Vastaamo-tietomurto ja -kiristys on yksi Suomen historian suurimmista rikostapauksista, jossa kymmenettuhannet ihmiset ovat menettäneet arkaluontoisten tietojensa hallinnan ja joutuneet lisäksi niitä koskevan kiristyksen kohteeksi. Vielä maanantaina teosta epäilty on yhä mysteeri.
MTV Uutiset kokoaa muutamia tapauksen herättämiä keskeisiä kysymyksiä. Tiedot perustuvat julkisuudessa olleisiin tietoihin tapauksesta ja asiantuntijoiden kanssa tehtyihin taustahaastatteluihin.
Kuka tai ketkä ovat rikoksen takana?
Todennäköisesti keskeisin kysymys tapauksessa on se, kuka on sen takana. Teoriat vaihtelevat kansainvälisestä verkkorikollisryhmästä yksittäiseen suomalaistekijään. Keskusrikospoliisi kertoi tiedotustilaisuudessaan sunnuntaina, että se on avoin kaikille tutkintalinjoille.
Kysymys on hankala. Kiristäjä on käyttänyt suomalaisille tuttuja viestintäkanavia ja uhreille lähetetty kiristysviesti oli kirjoitettu selkeällä suomella. Toisaalta kiristäjä on aiemmin salatussa Tor-verkossa ilmoittanut etsivänsä kääntäjää, joten hän vähintään on pyrkinyt esiintymään kansainvälisenä toimijana. Tämä ei toisaalta ole tavatonta suomalaisten rikollisten hakkereiden kohdalla.
Moni asiantuntija on kuitenkin taipuvainen epäilemään yksittäistä suomalaista tekijää. Esimerkiksi kiristäjän käyttämä salatussa Tor-verkossa käyttämä keskustelupalsta edellyttää suomen kielen sanojen tunnistamista viestin kirjoittamiseksi. Tämän vuoksi kiristäjän harjoittama aktiivinen vastailu ketjussa olisi työlästä, jos hän ei osaisi suomea.
Kiristäjä on ilmeisesti myös tuntenut joitain suomalaisen yhteiskuntajärjestelmän piirteitä esimerkiksi henkilötunnuksen osalta, ja näiden tietojen saaminen on vaatinut ulkomaalaiselta henkilöltä merkittävää perehtymistä tai apua Suomen tuntevalta taholta.
Silti mikään ei aukottomasti todista hyökkääjän tai hyökkääjien kansalaisuutta.
Miksi kiristäjä toimii juuri nyt?
Yksi pohdintaa herättänyt kysymys koskee kiristyksen ajankohtaa. Tiedot ovat vanhoja, vuodelta 2018, joten ne lienee myös hankittu pari vuotta sitten. Miksi kiristys tapahtuu viiveellä?
Yksi teoria on, että kiristäjä on suunnitelmallinen, ja odottanut mahdollisten tietomurron todisteiden tuhoutumista ennen kiristämisen aloittamista.
Jos tekijät ovat ammattimaisia verkkorikollisia, yksi mahdollisuus on, tiedot on saatu osana massiivista tietomurtosarjaa. Automatisoidun ohjelman avulla rikolliset voivat tonkia läpi internetin etsien tietokantoja, joihin pääsisi jonkin tunnetun haavoittuvuuden avulla. Rikolliset olisivat vasta jälkikäteen tietoja tutkiessaan havainneet aineiston merkityksen ja aloittaneet kiristysoperaation yhtenä monista käynnissä olevista rikoksista.
Lue myös: Verkkorikollisten toiminnassa tapahtunut muutos: "Eivät tyydy vain palveluiden lamauttamiseen" – näillä keinoilla yrityksen tietoturva kuntoon
Saadaanko tekijä tai tekijät kiinni?
Se onko hyökkääjä suomalainen vai ulkomainen vaikuttaa jonkin verran rikoksen selvittämisessä, sillä kotimainen tekijä on lähtökohtaisesti Suomen viranomaisten helpompi napata.
Vaikka nykyinen verkkoteknologia oikein käytettynä teoriassa voi estää henkilön tunnistamisen, vaatii se kaiken ylimääräisen toiminnan minimointia virheiden välttämiseksi. Tässä tapauksessa tekijä on tehnyt lukuisia liikkeitä ja viestittelyä, joka lisää virheiden ja hänen jäljilleen johtavan tiedon vuotoa.
