Tunnista ja vältä tietojenkalastelu (phishing)

Mitä on tietojenkalastelu eli phishing?

Tietojenkalastelu eli phishing (myös verkkourkinta) on huijaustapa, jossa rikollinen esiintyy luotettavana tahona huijatakseen uhrilta luottamuksellisia tietoja.

‍

Tyypillinen huijausviesti näyttää tulevan pankilta, viranomaiselta, läheiseltä tai muulta tutulta toimijalta.

‍

Siinä voidaan pyytää vaikkapa päivittämään tilitiedot, vahvistamaan kirjautuminen tai klikkaamaan huijauslinkkiä, joka vie väärennetylle verkkosivulle.

‍

Sivusto tai viesti on usein taitavasti toteutettu niin, että se muistuttaa aidon yrityksen viestintää.

‍

Logot, värit ja kieli ovat kohdallaan, joten eroa on vaikea huomata.

‍

Tietojenkalastelun päätavoitteena on varastaa tietoja, joita voidaan käyttää taloudellisiin rikoksiin tai identiteettivarkauksiin.

‍

Uhrin pankkitili voidaan tyhjentää, luottokorttitietoja käyttää luvattomiin ostoksiin tai varastettuja tunnuksia hyödyntää muiden tilien kaappaamiseen.

‍

Joissain tapauksissa huijausviestit sisältävät myös haittaohjelmia, jotka asentuvat laitteelle ja mahdollistavat tiedon varastamisen tai jopa kiristyshaittaohjelman käytön.

‍

Phishing ei myöskään rajoitu pelkkään sähköpostiin ja tekstiviesteihin (smishing), kuten usein luullaan.

‍

Rikolliset hyödyntävät myös mm. puheluita (vishing), sosiaalisen median viestejä sekä QR-koodeja (quishing).

‍

Yhteistä kaikille muodoille on sosiaalinen manipulointi, jota nopeasti kasvava tekoälyn hyödyntäminen tehostaa entisestään.

‍

Huijarit pelaavat kiireen tunteella, pelolla ja houkutuksilla saadakseen uhrin toimimaan nopeasti ajattelematta sen enempää.

‍

Yleisimmät tietojenkalastelun muodot

Tietojenkalastelua esiintyy monissa eri muodoissa ja kanavissa.

‍

Huijarit muokkaavat viestinsä ja lähestymistapansa sen mukaan, missä ihmiset liikkuvat ja mitä he todennäköisimmin uskovat.

‍

Tässä yleisimmät tavat, joilla phishing-hyökkäykset toteutetaan:

‍

Sähköpostikalastelu (email phishing)

HUOM: Phishing tarkoittaa yleisesti tietojenkalastelua, mutta käytännössä viittaa usein juuri sähköpostihuijauksiin.

‍

Tämä on kalastelun perinteisin ja edelleen yleisin muoto.

‍

Huijaussähköposti näyttää tulevan luotettavalta taholta, kuten pankilta, viranomaiselta tai verkkokaupalta.

‍

Viestissä painostetaan usein kiireeseen, kuten “tilisi suljetaan, ellei vahvistusta tehdä heti” ja ohjataan klikkaamaan linkkiä tai avaamaan liite.

‍

Väärennetty kirjautumissivu voi kerätä tunnukset rikollisille.

‍

Tekstiviestihuijaukset eli SMS-huijaukset (smishing)

Tekstiviestillä, WhatsAppissa tai muussa pikaviestipalvelussa lähetetty huijausviesti ohjaa linkin kautta huijaussivustolle tai kehottaa esim. maksamaan tekaistuja kuluja.

‍

Viestit liittyvät usein ajankohtaisiin asioihin, kuten “pakettisi on tullissa” tai “kortillasi havaittu epäilyttävä tapahtuma”.

‍

Monet eivät osaa odottaa huijausta tekstiviestitse, mikä tekee smishingistä erityisen tehokasta.

‍

Puheluhuijaukset (vishing)

Huijauspuhelussa soittaja esiintyy esimerkiksi pankin, Poliisin tai teknisen tuen edustajana.

‍

Hän voi väittää, että tililtäsi on lähtenyt iso maksu ja tarvitsee “vahvistustasi” asian tarkempaan tutkimiseen tunnuslukujen tai etäyhteyden avaamisen kautta.

‍

Usein soittaja käyttää väärennettyä numeroa (spoofing), joka näyttää aidolta, mikä lisää uskottavuutta entisestään.

