[Teema] Älä ole helppo saalis kalastelulle

Lokakuussa vietetään jälleen vuosittaista Euroopan kyberturvallisuuskuukautta. Sen tavoitteena on parantaa tietoutta kyberturvallisuuteen liittyvistä asioista. Tänä vuonna aloitamme teemakuukauden muistuttamalla lukijoitamme tutusta, mutta vakavasta ja laajasta ongelmasta: tietojenkalastelusta eli phishingistä.

Pankkitunnuksesi, henkilötietosi, tilitietosi ja salasanasi – kaikki ne kelpaavat kyberrikollisille. Koska ne ovat arvokasta tietoa, niitä yritetään kalastella sinulta viekkaudella ja vääryydellä. Phishing on ikivanha tietoturvaloukkauksen muoto, joka Suomessa kohdistuu erityisesti pankkitunnuksiin.

Tietojasi kalastellaan

Sinunkin hallussasi on sellaista arvokasta tietoa, jota verkkorikolliset yrittävät saada haltuunsa. Pankkitunnuksesi ja maksukorttiesi numerot ovat rikollisille rahan arvoisia. Henkilötietoja tai käyttäjätunnuksia voidaan käyttää identiteettivarkauksiin. Siksi niiden urkkimiseksi nähdään paljon vaivaa ja yritetään houkutella sinua huijaussivuille.

Tietojenkalastelu (phishing) on tietoturvahyökkäys, jossa uhri luulee asioivansa luotettavan osapuolen kanssa, vaikka todellisuudessa luovuttaa luottamuksellista tietoa kyberrikollisille.

Pankkitunnusten kalastelu pankkien nimissä on Suomessa yleisin kalastelun muoto. Kalasteluviesteistä osansa saavat kaikkien Suomessa toimivien pankkien asiakkaat. Viesti väittää olevansa pankin lähettämä, mutta todellisuudessa lähettäjänimi on joko väärennetty tai silminnähden väärä. Oikea pankki ei kysele luottokortti- tai verkkopankkitietoja sähköpostitse.

Tyypillinen huijausviesti haluaa vastaanottajansa menevän rikollisen rakentamalle verkkosivulle, joka näyttää erehdyttävästi aidolta. Sivulla voi näkyä oikeat pankin logot ja tunnukset, mutta väärä selaimen osoiterivi tai verkkovarmenteen puuttuminen paljastaa, ettei kaikki ole kunnossa. Suomalaisten palveluiden sivustot eivät yleensä toimi Etelä-Amerikasta tai Itä-Euroopasta. Hälytyskellojen pitäisi soida myös silloin, kun linkki ohjaa johonkin aivan muuhun osoitteeseen kuin väittää ohjaavansa. Useimmat selaimet kertovat linkin todellisen osoitteen, kun hiiren kursorin vie klikkaamatta linkin päälle.

Entä jos menin jo lankaan?

Jos olet syöttänyt pankkitunnuksesi tai luottokorttitietosi kalasteluviestin perusteella jollekin sivustolle, ota välittömästi yhteyttä pankkiisi. Rikollisille lipsautetut eri palveluiden salasanat kannattaa vaihtaa heti ennen kuin muut käyttävät tunnuksiasi. Sen jälkeen ilmoita tapahtuneesta poliisille, jotta kyberkonnat saadaan käpälälautaan.

Tietojen kalasteluun voi liittyä kaikkea muutakin verkkoharmia, mitä kyberrikolliset keksivät huijaussivustoilleen pystyttää. Samalla saattaa altistua haittaohjelmille, joutua tietomurron kohteeksi tai menettää tietokoneensa botnetin hallintaan. Kalasteluita, tilausansoja ja muita huijauksia yhdistellään toisiinsa ja muuhun verkkorikollisuuteen.

Pidä huolta pankkitilistäsi

Vuonna 2016 Viestintävirastolle ilmoitetuista pankkikalastelusivustoista valtaosa yritti huijata Danske Bankin asiakkaita. Myös Nordean ja OP:n asiakkaita on yritetty houkutella paljastamaan verkkopankkitunnuksensa rikollisille.

Huijausviestejä lähetellään eniten pankkien nimissä, mutta niitä ei ole varsinaisesti kohdistettu keneenkään. Kenelle tahansa voi tulla tekaistuja viestejä Danske Bankin, Nordean, OP:n, Aktian tai S-pankin nimissä, vaikkei olisi näiden pankkien asiakas. Välillä kalasteluansat menevät keskenään sekaisin ja Nordean linkistä aukeaakin Danske Bankin näköinen huijaussivusto. Rikolliset luottavat siihen, että jokin viesteistä meni sopivaan osoitteeseen ja että joku klikkaa kuitenkin. Silti ei silti pidä luottaa siihen, että rikolliset toimivat huolimattomasti, sillä mukana on hyvin taitavastikin tehtyjä kalastelusivuja.

Kalastelusivustojen jakauma suomalaisten pankkiasiakkaiden kesken


Ihmisiä koetetaan naruttaa muidenkin kuin pankkien nimissä. Tänä vuonna huijausviestien teemat ovat liittyneet pankkien lisäksi Postiin, Poliisiin, Tulliin ja Verohallintoon. Myös perintäyhtiöiden nimissä yritetään harhauttaa kalastelusivulle. Monet huijausviestit näyttävät tulevan info@[yrityksen_nimi]-osoitteesta. Tietoja voidaan urkkia myös tekstiviesteillä tai nettikyselyissä.

Ole tarkkana, huomaa poikkeamat ja tee ilmoitus

Viestintävirastoon raportoidaan huijaussivustoista lähes päivittäin. Pankkihuijaukset ovat rikoksia myös ulkomailla, joten viranomaisten yhteistyöllä kalastelusivustoja saadaan myös suljettua. Parhaimmillaan huijareiden kalastelupyydykset torpedoidaan muutamassa minuutissa, mutta ikävä kyllä uusia syntyy kuin sieniä sateella. Sekä pankeilla että Viestintävirastolla on omat osoitteensa verkkohuijausilmoituksia varten. Sinunkin tarkkaavaisuutesi auttaa pitämään omat ja muiden pankkitilit turvassa.

Lisätietoja

Asiasanat: Tietoturva , Kyberturvallisuus , Tietojen kalastelu (phishing) , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248