Vältä näitä 5 tietojen­kalastelu­huijausta vuonna 2023

Tietojen­kalastelu on merkittävä sosiaalisen manipuloinnin muoto, jonka tarkoituksena on huijata sinua jakamaan yksityisiä tietoja tai saada sinut napsauttamaan linkkejä tai liite­tiedostoja, jotka johtavat haitta­ohjelmiin tai petollisiin sivustoihin.

Miten tietojen­kalastelu­hyökkäykset toimivat

Yksin­kertaisimmillaan tietojen­kalastelu­hyökkäys voi koostua vain tekstistä ja URL-osoitteesta. Nämä hyökkäykset voivat tulla mistä tahansa kanavasta, josta saat digitaalisia viestejä, kuten sähkö­postista, teksti­viesteistä, pika­viesteistä tai sosiaalisen median kanavista. Tämä tekee tietojen­kalastelusta jatkuvasti läsnä olevan riskin ja yhden merkittävimmistä verkko­hyökkäysten muodoista.

Phishing-hyökkäysten takana olevat rikolliset pyrkivät tekemään niistä mahdollisimman houkuttelevia ja hyödyntävät ajan­kohtaisia aiheita. Esi­merkiksi Ukrainan sodan aiheuttama maailman­laajuinen uutisointi johti maalis­kuussa 2022 yli 2 000 estettyyn tietojen­kalastelu­yritykseen (lähde: F‑Secure Threat Intelligence).

Tietojen­kalastelun havaitseminen vaikeutuu entisestään

Valitettavasti phishing-huijaukset eivät lisääntymisestään huolimatta ole yhtään helpommin havaittavissa. Aikaisemmin tietojen­kalastelun pystyi tunnistamaan välillä jopa koomisen huonosta kieli­opista. Teko­äly­teknologian ja geneeristen kieli­mallien, kuten ChatGPT:n, kehittyminen on kuitenkin tehnyt huijareille entistä helpommaksi saada huijaukset näyttämään vakuuttavalta.

Olet luultavasti nähnyt jonkin phishing-sähkö­postin tai teksti­viestin, jossa hyökkäyksen on voinut tunnistaa heti kieli­oppi- tai kirjoitus­virheen perusteella, F‑Securen Senior Technical Product Manager Abdullah-Al Mazed kertoo. Valitettavasti suurten kieli­mallien (LLM) kehityksen ansiosta nämä ajat ovat menneisyyttä. ChatGPT osoittaa, kuinka pitkälle luonnollisen kielen käsittely (NLP) on jo edennyt ja kuinka helppoa on kirjoittaa erittäin vakuuttava sähkö­posti­viesti tai blogi­kirjoitus yksin­kertaisella kehotuksella ja kourallisella avain­sanoja.

Valistusta phishing-huijauksista

Koska tietojen­kalastelu kehittyy jatkuvasti, ei ole koskaan ollut tärkeämpää käyttää tieto­turvaa, joka auttaa sinua suojatumaan tällaisilta uhkilta. Mutta myös itsensä suojaamisen opettelu on elin­tärkeää.

Tässä postauksessa yksilöidään viisi tärkeintä phishing-uhkaa vuonna 2023 ja annetaan tietoa siitä, miten ne voidaan tunnistaa ja siten välttää.

1. Sosiaalisen median käyttäjä­tilien kalastelu

F‑Securen Threat Intelligence ‑tietojen perusteella Facebook, WhatsApp, Instagram ja LinkedIn olivat suosituimmat sosiaalisen median alustat, joihin kohdistettiin tietojen­kalastelu­hyökkäyksiä vuonna 2022. Näille alustoille kohdistuneet rikolliset yrittivät saada haltuunsa esi­merkiksi sosiaalisen median tunnuksia, henkilö­kohtaisia tietoja ja taloudellisia tietoja.

Näin havaitset hyökkäykset: Ne tulevat usein kaveri­pyyntöjen ja tuntemattomien profiilien lähettämien viestien kautta, jotka sisältävät linkkejä verkko­sivuille.

Näin vältät ne: Älä hyväksy tuntemattomien profiilien kaveri­pyyntöjä. Aseta vaihto­ehtoinen sähkö­posti­osoite tai puhelin­numero tilisi palautusta varten. Käytä yksilöllisiä sala­sanoja ja kaksi­vaiheista todennusta.

2. Netflixin nimissä tapahtuva kalastelu

Netflix on television ja elo­kuvien suora­toisto­sovellus, jolla on noin 233 miljoonaa tilaajaa (lähde: Statista). Tämän suosion ansiosta Netflix oli yksi niistä tuote­merkeistä, joita käytettiin eniten tietojen­kalasteluun vuonna 2022: Netflix-huijausten määrä kasvoi 50 prosenttia tammi­kuun ja joulu­kuun 2022 välillä (lähde: F‑Secure).

Näin havaitset hyökkäykset: Näissä sähkö­posti­viesteissä vastaan­ottajille ilmoitettiin, että heidän automaattinen maksunsa oli hylätty. Sen korjaamiseksi uhrit houkuteltiin päivittämään laskutus­tiedot linkin kautta, joka johti väärennetylle kirjautumis­sivulle. Kun uhri oli antanut kirjautumis­tietonsa, hyökkääjät pystyivät ottamaan tilin haltuunsa.

Näin vältät ne: Älä avaa epäilyttäviä linkkejä, jotka varoittavat hylätyistä maksuista; kirjaudu sen sijaan tilillesi ja tarkista maksu­tilasi siellä.