‍

Sosiaalisen median huijaukset

Huijarit käyttävät sosiaalista mediaa esiintyäkseen muina tahoina, kuin oikeasti ovat.

‍

He voivat luvata vaikkapa palkintoja, alennuksia tai uhata tilin sulkemisella, jotta uhri klikkaa linkkiä tai luovuttaa tietoja.

‍

Myös yksityisviestit, joissa pyydetään rahaa tai apua, ovat yleisiä.

‍

Lisäksi sosiaalisen median kauppapaikoilla kuten esimerkiksi Facebook Marketplacessa tapahtuu huijauksia.

‍

Tekoälyhuijaukset (AI-huijaukset)

Nykyään nettirikolliset hyödyntävät generatiivista tekoälyä tehdäkseen huijauksista entistä uskottavampia.

‍

Deepfake-äänet ja -videot voivat vaikuttaa hämmästyttävän aidoilta.

‍

Niissä voi esiintyä vaikkapa jokin viranomainen tai jopa uhrille läheinen ihminen.

‍

Tekoälyllä kirjoitetut viestit voivat nykyään näyttää virheettömiltä ja personoiduilta.

‍

QR-koodihuijaukset (quishing)

Yhä useammin rikolliset hyödyntävät myös QR-koodeja.

‍

Esimerkiksi sähköpostissa tai mainoksessa jaettu koodi lupaa turvallisuuspäivityksen, alennuskupongin tai muun houkuttelevan sisällön.

‍

Todellisuudessa koodi ohjaakin huijaussivulle, joka kerää tietoja tai asentaa haittaohjelman.

‍

Kaikille näille muodoille on yhteistä, että rikolliset yrittävät luoda kiireen tuntua tai houkutella lupaavilla tarjouksilla, jotta uhri ei ehdi pysähtyä miettimään. Kun tunnistat nämä yleisimmät tavat, on helpompi huomata varoitusmerkit ajoissa.

‍

Muita harvinaisempia phishingin muotoja

Yllä mainittujen lisäksi rikolliset käyttävät myös vähemmän tunnettuja tekniikoita:

‍

Romance scams (rakastumishuijaukset): Huijari tekeytyy romanttiseksi kumppaniksi ja rakentaa luottamusta usein kuukausien ajan. Lopulta hän pyytää rahaa, lahjakortteja tai apua “kiireellisessä” tilanteessa ja katoaa saatuaan haluamansa.

‍

Spear phishing (kohdennettu huijaus): Tarkkaan räätälöity viesti, joka suunnataan tiettyyn henkilöön tai organisaatioon. Huijari hyödyntää taustatietoja, kuten työnantajan tai tuttujen nimiä, jotta viesti näyttää aidolta.

‍

Angler phishing (asiakaspalvelijahuijaus): Huijari esiintyy yrityksen asiakaspalvelijana sosiaalisessa mediassa ja yrittää ohjata uhrin väärennetylle tukisivulle tai kerää tietoja viestitse.

‍

Clone phishing (kopiohuijaus): Rikollinen kopioi aidon sähköpostin ja korvaa siinä olevan linkin tai liitteen haitallisella versiolla, jolloin viesti näyttää täysin luotettavalta.

‍

Evil twin phishing (valelähiverkko): Julkisessa tilassa luotu väärennetty Wi-Fi-verkko (vaikkapa kahvilan "free_quest_wifi"), jonka kautta käyttäjän liikennettä voidaan kaapata ja ohjata huijaussivuille.

‍

Pop-up phishing (browser-in-the-browser): Selaimeen ilmestyvä väärennetty kirjautumisikkuna (esim. Google- tai Microsoft-tili), joka näyttää aidolta, mutta välittää syötetyt tiedot rikollisille.

‍

Pharming (verkkoliikenteen uudelleenohjaus): Hyökkäys, jossa käyttäjä ohjataan automaattisesti huijaussivulle esimerkiksi DNS-asetuksia tai haittaohjelmaa hyödyntämällä, ilman että hän itse klikkaa huijauslinkkiä.

‍

Näin tunnistat tietojenkalastelun yritykset

Tietojenkalasteluviestit voivat olla yllättävän uskottavia.

‍

Niissä on yritysten logoja, sujuvaa kieltä ja jopa viittauksia oikeisiin tapahtumiin luodakseen aitoutta.

‍

Silti useimmissa huijauksissa on merkkejä, joista varovainen käyttäjä voi ne tunnistaa.

