Tietojenkalastelu eli phishing on yksi yleisimmistä verkkorikollisuuden muodoista. Kalastelijoiden tavoitteena on huijata paljastamaan henkilökohtaisia tietoja tai houkutella klikkaamaan linkkiä, josta avautuu haitallinen sivusto tai sovellus. Tarkkaavaisuudella ja kattavalla tietoturvapalvelulla et astu ansaan.
Tietojenkalastelua tapahtuu kaikissa kanavissa: sähköpostiviestien kautta, peleissä, huijaussivustoilta, tekstiviestistä, pikaviestipalveluista tai sosiaalisen median palveluissa. Usein verkkorikolliset käyttävät ajankohtaisia aiheita tai vetoavat vastaanottajan tunteisiin madaltaakseen klikkauskynnystä. Esimerkiksi Ukrainan sodan maailmanlaajuinen uutisointi johti yli 2000 estettyyn tietojenkalasteluyritykseen maaliskuussa 2022 (lähde: F-Secure Threat Intelligence).
Tietojenkalastelua on yhä vaikeampi tunnistaa
Aiemmin huijausviestit oli helpompi tunnistaa esim. huonosta kieliopista tai kotikutoisesta visuaalisuudesta, mutta tekoälyn ja kielimallien yleistyminen on tehnyt viestien kääntämisestä rikollisille helpompaa ja viestit ovat nykyään aiempaa vakuuttavampia.
Verkkorikolliset pyrkivät saamaan käyttöönsä tietoja, joita voivat joko myydä eteenpäin tai käyttää itse rikolliseen toimintaan, esim. käyttäjätunnuksia ja salasanoja, maksukorttien tietoja, henkilötunnuksia tai passin numeroita. Koska tietojenkalastelua on yhä vaikeampi tunnistaa, kattavan tietoturvapalvelun käyttö on tullut entistäkin tärkeämmäksi suojautumiskeinoksi.
Kysyimme F-Securen tietoturvakouluttaja Jussi Koskiselta tietojenkalastelun tämän hetken trendeistä. Tässä Jussin esiin nostamat havainnot F-Securen Threat Intelligence tutkimuksen tietojen perusteella:
Huijarit ovat siellä, missä sinäkin – myös somessa
Facebook, WhatsApp, Instagram ja LinkedIn olivat suosituimmat sosiaalisen median alustat, joille kohdistettiin tietojenkalasteluyrityksiä vuonna 2022 Suomessa. Huijausviestejä liikkuu sosiaalisen median palveluissa siinä, missä muuallakin verkossa.
Ystävien kaapatut sometilit saattavat lähettää kaveripyyntöjä uudelleen ja levittää mukanaan linkkejä huijaussivustoille - tai oma tilisi voidaan yrittää kaapata.
Jos epäilet, että oma sometilisi on kaapattu, kannattaa salasanat vaihtaa mahdollisimman pian kaikkiin niihin palveluihin, joissa kyseinen salasana on ollut käytössä. Myös kaksivaiheinen tunnistautuminen kannattaa ottaa käyttöön kaikissa niissä palveluissa, joissa se on mahdollista. Silloin nettirikollinen ei pysty kirjautumaan tilillesi, koska kirjautuminen vaatii vahvistuskoodin, joka lähetetään sinun puhelinnumeroosi.
Vinkki: Älä hyväksy tuntemattomien kaveripyyntöjä. Aseta vaihtoehtoinen sähköpostiosoite tai puhelinnumero tilisi palautusta varten. Käytä yksilöllisiä salasanoja ja kaksivaiheista todennusta.
Maksu hylätty -huijaukset
Maksukorttien tietoja tai verkkopankkitunnuksia kalastellaan usein sähköpostiviesteissä tai tekstiviesteissä, joissa todetaan, että automaattinen maksu on hylätty ja houkutellaan päivittämään maksutiedot väärennetyn kirjautumissivun kautta.
Esim. Netflixin nimissä tehtyjen huijausten määrä kasvoi 50 % tammi- ja joulukuun 2022 välillä (lähde: F-Secure).
Vinkki: Älä avaa epäilyttäviä linkkejä, jotka liittyvät hylättyihin maksuihin. Kirjaudu sen sijaan ko. palvelun käyttäjätilillesi ja tarkista maksutilanne siellä.
Kaikkia puhuttavat kriisit
Tietojenkalastelu onnistuu yleensä paremmin silloin, kun ihmiset ovat jo lähtökohtaisesti kiinnostuneita viestin aiheesta. Hyväntekeväisyysjärjestöjen nimissä lähetetään paljon huijausviestejä, joissa pyydetään lahjoituksia kriisialueille. Ukrainan sota oli yksi suosituimmista aiheista viime vuonna (lähde: F-Secure). Osa kampanjoista hyödynsi ihmisten halua auttaa, kun taas osa käytti muita taktiikoita.
Vinkki: Luota vain tunnettuihin hyväntekeväisyysjärjestöihin ja tarkista maksutiedot järjestöjen virallisilta verkkosivuilta.
"Hei äiti" -huijaukset
Tekstiviestihuijaukset alkavat yleensä tuntemattomalta numerolta lähetetyllä WhatsApp-viestillä, joka alkaa sanoilla "Hei äiti" tai "Hei isä". Usein niissä pyydetään lähettämään rahaa jonkun ikävän sattumuksen varjolla – yllättäviä lääkärikuluja tms. äkillistä rahantarvetta. Jos et tunne lähettäjän numeroa tai viestissä käytetään muuten erilaista kieltä, kuin mihin yhdessä olette tottuneet, vaistoon kannattaa luottaa.
Vinkki: Älä koskaan lähetä rahaa tuntemattomista numeroista tulleisiin pyyntöihin varmistamatta ensin niiden aitoutta. Viesteissä saatetaan mm. väittää, että lapsen puhelin on mennyt rikki ja pyyntö tulee siitä syystä toisesta numerosta. Yksinkertaisin tapa on soittaa lapselle ja selvittää, onko tilanne aito.
Pelaaminen ja phishing
Ilmaispelejä, kuten Fortnitea, pelataan yhä enemmän, ja niiden suosion kasvu on houkutellut rikollisia käyttämään erilaisia huijaustekniikoita. Steam ja Roblox olivat suosituimpia pelialustoja, joille kohdistettiin tietojenkalasteluyrityksiä vuonna 2022 (lähde: F-Secure Threat Intelligence). Usein kyseessä on ns. äänestyspetos, joissa pelaajia houkutellaan antamaan kirjautumistietonsa.
Vinkki: Käytä selauksen suojausta ja anna kirjautumistietosi vain virallisilla pelipalvelun sivuilla. Jos käytössäsi on
DNA Digiturva, turvallinen selaus -toiminto estää pääsyn netin tunnetuimmille haitallisille sivustoille.
DNA:n ja F-Securen yhteistyössä toteuttama DNA Digiturva on kaikenkattava palvelu, joka pitää koko perheen tietoturvasta huolta. Sen avulla torjut kattavasti tietoturvauhkat ja suojaat laitteet, henkilötiedot ja netinkäytön, helposti yhdellä palvelulla.
