Kuinka tunnistaa tietojenkalastelu?
Tietojenkalastelun avulla verkkorikolliset varastavat henkilötietoja, kuten puhelinnumeroita sekä pankki- ja henkilötunnuksia. Tämän lisäksi verkkorikollisia kiinnostavat ihmisten kirjautumistiedot eli käyttäjätunnukset ja salasanat, joiden avulla voidaan kirjautua erilaisiin palveluihin. Yleensä tietojenkalastelu tapahtuu väärennettyjen verkkosivujen avulla. Näillä luotettavilta näyttävillä sivuilla käyttäjät huijataan antamaan tietonsa rikollisille. Tietoja voidaan sitten käyttää käyttäjätilien kaappauksiin tai jopa identiteettivarkauksiin.
Tietojenkalastelun avulla voidaan myös tartuttaa haittaohjelmia laitteellesi. Haittaohjelmat naamioidaan kiinnostavaksi sisällöksi, kuten tärkeiksi asiakirjoiksi tai viihdyttäväksi sisällöksi — vaikkapa kissavideoiksi. Tietojenkalastelussa kaikki keinot on sallittu, kunhan kohteen huomio on saatu. Tietojenkalastelun avulla levitettäviä haittaohjelmia ja viruksia kutsutaan troijalaisiksi Kreikan mytologiasta tutun Troijan hevosen mukaan.
Koska tietojenkalastelussa hyödynnetään viestejä, kuten sähköposteja, kohteiden huijaamiseen, kannattaa kiinnittää huomiota itse viesteihin sekä niiden sisältöön. Tietojenkalastelu- eli phishing-viestit voivat usein olla automaattisella kääntäjällä käännettyjä. Tästä syystä tietojenkalasteluviestit sisältävät usein kirjoitusvirheitä tai niiden ulkoasu on epäilyttävä. Jos kyseessä olisi oikeasti virallinen ja luotettava taho, ei heidän verkkoviestinnässään olisi kirjoitusvirheitä tai poikkeamia brändin visuaalisesta tyylistä.
Tämän lisäksi tietojenkalastelu kohdistuu satunnaisesti valikoituihin useisiin ihmisiin. Voit esimerkiksi saada pankin nimissä lähetetyn viestin, joka on kirjoitettu niin, että se voisi olla tarkoitettu kenelle tahansa. Monessa tapauksessa tietojenkalastelun tunnistaa jo viestin otsikosta tai lähettäjän erikoisesta sähköpostiosoitteesta.
Mitkä ovat tietojenkalastelun eri muodot?
Vaikka moni osaakin jo tunnistaa epäilyttävät tietojenkalasteluyritykset sähköpostitse sekä huijaukseen käytettävät verkkosivut, eivät ne ole ainoat tietojenkalastelun muodot. Yleisiä tietojenkalastelun muotoja ovat muun muassa spear phishing eli kohdennettu tietojenkalastelu, smishing ja vishing.
Kohdennettu tietojenkalastelu eli spear phishing
Kuten yllä mainittiin, phishing-viestejä lähetetään usein satunnaisesti isolle joukolle ihmisiä. Kun kyseessä on tarkempi, kohdennettu tietojenkalastelu, puhutaan ilmiöstä nimeltään spear phishing
. Spear phishing ‑huijauksen kohteena voi olla yksityishenkilöiden lisäksi organisaatioita sekä niiden johtohenkilöitä. Kun kyseessä on kohdettaan varten räätälöity, kohdennettu tietojenkalastelu, voi huijausta olla paljon vaikeampi tunnistaa kuin tavanomaisessa tietojenkalastelussa.
Tekstiviestihuijaukset eli smishing
Tekstiviestihuijaus eli smishing hyödyntää joko teksti- tai pikaviestipalveluita kalastelun välineenä. Verkkorikolliset voivat myös ujuttaa olemassaoleviin viestiketjuihin omia, haitallisia viestejään. Tällöin voi olla vaikea tunnistaa esimerkiksi postin tai lähettipalvelun viestin perään ilmestynyttä huijausviestiä. Myös smishing-viestit sisältävät sähköpostien tapaan linkkejä, jotka ohjaavat huijaussivustoille.
Huijauspuhelut eli vishing
Henkilökohtaisia tietoja, kuten pankki- ja henkilötunnuksia, voidaan urkkia myös puhelimitse. Tämä vishing-nimellä kulkeva ilmiö viittaa huijauspuheluihin. Nimi tulee sanoista voice
ja phishing
. Kuten muut kalastelun muodot, vishing-puheluiden soittajat voivat esiintyä pankin tai muun luotettavan tahon nimissä. Yleisiä ovat myös yritysten tai kohteen työnantajan IT-tuen nimissä tehtävät huijauspuhelut. Näiden tarkoituksena on saada huijauksen uhri asentamaan etähallintaohjelma tietokoneelleen.
5 ohjetta tietojenkalasteluhuijausten välttämiseen
Tietojenkalastelun estäminen alkaa siitä, että tiedät, mitä tietojenkalastelu on ja miten se toimii. Alla on 5 vihjettä, joiden avulla vältät tietojenkalasteluhuijaukset sekä tunnistat phishing-viestit ja ‑verkkosivut.