‍

Kun opit kiinnittämään huomiota seuraaviin asioihin, pystyt usein paljastamaan huijauksen ennen kuin klikkaat linkkiä tai luovutat tietojasi:

‍

Kiireen ja uhkan lietsonta

‍

• Viesti painostaa toimimaan heti. “Tilisi suljetaan, jos et vahvista tietoja nyt” tai “Sinua vastaan on käynnistetty perintätoimi”. Kiire luodaan, jotta et ehdi harkita tai varmistaa tietoja muualta.

‍

Pyyntö luottamuksellisista tiedoista

‍

• Pankit, poliisi, viranomaiset tai muut luotettavat tahot eivät koskaan pyydä salasanoja, PIN-koodeja, koko henkilötunnusta tai korttisi turvakoodia sähköpostilla, tekstiviestillä tai puhelimessa. Jos viesti pyytää näitä, kyse on lähes varmasti huijauksesta.

‍

Epäilyttävä lähettäjä tai osoite

‍

• Tarkista sähköpostiosoitteen verkkotunnus eli domain (osoitteen osa @-merkin jälkeen) huolellisesti. Huijarit voivat käyttää nimiä, jotka näyttävät tutuilta, mutta osoite voi olla esimerkiksi “esimerkkipanki.fi” oikean “esimerkkipankki.fi” sijaan. Tekstiviesteissä lähettäjän nimi voi olla väärennetty, joten varmista viestin aitous tarvittaessa suoraan yrityksestä.

‍

Kirjoitus- ja kielioppivirheet

‍

• Monissa huijauksissa on outo sanajärjestys, käännösvirheitä tai muita epäammattimaisia piirteitä. Vaikka nykyään osa huijausviesteistä on kieliasultaan virheettömiä (mm. tekoälykääntäjien myötä), virheet ovat selvä varoitusmerkki.

‍

Odottamattomat linkit

‍

• Jos viestissä on linkki tai liite, jota et odottanut, suhtaudu varauksella. Älä klikkaa linkkiä suoraan vaan vie hiiri linkin päälle ja tarkista osoite ruudun vasemmasta alakulmasta (tietokoneella) tai syöttämällä kopioitu linkki muistioon ja tutkimalla sitä. Onko se oikean verkkosivun osoite, vai jotain muuta (esim. outo domain tai URL-lyhennin kuten bit.ly)?

‍

Viestien liitetiedostot

‍

• Myös viestien liitteet voivat olla vaarallisia ja sisältää haittaohjelmia, jotka asentuvat avatessa liitteen. Jos et ole täysin varma lähettäjästä, älä avaa viestien liitteitä.

‍

Liian hyvää ollakseen totta

‍

• Jos olet “voittanut” palkinnon arvonnasta tai kilpailusta, johon et ole osallistunut, kyse on usein huijauksesta. Myös yllättävän suuret tarjoukset viestivät usein huijauksesta.

‍

Jos jokin viestissä herättää epäilyksiä, luota vaistoihisi ja varmista aitous ennen kuin toimit.

‍

Esimerkiksi pankin tai viranomaisen oikeat yhteystiedot löytyvät aina heidän verkkosivuiltaan tai virallisista kanavista.

‍

Älä käytä viestissä olevia linkkejä tai numeroita.

‍

Jo pieni pysähtyminen voi estää isoja vahinkoja.

‍

Tietojenkalastelulta suojautumisen muistilista

Tietojenkalastelulta suojautuminen perustuu kahteen asiaan: omaan tarkkaavaisuuteen ja teknisiin turvatoimiin.

‍

Kun opit tunnistamaan huijauksia ja käytät oikeita työkaluja, voit merkittävästi pienentää riskiä joutua uhriksi.

‍

1. Ole valpas ja terveen skeptinen

Pidä mielessä, että huijaus onnistuu vain, jos toimit rikollisen toivomalla tavalla.

‍

Älä kiirehdi, vaikka viesti vaikuttaisi kiireelliseltä tai uhkaavalta.

‍

Jos jokin viestissä tuntuu oudolta tai liian hyvältä ollakseen totta, pysähdy hetkeksi ja varmista sen aitous muualta.

‍

2. Käytä kaksivaiheista tunnistautumista (2FA) ja vahvoja salasanoja

Ota kaksivaiheinen tunnistautuminen (2FA) käyttöön kaikissa palveluissa, joissa se on mahdollista.

‍

Vaikka rikolliset saisivat salasanasi, ilman toiseen laitteeseesi sidottua tunnistusvaihetta heidän on mahdotonta kirjautua sisään.

