Mitä on tietojen­kalastelu?

Kuinka tunnistaa tietojen­kalastelu?

Tietojen­kalastelun avulla verkko­rikolliset varastavat henkilö­tietoja, kuten puhelin­numeroita sekä pankki- ja henkilö­tunnuksia. Tämän lisäksi verkko­rikollisia kiinnostavat ihmisten kirjautumis­tiedot eli käyttäjä­tunnukset ja sala­sanat, joiden avulla voidaan kirjautua erilaisiin palveluihin. Yleensä tietojen­kalastelu tapahtuu väärennettyjen verkko­sivujen avulla. Näillä luotettavilta näyttävillä sivuilla käyttäjät huijataan antamaan tietonsa rikollisille. Tietoja voidaan sitten käyttää käyttäjä­tilien kaappauksiin tai jopa identiteetti­varkauksiin.

Tietojen­kalastelun avulla voidaan myös tartuttaa haitta­ohjelmia laitteellesi. Haitta­ohjelmat naamioidaan kiinnostavaksi sisällöksi, kuten tärkeiksi asia­kirjoiksi tai viihdyttäväksi sisällöksi — vaikkapa kissa­videoiksi. Tietojen­kalastelussa kaikki keinot on sallittu, kunhan kohteen huomio on saatu. Tietojen­kalastelun avulla levitettäviä haitta­ohjelmia ja viruksia kutsutaan troijalaisiksi Kreikan mytologiasta tutun Troijan hevosen mukaan.

Koska tietojen­kalastelussa hyödynnetään viestejä, kuten sähkö­posteja, kohteiden huijaamiseen, kannattaa kiinnittää huomiota itse viesteihin sekä niiden sisältöön. Tietojen­kalastelu- eli phishing-viestit voivat usein olla automaattisella kääntäjällä käännettyjä. Tästä syystä tietojen­kalastelu­viestit sisältävät usein kirjoitus­virheitä tai niiden ulko­asu on epäilyttävä. Jos kyseessä olisi oikeasti virallinen ja luotettava taho, ei heidän verkko­viestinnässään olisi kirjoitus­virheitä tai poikkeamia brändin visuaalisesta tyylistä.

Tämän lisäksi tietojen­kalastelu kohdistuu satunnaisesti valikoituihin useisiin ihmisiin. Voit esi­merkiksi saada pankin nimissä lähetetyn viestin, joka on kirjoitettu niin, että se voisi olla tarkoitettu kenelle tahansa. Monessa tapauksessa tietojen­kalastelun tunnistaa jo viestin otsikosta tai lähettäjän erikoisesta sähkö­posti­osoitteesta.

Mitkä ovat tietojen­kalastelun eri muodot?

Vaikka moni osaakin jo tunnistaa epäilyttävät tietojen­kalasteluyritykset sähkö­postitse sekä huijaukseen käytettävät verkko­sivut, eivät ne ole ainoat tietojen­kalastelun muodot. Yleisiä tietojen­kalastelun muotoja ovat muun muassa spear phishing eli kohdennettu tietojen­kalastelu, smishing ja vishing.

Kohdennettu tietojen­kalastelu eli spear phishing

Kuten yllä mainittiin, phishing-viestejä lähetetään usein satunnaisesti isolle joukolle ihmisiä. Kun kyseessä on tarkempi, kohdennettu tietojen­kalastelu, puhutaan ilmiöstä nimeltään spear phishing. Spear phishing ‑huijauksen kohteena voi olla yksityis­henkilöiden lisäksi organisaatioita sekä niiden johto­henkilöitä. Kun kyseessä on kohdettaan varten räätälöity, kohdennettu tietojen­kalastelu, voi huijausta olla paljon vaikeampi tunnistaa kuin tavan­omaisessa tietojen­kalastelussa.

Teksti­viesti­huijaukset eli smishing

Teksti­viesti­huijaus eli smishing hyödyntää joko teksti- tai pika­viesti­palveluita kalastelun välineenä. Verkko­rikolliset voivat myös ujuttaa olemassa­oleviin viesti­ketjuihin omia, haitallisia viestejään. Tällöin voi olla vaikea tunnistaa esi­merkiksi postin tai lähetti­palvelun viestin perään ilmestynyttä huijaus­viestiä. Myös smishing-viestit sisältävät sähkö­postien tapaan linkkejä, jotka ohjaavat huijaus­sivustoille.

Huijaus­puhelut eli vishing

Henkilö­kohtaisia tietoja, kuten pankki- ja henkilö­tunnuksia, voidaan urkkia myös puhelimitse. Tämä vishing-nimellä kulkeva ilmiö viittaa huijaus­puheluihin. Nimi tulee sanoista voice ja phishing. Kuten muut kalastelun muodot, vishing-puheluiden soittajat voivat esiintyä pankin tai muun luotettavan tahon nimissä. Yleisiä ovat myös yritysten tai kohteen työn­antajan IT-tuen nimissä tehtävät huijaus­puhelut. Näiden tarkoituksena on saada huijauksen uhri asentamaan etä­hallinta­ohjelma tieto­koneelleen.

5 ohjetta tietojen­kalastelu­huijausten välttämiseen

Tietojen­kalastelun estäminen alkaa siitä, että tiedät, mitä tietojen­kalastelu on ja miten se toimii. Alla on 5 vihjettä, joiden avulla vältät tietojen­kalastelu­huijaukset sekä tunnistat phishing-viestit ja ‑verkko­sivut.

