)
){kind=icon}
Tietojenkalastelu on merkittävä sosiaalisen manipuloinnin muoto, jonka tarkoituksena on huijata sinua jakamaan yksityisiä tietoja tai saada sinut napsauttamaan linkkejä tai liitetiedostoja, jotka johtavat haittaohjelmiin tai petollisiin sivustoihin.
Miten tietojenkalasteluhyökkäykset toimivat
Yksinkertaisimmillaan tietojenkalasteluhyökkäys voi koostua vain tekstistä ja URL-osoitteesta. Nämä hyökkäykset voivat tulla mistä tahansa kanavasta, josta saat digitaalisia viestejä, kuten sähköpostista, tekstiviesteistä, pikaviesteistä tai sosiaalisen median kanavista. Tämä tekee tietojenkalastelusta jatkuvasti läsnä olevan riskin ja yhden merkittävimmistä verkkohyökkäysten muodoista.
Phishing-hyökkäysten takana olevat rikolliset pyrkivät tekemään niistä mahdollisimman houkuttelevia ja hyödyntävät ajankohtaisia aiheita. Esimerkiksi Ukrainan sodan aiheuttama maailmanlaajuinen uutisointi johti maaliskuussa 2022 yli 2 000 estettyyn tietojenkalasteluyritykseen (lähde: F‑Secure Threat Intelligence).
Tietojenkalastelun havaitseminen vaikeutuu entisestään
Valitettavasti phishing-huijaukset eivät lisääntymisestään huolimatta ole yhtään helpommin havaittavissa. Aikaisemmin tietojenkalastelun pystyi tunnistamaan välillä jopa koomisen huonosta kieliopista. Tekoälyteknologian ja generatiivisten kielimallien, kuten ChatGPT:n, kehittyminen on kuitenkin tehnyt huijareille entistä helpommaksi saada huijaukset näyttämään vakuuttavalta.
Olet luultavasti nähnyt jonkin phishing-sähköpostin tai tekstiviestin, jossa hyökkäyksen on voinut tunnistaa heti kielioppi- tai kirjoitusvirheen perusteella
, F‑Securen Senior Technical Product Manager Abdullah-Al Mazed kertoo. Valitettavasti suurten kielimallien (LLM) kehityksen ansiosta nämä ajat ovat menneisyyttä. ChatGPT osoittaa, kuinka pitkälle luonnollisen kielen käsittely (NLP) on jo edennyt ja kuinka helppoa on kirjoittaa erittäin vakuuttava sähköpostiviesti tai blogikirjoitus yksinkertaisella kehotuksella ja kourallisella avainsanoja.
Valistusta phishing-huijauksista
Koska tietojenkalastelu kehittyy jatkuvasti, ei ole koskaan ollut tärkeämpää käyttää tietoturvaa, joka auttaa sinua suojatumaan tällaisilta uhkilta. Mutta myös itsensä suojaamisen opettelu on elintärkeää.
Tässä postauksessa yksilöidään viisi tärkeintä phishing-uhkaa vuonna 2025 ja annetaan tietoa siitä, miten ne voidaan tunnistaa ja siten välttää.
1. Sosiaalisen median käyttäjätilien kalastelu
F‑Securen Threat Intelligence ‑tietojen perusteella Facebook, WhatsApp, Instagram ja LinkedIn suosituimpia sosiaalisen median alustoja joihin kohdistetaan tietojenkalasteluhyökkäyksiä. Näille alustoille kohdistuneet rikolliset yrittivät saada haltuunsa esimerkiksi sosiaalisen median tunnuksia, henkilökohtaisia tietoja ja taloudellisia tietoja.
Näin havaitset hyökkäykset: Ne tulevat usein kaveripyyntöjen ja tuntemattomien profiilien lähettämien viestien kautta, jotka sisältävät linkkejä verkkosivuille.
Näin vältät ne: Älä hyväksy tuntemattomien profiilien kaveripyyntöjä. Aseta vaihtoehtoinen sähköpostiosoite tai puhelinnumero tilisi palautusta varten. Käytä yksilöllisiä salasanoja ja kaksivaiheista todennusta.
2. Netflixin nimissä tapahtuva kalastelu
Netflix on television ja elokuvien suoratoistosovellus, jolla on noin 233 miljoonaa tilaajaa (lähde: Statista). Tämän suosion ansiosta Netflix on yksi niistä tuotemerkeistä, joita käytetään eniten tietojenkalasteluun.
Näin havaitset hyökkäykset: Näissä sähköpostiviesteissä vastaanottajille ilmoitettiin, että heidän automaattinen maksunsa oli hylätty. Sen korjaamiseksi uhrit houkuteltiin päivittämään laskutustiedot linkin kautta, joka johti väärennetylle kirjautumissivulle. Kun uhri oli antanut kirjautumistietonsa, hyökkääjät pystyivät ottamaan tilin haltuunsa.
Näin vältät ne: Älä avaa epäilyttäviä linkkejä, jotka varoittavat hylätyistä maksuista; kirjaudu sen sijaan tilillesi ja tarkista maksutilasi siellä.