‍

Käytä myös vahvoja ja keskenään erilaisia salasanoja.

‍

Salasananhallintaohjelma helpottaa muistamista ja voi varoittaa, jos yrität kirjautua huijaussivulle.

‍

3. Pidä ohjelmistot ja laitteet ajan tasalla

Päivitä laitteiden käyttöjärjestelmä, selaimet ja sovellukset säännöllisesti.

‍

Päivitykset korjaavat haavoittuvuuksia, joita rikolliset voivat hyödyntää.

‍

Nykyaikaiset päivitetyt laitteet myös estävät huijaussivustoja usein automaattisesti.

‍

4. Rajoita julkisesti jaettavaa tietoa

Huijarit voivat kohdistaa hyökkäyksiä keräämällä tietoja sosiaalisesta mediasta tai muualta verkosta.

‍

Vältä jakamasta tarpeettoman tarkkoja tietoja, kuten koko syntymäaikaasi, osoitettasi tai käyttämiesi pankkien nimiä.

‍

Mitä vähemmän rikollinen tietää, sitä vaikeampi on luoda uskottavaa huijausta.

‍

5. Seuraa ajankohtaisia huijaustrendejä

Huijaukset lisääntyvät usein sesonkien aikaan, esimerkiksi Black Fridayn ja joulun alla, kun ihmiset odottavat pakettitoimituksia ja tarjouksia.

‍

Myös uutisissa näkyvät suuret tietovuodot synnyttävät nopeasti huijausviestejä (“tarkista, vuotivatko tietosi”).

‍

Pysy ajan tasalla liittymällä esimerkiksi Netin Turvan viikottaisten tietoturvanostojen sähköpostilistalle.

‍

6. Hyödynnä tietoja suojaavia palveluita

Vaikka olisit varovainen, et voi itse valvoa kaikkea.

‍

Palvelut kuten Netin Turvan Identiteettiturva seuraavat, löytyykö henkilötietojasi vuotaneista tietokannoista tai pimeästä verkosta, ja auttavat reagoimaan nopeasti.

‍

Lisäksi palveluun sisältyvä kattava nettipetosvakuutus voi tuoda taloudellista turvaa, jos vahinko sattuu.

‍

Mitä tehdä jos epäilet joutuneesi tietojenkalastelun uhriksi?

Jos saat epäilyttävän tietojenkalastelulta vaikuttavan viestin, toimi näin:

‍

1. Älä klikkaa linkkejä tai avaa viestin liitteitä.

‍

2. Älä vastaa viestiin vaan sulje se ja ilmoita tietojenkalastelusta viestipalvelun lisätoiminnoilla (jos mahdollista).

‍

3. Varmista viestin aitous. Ota yhteyttä lähettäjään heidän virallisten yhteystietojensa kautta.

‍

4. Ilmoita huijausyrityksestä. Tee ilmoitus Kyberturvallisuuskeskukselle ja tarvittaessa rikosilmoitus Poliisille, jos olet menettänyt rahaa.

‍

5. Vaihda salasanat heti, jos annoit tietoja. Jos kyseessä on pankkitiedot, soita välittömästi pankkiin korttien ja tunnusten sulkemiseksi.

‍

6. Seuraa tilannetta. Tarkkaile tilejäsi ja harkitse henkilötietojen valvontapalvelua, kuten Identiteettiturvaa, joka hälyttää, jos tietojasi löytyy pimeästä verkosta.

‍

Pidä tietosi turvassa tietojenkalastelulta

Vaikka olisit tarkkana ja osaisit tunnistaa useimmat huijaukset, kaikkea ei voi estää itse.

‍

Tietovuodot, identiteettivarkaudet ja verkossa leviävät huijausviestit voivat silti vaarantaa henkilökohtaiset tietosi aiheuttaen merkittäviä taloudellisia menetyksiä.

‍

Netin Turvan Identiteettiturva tuo mielenrauhaa monella tavalla.

‍

Se seuraa, löytyykö henkilötietojasi vuotaneista tietokannoista tai pimeästä verkosta.

‍

Se ilmoittaa sinulle heti, jos tietojasi havaitaan väärissä käsissä.

‍

Se sisältää kattavan nettipetosvakuutuksen, joka auttaa taloudellisten vahinkojen kattamisessa.

‍

Suojaa itsesi jo tänään ja pidä tärkeät tietosi turvassa.

‍

Tutustu Netin Turvan Identiteettiturvaan nyt!