Helsingin poliisi epäilee neljää henkilöä rahan huijaamisesta verkkokaupoilta. Verkkokauppasovelluksia on onnistuttu erehdyttämään lähes 300 000 euron edestä, poliisi kertoo.

Poliisin mukaan tekijät ovat saaneet kahdelta eri yhtiöltä epäillyllä törkeällä petoksella yhteensä haltuunsa rahaa yli 270 000 euroa. Yksi 26 000 euron siirto kolmannelta yhtiöltä jäi yritykseksi.

Poliisin mukaan maksamisen kiertäminen käyttäen hyväksi verkkokauppasovellusten haavoittuvuuksia täyttää petoksen tai törkeän petoksen tunnusmerkistön. Myös yrittäminen on rangaistavaa.

Tekijät ovat käyttäneet hyväkseen verkkokauppasovelluksissa ollutta puutteellista syötteentarkistusta. Syötteentarkistuksen puute ei ole vaikuttanut muiden asiakkaiden asioinnin turvallisuuteen.

Viestintäviraston CERT-FI-tietoturvayksikkö varoittaa tästä puutteesta.

- Ohjelmistojen virhetilanteita hyväksikäyttämällä voi olla mahdollista suorittaa ostoksia ilman, että maksu siirtyy verkkopankista kauppiaalle. CERT-FI on tiedottanut verkossa liiketoimintaa harjoittaville suomalaisille kauppiaille löytyneistä tietoturvaongelmista, yksikkö tiedottaa.

Tyypillinen väärinkäytöstilanne on sellainen, jossa huijari tilaa verkkokaupasta hyödykkeitä maksamatta niistä, CERT-FI kertoo.

- Ohjelmistohaavoittuvuuksien johdosta verkkokauppasovellusta on muun muassa ollut mahdollista erehdyttää luulemaan, että maksu olisi suoritettu asianmukaisesti, vaikka todellisuudessa näin ei olisikaan.

Haavoittuvuudet johtuvat tietoturvayksikön mukaan pääasiassa siitä, ettei kauppiaan käyttämä sovellus noudata maksuliikennepalvelujen tarjoajan, eli esimerkiksi pankin antamia maksutapahtumien välittämiseen liittyviä teknisiä määrittelyjä. Näin käy esimerkiksi silloin, jos maksutapahtuman paluuosoitetta tai tarkistussummaa ei tarkisteta.

CERT-FI:n mukaan väärinkäyttömahdollisuudet tulevat ilmi vain systemaattisen ohjelmistotestauksen myötä, eikä kauppias ei välttämättä huomaa ohjelmistovirheen olemassaoloa ennen kuin ensimmäiset väärinkäytökset paljastuvat.

- Verkkokauppiaiden onkin suositeltavaa varmistua tarjoamansa palvelun tietoturvallisuudesta suorittamalla tai teettämällä verkkosovellukselleen asianmukainen ohjelmistotestaus, yksikkö neuvoo.

CERT-FI suosittelee kauppiaita vertailemaan verkkokauppansa tilitystietoja, tilauksia ja toimituksia. Epäiltäessä petosta tuulee ottaa yhteys paikalliseen poliisilaitokseen.