Blogit

Tiedätkö, mitä on smishing? Entä vishing? Ota uudet tietoturvatermit haltuun!

Kyberhuijaukset ovat tänä päivänä huomattavan suurta liiketoimintaa. Maailmalla lähetetään vuosittain miljardeja huijausviestejä ja myös Suomessa erilaiset huijaustavat ovat yleistyneet rajusti. Tutustu tämän hetken keskeisimpiin tietoturvatermeihin, tunnista uhat ja nappaa talteen tärkeät suojautumisvinkit!

Spam phishing

Spam tarkoittaa roskapostia ja phishing tietojenkalastelua. Kyse on siis sähköpostin kautta tapahtuvasta kalasteluhuijauksesta. Viestin lähettäjä näyttää olevan tunnettu palveluntarjoaja, kuten pankki tai verottaja. Viestin mukana on tyypillisesti linkki, joka ohjaa vastaanottajan aidolta näyttävälle sivustolle, jossa palveluun pitäisi kirjautua esimerkiksi verkkopankkitunnuksilla. Huijareiden tavoitteena on kaapata sivuston kautta käyttäjän tunnukset.

Jotta vastaanottajan harkinta saataisiin pettämään, luodaan viestissä tyypillisesti kova kiire väittämällä esimerkiksi, että käyttäjän tilillä on havaittu epätavallista toimintaa tai että tämä on voittanut jonkin palkinnon. Viestejä tai niissä olevia liitteitä ei pidä avata, eikä linkkejä koskaan klikata, sillä niiden mukana voi tulla erilaisia haittaohjelmia.

Smishing 

Tämänkin sanan etymologiaan sisältyy termi phishing eli tietojenkalastelu, mutta ensimmäinen kirjain viittaa tässä tapauksessa SMS-viesteihin, toisin sanoen tekstiviesteihin. Kyse voi olla perinteisistä tekstareista, mutta myös Whatsappiin tai mihin tahansa muuhun pikaviestinsovellukseen saapuvista viesteistä.

Viesti näyttää tulevan aidolta lähettäjältä, kuten postilta, ja siinä on yleensä verkkolinkki sekä kehotus toimia ripeästi. Vastaanottajaa pyydetään esimerkiksi vaihtamaan Instagram-salasana tai maksamaan saapuvan paketin lähetyskulut luovuttaen samalla luottokortti- tai pankkitunnukset. Linkkejä ei kannata avata ja viestit on myös hyvä poistaa saman tien.

Vishing

Vishingin taustalla on sanapari voice phishing, ja sillä tarkoitetaan tietojenkalastelua puhelimitse. Kyse on huijauspuheluista, joissa soittaja väittää olevansa esimerkiksi teknisestä tuesta. Huijari kertoo, että puhelun vastaanottajan tietokoneella on jonkinlainen ongelma, jota varten tämän pitäisi asentaa koneelleen etähallintaohjelma. Soittajan tavoitteena on päästä näin käyttäjän tilille ja käsiksi tämän tietoihin. Puhelu kannattaa katkaista nopeasti.

Vishing-kategoriaan luokitellaan myös ns. häläripuhelut. Tällöin huijari soittaa vastaanottajan numeroon niin, että puhelin soi lyhyesti vain kerran tai pari, minkä jälkeen puhelu katkeaa ja vastaanottajan odotetaan soittavan numeroon takaisin. Kyse on yleensä ulkomaisesta numerosta, johon takaisin soittamalla puhelun hinta voi nousta hyvinkin kalliiksi. Tuntematon ulkomainen puhelinnumero kannattaakin tarkistaa aina ennen kuin siihen soittaa takaisin. Epäilyttävät numerot kannattaa estää kokonaan.

Spear phishing

Spear on englanniksi keihäs, ja vastaavasti spear phishingissä kalastellaan aina yhtä määrättyä, selkeää kohdetta. Ilmiö tunnetaan myös nimellä pomo- tai toimitusjohtajahuijaus. Tässä tapauksessa huijari lähettää vastaanottajalle sähköposti- tai tekstiviestin, joka on naamioitu näyttämään siltä, että se tulee uskottavan näköiseltä taholta, kuten yrityksen toimitus- tai talousjohtajalta.

Viestin vastaanottajaa kehotetaan esimerkiksi maksamaan erääntyvä lasku tai ottamaan yhteyttä tiettyyn Whatsapp-numeroon. Viestin mukana saattaa olla myös viruksen sisältävä liite, joka vastaanottaja kehotetaan avaamaan. Jos viesti on suomeksi, se on tyypillisesti kirjoitettu huonolla suomen kielellä ja myös viestin ulkoasu voi olla epätavallinen.

Vilkaisemalla lähettäjän osoitetta tarkemmin, huomaa, että osoite ei välttämättä olekaan se, mikä sen kuuluisi olla. Viesteihin ei pidä reagoida muuten kuin kollegoja tai yrityksen tietohallintoa varoittamalla, sillä monesti samalla viestillä lähestytään myös muita työntekijöitä saman organisaation sisällä.