3. Ajankohtaisia aiheita: Ukraina
Tietojenkalasteluhuijauksissa hyödynnetään usein ajankohtaisia aiheita, sillä on helpompi herättää huomiota, kun ihmiset ovat jo valmiiksi kiinnostuneita aiheesta. Ukrainan sota on yksi merkittävimpiä aiheita, joita huijarit ovat käytäneet tietojenkalastelussa viime vuosina. Osa näistä kampanjoista käyttää hyväkseen ihmisten halua auttaa, mutta osa vetoaa aivan toisenlaisiin mielihaluihin.
Näin havaitset hyökkäykset: Tällaista tietojenkalastelua levitetään sähköpostitse hyväntekeväisyysjärjestöjen, kuten Punaisen Ristin, nimissä. Uhreja houkutellaan lahjoittamaan
kryptovaluuttaa. Toisaalla kampanjat houkuttelevat uhreja ottamaan yhteyttä kuumiin ukrainalaisiin tyttöihin
, jotka etsivät rakkautta. Uhrit luulevat keskustelevansa ukrainalaisnaisten kanssa, mutta heidän täytyy luoda maksullinen profiili deittialustalle, ja joitakin maksamaan, jotta he voisivat jatkaa keskustelua tai avata lisää kuvia.
Näin vältät ne: Kaikki kryptovaluuttamaksuja pyytävät viestit ovat epäilyttäviä. Luota vain tunnettuihin hyväntekeväisyysjärjestöihin. Käytä maksutietoja, jotka on ilmoitettu vain niiden verkkosivustolla. Ja muista: ihmiset, jotka etsivät aidosti rakkautta, eivät pyydä kryptovaluuttaa ennen keskustelua kanssasi.
4. ”Hei äiti” ‑huijaukset
Verkkorikolliset käyttävät kaikkia mahdollisia emotionaalisia keinoja, ja Hei äiti
‑huijaukset ovat erityisen epämiellyttävä muistutus tästä. Hei äiti
-huijaukset ovat smishingiä
eli tekstiviestihuijauksia ja ne alkavat yleensä tuntemattomasta puhelinnumerosta lähetetyllä WhatsApp-viestillä, jonka on lähettänyt huijari ja joka alkaa sanoilla Hei äiti
tai Hei isä
.
Näin havaitset hyökkäykset: Huijaaja kertoo vastaanottajalle, että lapsen puhelin on hajonnut ja että numero, josta viesti lähetetään, on hänen uusi puhelinnumeronsa. Sitten hyökkääjä pyytää rahaa kiireellisen laskun maksamiseen tai uuden puhelimen ostamiseen. Hän sanoo tarvitsevansa rahaa, koska ei pääse pankkiinsa ilman vanhaa puhelinta, tai antaa jonkin muun vastaavan selityksen.
Näin vältät ne: Vanhempien voi olla vaikea ajatella järkevästi, kun heidän lapsensa tarvitsee apua. Juuri tähän huijarit panostavat (heidän tapauksessaan kirjaimellisesti). Jos saat tällaisen tekstiviestin, soita vanhaan numeroon tai lähetä läheisellesi viesti sosiaalisessa mediassa tarkistaaksesi, onko viesti aito. Äläkä koskaan lähetä rahaa ihmisille, jotka ottavat sinuun yhteyttä tuntemattomista numeroista.
5. Pelaamiseen liittyvät phishing-huijaukset
Fortniten kaltaisten ilmaispelattavien pelien (F2P-pelit) suosion kasvu — jotka ansaitsevat rahansa ostamalla pelin sisällä skinejä, aseita ja niin edelleen — on johtanut pelaajiin kohdistuvien huijausten määrän huomattavaan kasvuun. Tällaisia voivat olla esimerkiksi äänestyshuijaukset tai ilmaiset tarjoukset. F‑Securen tietojen mukaan Steam ja Roblox oat verkkorikollisten kohteena olevista pelialustoista suosituimpia.
Näin havaitset hyökkäykset: Vuonna 2022 hyökkääjät alkoivat käyttää äänestyshuijauksiksi
kutsuttua tekniikkaa Steam-tilien varastamiseen. Hyökkäys alkaa Steam- tai Discord-kanavalla, jossa viesti näyttää olevan kaverilta ja pyytää uhria seuraamaan linkkiä ja äänestämään heidän joukkuettaan. Linkki ohjaa phishing-sivulle. Kun he klikkaavat sitä, heidän Steam-tilinsä siirtyy hyökkääjälle.
Roblox-käyttäjiin kohdistetuissa huijauksissa hyökkääjät käyttivät YouTube-videoita houkutellakseen lapsia napsauttamaan linkkiä, jonka kautta he saivat ilmaisia Robuxeja (pelin sisäistä valuuttaa), ja linkki johti katsojat phishing-sivuille, joilla rikolliset saivat kerättyä kirjautumistiedot. Phisherit kaappasivat myös Roblox-tilejä samalla tekniikalla käyttäen väärennettyjä käyttäjäilmoituksia (Robloxin pelin sisäinen viestijärjestelmä).
Näin vältät ne: Käytä selauksen suojausta. Älä anna kirjautumistietojasi tietyn pelipalvelun ulkopuolella. Vältä pääsääntöisesti ilmaista tavaraa, sillä se on usein vain temppu. Ja valista lapsia phishingistä ja huijauksista jakamalla tämä viesti heidän kanssaan.
)