1. Olet itse suurin riski­tekijä

Tietojen­kalastelu­huijauksen uhriksi ei voi joutua ilman, että toimii verkko­rikollisten toivomalla tavalla. Tietojen­kalastelun onnistuminen edellyttää yleensä, että käyttäjä saadaan avaamaan huijaukseen käytetty sähkö­posti­viesti, linkki tai liite­tiedosto. Käyttäjän on usein tämän lisäksi tehtävä jotain, jotta rikolliset pääsevät tavoitteisiinsa. Tietojen­kalastelun kohteeksi joutunutta henkilöä pyydetään esi­merkiksi sallimaan sisältöä, minkä seurauksena laitteeseen tartutetaan troijalainen tai kiristys­haitta­ohjelma­.

Tietojen­kalastelussa käyttäjää voidaan myös pyytää kirjoittamaan yksityisiä tietoja huijaus­lomakkeeseen. Älä siis tee mitään epäilyttävässä viestissä pyydetty toimen­pidettä, kuten anna henkilö­kohtaisia tietojasi, avaa liite­tiedostoja tai asenna ohjelmia, joiden turvallisuudesta et ole varma.

2. Kuka tahansa voi joutua tietojen­kalastelun uhriksi

Tietojen­kalastelu­huijaukset ovat nykyään ammattimaista toimintaa, ja niitä voi olla äärimmäisen vaikea tunnistaa. Tietojen­kalastelu­hyökkäykset perustuvat usein psykologiaan: siihen, että huijauksen kohde odottaa hyviä uutisia tai pelkää huonoja.

Rikolliset tietävät hyvin, että kohde saattaa odottaa jotakin toimitusta, kuten internetin välityksellä tilattua pakettia verkko­kaupasta. Ja vaikka tietojen­kalastelun uhri ei odottaisikaan mitään postissa, on aina mahdollista, että joku haluaa lähettää lahjan postitse. Toimituksiin ja verkko­kauppa­tilauksiin liittyviä tietojen­kalastelu­huijauksia toteutetaan erityisesti joulun ja Black Fridayn tienoilla. Jos et kuitenkaan ole tilannut mitään ja saat siitä huolimatta viestin noudettavasta paketista, voit hyvällä syyllä epäillä tietojen­kalastelua.

3. Tietojen­kalastelu­hyökkäys tulee usein lähteestä, joka näyttää päällisin puolin uskottavalta

Tyypillisimpiä tietojen­kalastelu­keinoja ovat sähkö­postiin lisättävät liitteet ja linkit. Tietojen­kalastelu­hyökkäyksiä voidaan lähettää myös teksti- tai pika­viesteinä, esi­merkiksi Whats­Appin, Messengerin tai muiden vastaavien palveluiden välityksellä. Mitä uskottavammalta tietojen­kalasteluun käytetty viesti vaikuttaa, sitä tehokkaampi se on huijaamaan vastaan­ottajaansa.

Kalastelu­viestin uskottavuutta kasvattaa, jos kyseessä on yleisesti luotettava ja tunnettu taho. Varsin usein huijauksia lähetetäänkin jonkin ison ja luotettavan brändin tai muun nimekkään yrityksen nimissä. Tällaisia ovat esi­merkiksi Amazon, monet pankit, FedEx ja muut kuljetus­yhtiöt. Tietojen­kalastelua tehdään myös sosiaalisen median palvelujen, kuten Face­bookin ja Twitterin nimissä.

4. Kiinnitä huomiota viestin kiireellisyyteen

Tietojen­kalastelu­viesteissä vedotaan usein asian kiireellisyyteen. Jos sinua pyydetään toimimaan nopeasti, suhtaudu viestiin epäilyksellä. Kiireellisen viestin motiivina on mahdollisesti tietojen­kalastelu. Jos asialla olisi aidosti kiire, sinua tuskin lähestyttäisiin sähkö­postitse tai teksti­viestin välityksellä. Varsinkaan pankit ja luotto­kortti­yhtiöt eivät koskaan pyydä vahvistamaan kortti­tietoja, pankki­tunnuksia tai muitakaan tietoja sähkö­postitse.

Jos asialla on kiire, toimi fiksusti äläkä klikkaa viestin linkkiä. Älä varsinkaan avaa epäilyttäviä liite­tiedostoja tai asenna ohjelmia, joita et tunne. Ota yhteyttä lähettäjään esi­merkiksi soittamalla ja tarkista, onko viesti aito. Asia on saattanut valjeta sinulle jo ennen puhelun yhdistämistä. Jos vastaan­ottamasi sähkö­posti tai muu viesti herättää epäilyksesi, voi kyseessä hyvinkin olla tietojen­kalastelu.

5. Luota omiin vaistoihisi

Tämä vihje saattaa kuulostaa epä­määräiseltä, mutta kun huomioit edellä mainitut tekijät, tämä on se kaikkein tärkein, jolla estää tietojesi kalastelu. Kaikki netissä ei ole huijausta. Vaikeinta on kuitenkin erottaa aidot jutut huijauksista, kuten sähkö­postin välityksellä tehtävästä tietojen­kalastelusta. Tietojen­kalastelun tunnistaminen jää usein sinun vastuullesi. Aina kun kohtaat jotakin epäilyttävää, kysy itseltäsi: onko tämä realistista ja odotettavissa? Luotatko lähteeseen? Voitko vahvistaa lähteen aitouden esi­merkiksi internet­haulla tai puhelulla lähettäjälle? Jos vastaus on ei, on parempi katsoa kuin katua.