URL phishing 

URL on lyhenne sanoista Uniform Resource Locator ja tarkoittaa verkko-osoitetta. URL phishingillä tarkoitetaan linkkejä, jotka on naamioitu näyttämään aidolta, mutta jotka vievätkin pankki- ja käyttäjätunnuksia kalasteleville valesivustoille.

Näitä linkkejä esiintyy niin viesteissä, somekanavissa kuin myös verkkomainoksissa. Usein niihin törmää myös Google-hakutuloksissa, joissa ne on saatu mainosrahalla sponsoroitujen hakutulosten kärkeen. Suomessakin on nähty tapauksia, joissa Googlella on haettu esimerkiksi OmaKantaa tai OmaVeroa ja menty vipuun klikkaamalla hakutulosten ensimmäistä linkkiä.

Huijaukset on helppo välttää kirjautumalla tunnettuihin palveluihin aina suoraan oikean osoitteen kautta. Verkko-osoitteen voi tallentaa esimerkiksi selaimen kirjainmerkkipalkkiin, jolloin sen saa aina nopeasti auki. Kannattaa myös miettiä hetki, ennen kuin klikkaa hakutulosten ensimmäistä linkkiä. Viemällä hiiren kursorin linkin päälle klikkaamatta näet linkin osoitteen ja voit tarkastaa, onko osoite oikea.

Näin suojaudut hyökkäyksiltä

1. Luo vahva salasana ja käytä monivaiheista tunnistautumista 

Vahvat salasanat ja monivaiheinen tunnistautuminen ovat torjunnan A ja O. On tärkeää luoda jokaiseen palveluun ainutlaatuinen salasana ja vaihtaa se riittävän usein, sillä tietovuotoja tapahtuu jatkuvasti.

2. Ennaltaehkäise 

Yhtä lailla tärkeitä ovat tekniset ratkaisut. Vanha kunnon päätelaitesuojaus ja palomuuri antavat jo hyvän suojan. Esimerkiksi DNA Selausturva toimii hyvin perinteisiin kalasteluviesteihin ja tunnistaa haitalliset linkit sekä SMS-tekstiviesteistä että sähköpostiviesteistä. On myös tärkeää päivittää kaikkien laitteiden ohjelmistot aina ajan tasalle ja kirjautua vain tunnettuihin verkkoihin.

3. Pidä pää kylmänä  

Maalaisjärjelläkin pääsee pitkälle. Huijauksia tyypillisesti yhdistävä tekijä on se, että niissä joko luvataan asioita, jotka ovat liian hyviä ollakseen totta, tai vastaanottajan halutaan poikkeavan sovituista protokollista ja toimivan kiireellisesti eri tavalla kuin yleensä. Harkintaa tarvitaan kaikissa kanavissa, sillä poikkeava viesti voi tulla myös esimerkiksi kaapatulta sometililtä.

4. Kuinka toimia, jos jäät kalastelijan haaviin?  

Jos käy kaikesta huolimatta niin, että epäilet luovuttaneesi pankki- tai luottokorttitietosi rikollisille, kerro asiasta välittömästi pankkiin, vaihda salasanat ja tee poliisille rikosilmoitus. Jos yrityksessäsi on tietohallinto-osasto, muista raportoida asiasta myös heille sovittujen toimintatapojen mukaisesti. Tarkista myös laitteesi haittaohjelmien ja virusten varalta.

Tapahtuneesta on hyvä kertoa lisäksi lähipiirille ja varoittaa tuttuja siltä varalta, että joku esimerkiksi esiintyy sinun nimissäsi.

Tietoturvaloukkauksista voi myös ilmoittaa Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskukselle, joka julkaisee verkkosivuillaan säännöllisesti ajankohtaisia kybersääkatsauksia.

 

Varautuminen on paras puolustus: suojaa yrityksesi liiketoiminta DNA:n kattavilla tietoturvapalveluilla! 

Avainsanat:

Verkko Yhteydet Tietoturva Kyberturvallisuus

Lue lisää uudesta työstä

Artikkeli
5/2024 DNA Yrityksille

7 vinkkiä yritysliittymän käyttöön ulkomailla

Artikkeli
5/2024 DNA Yrityksille

Yrittäjä: Osta työvälineet Y-tunnukselle ja säästä! 

Artikkeli
5/2024 DNA Yrityksille

Kyberrosvot: Tietoturvassa yhdistyvät inhimillisyys, teknologia ja varautuminen

Blogi
5/2024 Juho Saarinen

Uhkaähky lamauttaa organisaation – vinkkini sen purkamiseen

Miltä näyttää teknologian vuosi 2024?

Uljaan uuden huomisen onnennumero on 14 – nimittäin niin monta nousevaa teknologiatrendiä esitellään DNA:n vuoden 2024 teknologiatrendiraportissa! Lue valppaasti, sillä monet näistä trendeistä tulevat jättämään jälkensä historiaan.

 

Pysy digitalisaation vauhdissa.

Tilaa DNA Yrityksille -uutiskirje sähköpostiisi!

Hyödynnetäänkö teillä jo uuden työn mahdollisuuksia? Ota yhteyttä – katsotaan yhdessä parhaat ratkaisut yrityksellesi.