Verkkokaupoista huijattiin 270 000 euroa!!

Verkkokauppasovelluksissa olevat heikkoudet johtivat lähemmäs 300 000 euron huijauksiin, Helsingin poliisi kertoo.

Eri verkkokauppasovellukset mahdollistivat nettiostokset ilman maksamista, poliisi ja Viestintäviraston Cert-fi-yksikkö kertoivat maanantaina.

Helsingin rikospoliisin tietotekniikkarikosyksikön mukaan verkkokauppoja on erehdytetty 270 000 euron arvosta. Yksikkö on selvittänyt useita verkkokauppasovelluksiin kohdistuneita törkeitä petoksia.

Esitutkinnassa on kuultu neljää epäiltyä, joista kolme on ollut pidätettyinä. Epäillyistä yksi on Tampereelta ja kolme Hämeenlinnasta.

Poliisin mukaan epäillyt ovat tunnustaneet teon. Tekijät saivat kahdelta eri yhtiöltä epäillyllä petoksella yhteensä yli 270 000 euroa. Yksi 26 000 euron siirto kolmannelta yhtiöltä jäi yritykseksi.

Tekijät käyttivät hyväkseen verkkokauppasovelluksissa ollutta puutteellista syötteentarkistusta. Sovellusten ongelmat eivät ole vaarantaneet tavallista ostamista verkkokaupoista.

Rikostarkastaja Jukkapekka Risu Helsingin poliisista pitää tapausta erikoisena.

– Kohteina oli yrityksiä, jotka välittävät rahaa eteenpäin. Tekijät käytännössä ostivat rahaa maksamatta siitä. Tiedossani ei ole, että Suomessa olisi aikaisemmin tehty tällä tavalla, Risu kommentoi.

Poliisin esitutkinta on valmis, ja asia siirtyy syyteharkintaan.

Systemaattisesti
väärin

Viestintäviraston tietoturvayksikkö Cert-fi korostaa, että kyseessä ei ollut minkään yksittäisen verkkokauppasovelluksen ongelma. Verkkokauppaohjelmistoja on tehty systemaattisesti väärin.

Cert-fi on tiedottanut verkossa liiketoimintaa harjoittaville suomalaisille kauppiaille löytyneistä tietoturvaongelmista. Yksikkö on työskennellyt yhteistyössä Helsingin poliisin, Suomen Elektronisen Kaupankäynnin yhdistyksen, Owaspin ja Nixu Oy:n kanssa.

Kyse ei ole pankkien ongelmasta. Haavoittuvuudet johtuvat pääasiassa siitä, ettei kauppiaan käyttämä sovellus noudata maksuliikennepalvelujen tarjoajan, eli esimerkiksi pankin antamia maksutapahtumien välittämiseen liittyviä teknisiä määrittelyjä.

Näin käy esimerkiksi silloin, jos maksutapahtuman paluuosoitetta tai tarkistussummaa ei tarkisteta. Verkkokauppasovellus erehdytetään luulemaan, että maksutapahtuma on onnistunut, vaikka maksupalvelua tarjoavalla sivustolla ei maksuprosessin aikana ole välttämättä edes käyty.

Ongelma on siitä ilkeä, että se paljastuu vain systemaattisen ohjelmistotestauksen avulla. Verkkokauppiaiden on syytä vertailla kauppansa tilitystietoja, tilauksia ja toimituksia.

Hyökkäystekniikka ei ole aivan uusi. Vuonna 2009 ilmeni vastaavia haavoittuvuuksia avoimen lähdekoodin OsCommerce-ohjelmistosta. Ongelmia ei vielä tuolloin tiettävästi käytetty rikoksissa. Myöhemmin on käynyt ilmi, että rikolliset ovat hyväksikäyttäneet vastaavia haavoittuvuuksia muissa verkkokauppaohjelmistoissa. (Digitoday)