Eräät asiantuntijat ovat kuvailleet tuntojaan jopa hämmentyneiksi seuratessaan kiristäjän toimia, sillä tämä vaikuttaa tekevän jopa tyhmiksi kuvailtavia julkaisuja ja liikkeitä. Ne ovat omiaan kiristämään silmukkaa tekijän ympärillä.
Toiminta herättää myös kysymyksiä kiristäjän ammattimaisuudesta. Hänen toimiaan on kuvailtu huolimattomiksikin, ja kummastusta herätti se, kuinka tämä hetkellisesti julkaisi ilmeisesti viemänsä tietokannan kokonaisuudessaan, eli käytännössä paljasti kaikkein arvokkaimmat korttinsa. Tietokannan ollessa julkinen hänellä ei käytännössä olisi mitään, millä jatkaa kiristämistä.
– Kuinka kännissä pitää olla, eräs asiantuntija pohtii kuvaillessaan sitä, kuinka kiristäjä ”kaivaa omaa kuoppaansa”.
Kiristäjä vaati lunnaat anonyymillä Bitcoin-virtuaalivaluutalla, jonka liikkeitä voidaan seurata verkossa. Tämä tuo tietyn kiinnijäämisen riskin, jos viranomaiset saavat tietoonsa maksettuja lunnaita ja kiristäjä haluaa vaihtaa virtuaalivaluutan muuksi valuutaksi.
Kuten muissakin netin työkaluissa, voi nämäkin rahat pestä pitkällisellä toiminnalla, mutta se vaatii, että tekijä aidosti tietää, mitä tekee.
Lue myös: Vastaamo-kiristäjä on neuvonut käyttämään suomalaista Bitcoin-valuutanvaihtopalvelua – yritys kommentoi: Emme suosittele lunnaiden maksamista
Mitä kiristäjä aikoo?
Tapaus on edennyt lyhyessä ajassa uusiin suuntiin. Vastaamon kiristämisen jälkeen kohteeksi valikoituivat sen asiakkaat ja lopulta myös yrityksen työntekijöitä.
Kiristäjä on ilmoittanut, että se julkaisee viimeistään tiistaina niiden henkilöiden tiedot, jotka eivät ole sille maksaneet vaadittuja lunnaita. Maksuaikaa lauantaina lähetetyissä viesteissä oli yhdestä kolmeen vuorokauteen, tosin pienet viivästykset ja summavirheet bitcoineiksi pyöristettäessä otetaan mahdollisesti huomioon.
Aikooko tekijä pitää uhkauksensa?
Kiristysoperaatio aiheutti poikkeuksellista julkisuutta ja valtakunnan huomiota, joka uhkaa lisätä tekijän kiinnijäämisen mahdollisuutta esimerkiksi niin sanottujen valkohattuhakkereiden ryhdyttyä jäljittämään tekijää. On mahdollista, että asiakkaisiin kohdistettu kiristysoperaatio on yritys raapia kasaan edes jonkinlainen summa rahaa, ja hävitä kuin tuhka tuuleen.
Lue lisää: Hyvät hakkerit tukevat poliisia tietomurron tutkinnassa – yksi hakkereista kertoo, ketä vähin äänin toimivat auttajat ovat
Tekijä voi saada kymmenienkin tuhansien eurojen arvoisen saaliin, jos kiristysviesti tavoittaa kymmenettuhannet henkilöt ja heistä prosenttikin maksaisi vaaditut lunnaat. Verkkorikolliset pelaavat usein tällaisella voluumilla: Automatisoiduissa rikoksissa pienenkin osuuden tarttuminen koukkuun tietää tekijöille riittävää vaivanpalkkaa.
Jotkut epäilevät – tai toivovat – että loppuja asiakastietoja ei enää tulla vuotamaan verkkoon. Lisäjulkisuus vain nostaisi henkilön riskiä jäädä kiinni. Lisäksi lunnaat maksaneiden poistaminen tietokannasta olisi työlästä, eikä tekijä todennäköisesti halua lisävaivaa.
Tietojen vuotoon on kuitenkin muutama peruste sen työläydestä ja lisäämistä riskeistä huolimatta: Ammattimainen verkkorikollisporukka voi haluta tehdä maksamatta jättäneistä varoittavan esimerkin uusien rikosten tuleville uhreille.
Toinen vaihtoehto on, että kiristäjä on pahimman sortin nettikiusaaja, joka riskin lisääntymisestä huolimatta haluaa kostaa maksusta kieltäytyneille näiden toiminnan.