Saitko juuri viestin, jossa pyydetään vahvistamaan pankkitunnukset tai maksamaan pieni tullimaksu paketista? Hengitä syvään. Kyse on lähes varmasti tietojenkalastelusta, ja olet oikeassa paikassa.
Tämä on se hetki, kun muutama minuutti lukemista voi säästää satoja tai tuhansia euroja – ja sen kiusallisen soiton pankkiin, jossa selität miksi tilisi on tyhjä.
Mitä tietojenkalastelu tarkoittaa?
Tietojenkalastelu on huijausta, jossa rikollinen esiintyy luotettavana tahona saadakseen sinut luovuttamaan arkaluontoisia tietoja. Yleensä kohteena ovat pankkitunnukset, luottokorttinumerot, salasanat tai henkilötunnus.
Englanniksi ilmiötä kutsutaan nimellä phishing, ja sana on tarkoituksellinen väännös verbistä ”fishing” – kalastelusta. Syötti heitetään veteen ja odotetaan, kuka tarttuu. Joskus syötti on pankin logo, joskus Postin seurantalinkki, joskus Netflixin ”maksu epäonnistui” -ilmoitus.
Tietojenkalastelu ei ole tekninen hyökkäys vaan psykologinen. Se ei murra lukkoa – se saa sinut avaamaan oven itse.
Huijari ei tarvitse supertietokonetta. Hän tarvitsee vain yhden kiireisen ihmisen, joka ei ehdi lukea osoiteriviä kunnolla.
Miltä huijausviesti näyttää juuri nyt?
Suomalaisiin kohdistuvat huijaukset ovat muuttuneet vuosi vuodelta uskottavammiksi. Tekoälyn myötä kirjoitusvirheet ovat käytännössä kadonneet, ja viestit jäljittelevät oikeiden palveluiden ulkoasua pikselintarkasti.
Tyypillisimmät naamiot tällä hetkellä:
- Posti ja OmaPosti – ”Pakettisi odottaa, maksa 2,99 € tullimaksu”
- Pankit – ”Epäilyttävä kirjautuminen havaittu, vahvista henkilöllisyytesi”
- Verohallinto – ”Sinulla on veronpalautus odottamassa”
- Traficom tai poliisi – ”Sakkovaatimus, maksa heti tai asia etenee”
- Netflix, Spotify, HBO – ”Maksusi epäonnistui, päivitä korttitiedot”
- Microsoft ja Apple – ”Tilillesi kirjauduttiin Venäjältä”
Kaikilla näillä on sama käsikirjoitus: kiire, pelko ja linkki, jota sinun pitäisi klikata nyt heti.
Näin tunnistat huijauksen muutamassa sekunnissa
Paras suoja on hitaus. Oikea pankki ei koskaan vaadi sinua tekemään mitään kolmen minuutin sisällä, eikä posti lähetä sakkoja tekstiviestillä.
| Merkki | Mitä tarkistaa |
|---|---|
| Lähettäjän osoite | Onko domain oikea? ”posti-fi.com” ei ole Posti |
| Linkin kohde | Vie hiiri linkin päälle – näkyykö oikea osoite? |
| Kiireen luominen | ”24 tuntia aikaa”, ”tili suljetaan heti” |
| Outo tervehdys | ”Hyvä asiakas” ilman nimeäsi |
| Maksupyyntö | Tullimaksut, pienet ”vahvistusmaksut” |
| Tunnusten kysely | Yksikään oikea taho ei kysy salasanaa sähköpostilla |
Nyrkkisääntö: jos viesti saa sinut tuntemaan paniikkia tai kiirettä, se on juuri sitä mihin huijari pyrkii. Sulje viesti ja soita palveluntarjoajalle itse, virallisen numeron kautta.
Onko huijausviestin avaaminen vaarallista?
Pelkän viestin lukeminen ei yleensä ole vaarallista. Sähköposti tai tekstiviesti ei itsessään aja haittaohjelmaa laitteellesi, jos et tee mitään muuta.
Vaara alkaa siitä hetkestä, kun klikkaat linkkiä, avaat liitteen tai syötät tietoja. Erityisen riskialttiita ovat Office-liitteet, joissa pyydetään ”ottamaan makrot käyttöön”, sekä zip-tiedostot tuntemattomilta lähettäjiltä.
Yksi poikkeus on kuitenkin hyvä tietää: jotkin viestit sisältävät pieniä seurantapikseleitä, joilla huijari näkee että osoitteesi on aktiivinen. Tämän jälkeen viestejä tulee lisää. Siksi parasta on poistaa huijausviesti ilmoittamatta lähettäjälle mitään.
Mitä tehdä, jos olet jo klikannut?
