahtuman jälkeen jäsenten henkilötunnuksia ei ole väärinkäytetty, ja yhdistys on saanut maksamansa varat takaisin.
Tämä tarina on tosi. Sittemmin on tietoon tullut, että sama toimija on pommittanut yhdistyksiä vastaavalla prosessilla jo vuosia.
PYL tarjoaa jäsenilleen Luottoposti.fi-palvelun jäsenetuna ja pitää pyynnöstä Teams-esittelyn aiheesta. Vastaavia palveluja on muitakin, mutta Luottoposti sopii myös pienemmille yhdistyksille hinnoittelunsa takia.
Ota yhteyttä lisätietojen saamiseksi.