3. Ajankohtaisia aiheita: Ukraina

Phishing-huijauksissa hyödynnetään usein ajan­kohtaisia aiheita, sillä on helpompi herättää huomiota, kun ihmiset ovat jo valmiiksi kiinnostuneita aiheesta. Niinpä Ukrainan sota oli merkittävimpiä aiheita, joita käytettiin tietojen­kalastelussa vuonna 2022. Osa näistä kampanjoista käytti hyväkseen ihmisten halua auttaa, mutta osa vetosi aivan toisen­laisiin mieli­haluihin.

Näin havaitset hyökkäykset: Tällaista tietojen­kalastelua levitettiin sähkö­postitse hyvän­tekeväisyys­järjestöjen, kuten Punaisen Ristin, nimissä. Uhreja houkuteltiin lahjoittamaan krypto­valuuttaa. Toisaalla kampanjat houkuttelivat uhreja ottamaan yhteyttä kuumiin ukrainalaisiin tyttöihin, jotka etsivät rakkautta. Uhrit luulivat keskustelevansa ukrainalais­naisten kanssa, mutta heidän täytyi luoda maksullinen profiili deitti­alustalle, ja joitakin pyydettiin maksamaan enemmän, jotta he voisivat jatkaa keskustelua tai avata lisää kuvia.

Näin vältät ne: Kaikki krypto­valuutta­maksuja pyytävät viestit ovat epäilyttäviä. Luota vain tunnettuihin hyvän­tekeväisyys­järjestöihin. Käytä maksu­tietoja, jotka on ilmoitettu vain niiden verkko­sivustolla. Ja muista: ihmiset, jotka etsivät aidosti rakkautta, eivät pyydä krypto­valuuttaa ennen keskustelua kanssasi.

4. ”Hei äiti” ‑huijaukset

Verkko­rikolliset käyttävät kaikkia mahdollisia emotionaalisia keinoja, ja Hei äiti ‑huijaukset ovat erityisen epä­miellyttävä muistutus tästä. Hei äiti -huijaukset ovat smishingiä eli teksti­viesti­huijauksia ja ne alkavat yleensä tuntemattomasta puhelin­numerosta lähetetyllä WhatsApp-viestillä, jonka on lähettänyt huijari ja joka alkaa sanoilla Hei äiti tai Hei isä.

Näin havaitset hyökkäykset: Huijaaja kertoo vastaan­ottajalle, että lapsen puhelin on hajonnut ja että numero, josta viesti lähetetään, on hänen uusi puhelin­numeronsa. Sitten hyökkääjä pyytää rahaa kiireellisen laskun maksamiseen tai uuden puhelimen ostamiseen. Hän sanoo tarvitsevansa rahaa, koska ei pääse pankkiinsa ilman vanhaa puhelinta, tai jokin muu vastaava selitys.

Näin vältät ne: Vanhempien voi olla vaikea ajatella järkevästi, kun heidän lapsensa tarvitsee apua. Juuri tähän huijarit panostavat (heidän tapauksessaan kirjaimellisesti). Jos saat tällaisen teksti­viestin, soita vanhaan numeroon tai lähetä läheisellesi viesti sosiaalisessa mediassa tarkistaaksesi, onko viesti aito. Äläkä koskaan lähetä rahaa ihmisille, jotka ottavat sinuun yhteyttä tuntemattomista numeroista.

5. Pelaamiseen liittyvät phishing-huijaukset

Fortniten kaltaisten ilmais­pelattavien pelien (F2P-pelit) suosion kasvu — jotka ansaitsevat rahansa ostamalla pelin sisällä skinejä, aseita ja niin edelleen — on johtanut pelaajiin kohdistuvien huijausten määrän huomattavaan kasvuun. Tällaisia voivat olla esi­merkiksi äänestys­huijaukset tai ilmaiset tarjoukset. F‑Securen tietojen mukaan Steam ja Roblox olivat verkko­rikollisten kohteena olevista peli­alustoista suosituimpia, ja niiden osuus kaikista kohteena olevista peli­alustoista oli 66 prosenttia (lähde: F‑Secure Threat Intelligence).

Näin havaitset hyökkäykset: Vuonna 2022 hyökkääjät alkoivat käyttää äänestys­huijauksiksi kutsuttua tekniikkaa Steam-tilien varastamiseen. Hyökkäys alkaa Steam- tai Discord-kanavalla, jossa viesti näyttää olevan kaverilta ja pyytää uhria seuraamaan linkkiä ja äänestämään heidän joukkuettaan. Linkki ohjaa phishing-sivulle. Kun he klikkaavat sitä, heidän Steam-tilinsä siirtyy hyökkääjälle.

Roblox-käyttäjiin kohdistetuissa huijauksissa hyökkääjät käyttivät YouTube-videoita houkutellakseen lapsia napsauttamaan linkkiä, jonka kautta he saivat ilmaisia Robuxeja (pelin sisäistä valuuttaa), ja linkki johti katsojat phishing-sivuille, joilla rikolliset saivat kerättyä kirjautumis­tiedot. Phisherit kaappasivat myös Roblox-tilejä samalla tekniikalla käyttäen väärennettyjä käyttäjä­ilmoituksia (Robloxin pelin sisäinen viesti­järjestelmä).

Näin vältät ne: Käytä selauksen suojausta. Älä anna kirjautumis­tietojasi tietyn peli­palvelun ulkopuolella. Vältä pää­sääntöisesti ilmaista tavaraa, sillä se on usein vain temppu. Ja valista lapsia phishingistä ja huijauksista jakamalla tämä viesti heidän kanssaan.