Ensinnäkin: älä paniikkia. Toiseksi: toimi nopeasti. Järjestyksessä näin:
- Katkaise nettiyhteys laitteesta, jolla klikkasit – etenkin jos latasit jotain
- Vaihda salasana siihen palveluun, jonka tunnuksia yritit syöttää, ja kaikkiin muihin joissa käytit samaa salasanaa
- Ota yhteys pankkiisi, jos annoit pankkitunnuksia tai korttitietoja – pankin sulkunumero toimii ympäri vuorokauden
- Tee rikosilmoitus poliisille osoitteessa poliisi.fi, vaikka raha olisi jo mennyt
- Ilmoita Kyberturvallisuuskeskukseen osoitteessa kyberturvallisuuskeskus.fi, jotta muut saavat varoituksen
- Tarkista laite ajantasaisella virustorjunnalla, jos latasit jonkin tiedoston
Nopeus ratkaisee erityisesti pankkitunnusten kohdalla. Parhaimmillaan pankki ehtii pysäyttää siirron, jos soitat minuuttien sisällä.
Onko tietojenkalastelu rikos?
Kyllä, ja melko vakava sellainen. Tietojenkalastelu täyttää Suomen rikoslaissa useamman rikoksen tunnusmerkistön: tyypillisesti petos tai törkeä petos, identiteettivarkaus sekä maksuvälinepetos.
Maksimirangaistukset ovat kovia, jopa useita vuosia vankeutta. Ongelma on vain se, että tekijät toimivat lähes aina ulkomailta, ja kiinnijäämisriski on pieni. Siksi ennaltaehkäisy on käytännössä ainoa toimiva suoja.
Tietosuojavaltuutetun toimisto seuraa ilmiötä jatkuvasti ja julkaisee tilastoja ilmoitetuista tietoturvaloukkauksista. Luvut ovat olleet nousussa joka vuosi.
Miksi juuri sinä olet kohteena?
Moni ajattelee, ettei ole tarpeeksi kiinnostava huijareille. ”Ei mulla ole mitään varastettavaa.” Tämä on yksi syy, miksi tietojenkalastelu toimii niin hyvin.
Totuus on, että huijarit eivät valitse sinua henkilökohtaisesti. He lähettävät miljoonia viestejä automatisoidusti ja odottavat, että yksi prosentti vastaa. Se yksi prosentti riittää tekemään rikollisesta toiminnasta erittäin kannattavaa.
Tavallisen suomalaisen pankkitili on huijarille aivan yhtä arvokas kuin kenen tahansa muun. Ja jos sinulla sattuu olemaan sama salasana useassa palvelussa, yksi onnistunut kalastelu avaa oven kymmeniin paikkoihin.
Paras suoja on kerroksittainen
Yksittäinen temppu ei riitä. Yhdistämällä muutaman käytännön saat kuitenkin suojan, joka riittää 99 prosentissa tapauksista.
- Kaksivaiheinen tunnistus käyttöön kaikkiin tärkeisiin palveluihin
- Eri salasana joka palveluun – salasanojenhallintaohjelma hoitaa muistamisen
- Päivitykset ajan tasalla puhelimessa, tietokoneessa ja selaimessa
- Pankin sovellus virallisen kaupan kautta, ei koskaan linkistä
- Epäilys oletuksena – jos viesti tuntuu oudolta, se yleensä on
Hyvä lisäsuoja on myös [sisäinen linkki: salasanojenhallintaohjelmien vertailu], sillä ihmismuisti ei yksinkertaisesti riitä nykyiseen palvelumäärään.
Ja jos epäilet saaneesi huijausviestin, [sisäinen linkki: huijausviestien ilmoittaminen viranomaisille] auttaa sinua ja muita.
Usein kysytyt kysymykset
Mitä tietojen kalastelulla eli phishingillä tarkoitetaan? Se on rikollista toimintaa, jossa sinulta yritetään huijata henkilötietoja, tunnuksia tai rahaa esiintymällä luotettavana tahona. Yleensä viestin kautta, mutta myös puhelimitse.
Voiko huijari saada tietoni ilman että teen mitään? Pelkkä viestin näkeminen ei yleensä riitä. Tietojen luovuttamiseen vaaditaan jokin toiminto sinulta – klikkaus, syöttö tai liitteen avaus.
Miksi saan niin paljon näitä viestejä? Sähköpostiosoitteesi tai puhelinnumerosi on vuotanut jossain tietomurrossa ja päätynyt listoille, joita huijarit käyttävät. Voit tarkistaa vuodot sivustolla haveibeenpwned.com.
Riittääkö virustorjunta suojaksi? Se auttaa, mutta ei pelasta sinua, jos syötät tunnuksesi vapaaehtoisesti väärennetylle sivulle. Tietojenkalastelussa heikoin lenkki on aina ihminen, ei ohjelmisto.
Lue myös napakka artikkelimme millainen on vahva salasana!