1. Olet itse suurin riskitekijä
Tietojenkalasteluhuijauksen uhriksi ei voi joutua ilman, että toimii verkkorikollisten toivomalla tavalla. Tietojenkalastelun onnistuminen edellyttää yleensä, että käyttäjä saadaan avaamaan huijaukseen käytetty sähköpostiviesti, linkki tai liitetiedosto. Käyttäjän on usein tämän lisäksi tehtävä jotain, jotta rikolliset pääsevät tavoitteisiinsa. Tietojenkalastelun kohteeksi joutunutta henkilöä pyydetään esimerkiksi sallimaan sisältöä, minkä seurauksena laitteeseen tartutetaan troijalainen tai kiristyshaittaohjelma.
Tietojenkalastelussa käyttäjää voidaan myös pyytää kirjoittamaan yksityisiä tietoja huijauslomakkeeseen. Älä siis tee mitään epäilyttävässä viestissä pyydetty toimenpidettä, kuten anna henkilökohtaisia tietojasi, avaa liitetiedostoja tai asenna ohjelmia, joiden turvallisuudesta et ole varma.
2. Kuka tahansa voi joutua tietojenkalastelun uhriksi
Tietojenkalasteluhuijaukset ovat nykyään ammattimaista toimintaa, ja niitä voi olla äärimmäisen vaikea tunnistaa. Tietojenkalasteluhyökkäykset perustuvat usein psykologiaan: siihen, että huijauksen kohde odottaa hyviä uutisia tai pelkää huonoja.
Rikolliset tietävät hyvin, että kohde saattaa odottaa jotakin toimitusta, kuten internetin välityksellä tilattua pakettia verkkokaupasta. Ja vaikka tietojenkalastelun uhri ei odottaisikaan mitään postissa, on aina mahdollista, että joku haluaa lähettää lahjan postitse. Toimituksiin ja verkkokauppatilauksiin liittyviä tietojenkalasteluhuijauksia toteutetaan erityisesti joulun ja Black Fridayn tienoilla. Jos et kuitenkaan ole tilannut mitään ja saat siitä huolimatta viestin noudettavasta paketista, voit hyvällä syyllä epäillä tietojenkalastelua.
3. Tietojenkalasteluhyökkäys tulee usein lähteestä, joka näyttää päällisin puolin uskottavalta
Tyypillisimpiä tietojenkalastelukeinoja ovat sähköpostiin lisättävät liitteet ja linkit. Tietojenkalasteluhyökkäyksiä voidaan lähettää myös teksti- tai pikaviesteinä, esimerkiksi WhatsAppin, Messengerin tai muiden vastaavien palveluiden välityksellä. Mitä uskottavammalta tietojenkalasteluun käytetty viesti vaikuttaa, sitä tehokkaampi se on huijaamaan vastaanottajaansa.
Kalasteluviestin uskottavuutta kasvattaa, jos kyseessä on yleisesti luotettava ja tunnettu taho. Varsin usein huijauksia lähetetäänkin jonkin ison ja luotettavan brändin tai muun nimekkään yrityksen nimissä. Tällaisia ovat esimerkiksi Amazon, monet pankit, FedEx ja muut kuljetusyhtiöt. Tietojenkalastelua tehdään myös sosiaalisen median palvelujen, kuten Facebookin ja Twitterin nimissä.
4. Kiinnitä huomiota viestin kiireellisyyteen
Tietojenkalasteluviesteissä vedotaan usein asian kiireellisyyteen. Jos sinua pyydetään toimimaan nopeasti, suhtaudu viestiin epäilyksellä. Kiireellisen viestin motiivina on mahdollisesti tietojenkalastelu. Jos asialla olisi aidosti kiire, sinua tuskin lähestyttäisiin sähköpostitse tai tekstiviestin välityksellä. Varsinkaan pankit ja luottokorttiyhtiöt eivät koskaan pyydä vahvistamaan korttitietoja, pankkitunnuksia tai muitakaan tietoja sähköpostitse.
Jos asialla on kiire, toimi fiksusti äläkä klikkaa viestin linkkiä. Älä varsinkaan avaa epäilyttäviä liitetiedostoja tai asenna ohjelmia, joita et tunne. Ota yhteyttä lähettäjään esimerkiksi soittamalla ja tarkista, onko viesti aito. Asia on saattanut valjeta sinulle jo ennen puhelun yhdistämistä. Jos vastaanottamasi sähköposti tai muu viesti herättää epäilyksesi, voi kyseessä hyvinkin olla tietojenkalastelu.
5. Luota omiin vaistoihisi
Tämä vihje saattaa kuulostaa epämääräiseltä, mutta kun huomioit edellä mainitut tekijät, tämä on se kaikkein tärkein, jolla estää tietojesi kalastelu. Kaikki netissä ei ole huijausta. Vaikeinta on kuitenkin erottaa aidot jutut huijauksista, kuten sähköpostin välityksellä tehtävästä tietojenkalastelusta. Tietojenkalastelun tunnistaminen jää usein sinun vastuullesi. Aina kun kohtaat jotakin epäilyttävää, kysy itseltäsi: onko tämä realistista ja odotettavissa? Luotatko lähteeseen? Voitko vahvistaa lähteen aitouden esimerkiksi internethaulla tai puhelulla lähettäjälle? Jos vastaus on ei, on parempi katsoa kuin katua.
