Mitä phishing eli tietojenkalastelu on?
Phishing tarkoittaa sitä, että uhrille lähetetään sähköposti, jonka tarkoituksena on kalastella uhrin tietoja, kuten salasanoja tai luottokorttitietoja. Tarkoituksena voi olla päästä käsiksi myös yrityksen järjestelmiin.
Phishing-viestit naamioidaan uskottaviksi, ja tarkoituksena on saada sähköpostin saaja uskomaan, että kyseessä on esimerkiksi pankilta tai työelämään liittyvältä luotettavalta taholta tullut viesti. Moni on myös saanut yhteydenoton, jossa kerrotaan jonkinlaisen rahapalkinnon voittamisesta, ja palkinnon lunastamista varten viestin saajan on seurattava linkkiä ja maksettava pieni summa.
Uhri on tarkoitus houkutella klikkaamaan viestissä olevaa linkkiä, joka johtaa valesivuille. Kyseessä on siis esimerkiksi pankin verkkosivuja muistuttavat sivut, joille uhri luottavaisena syöttää pankkitunnuksensa tai muita tietoja, joiden avulla rikolliset pääsevät käsiksi hänen rahoihinsa.
Tietojenkalasteluviesti saattaa sisältää linkin sijaan myös tiedoston, jonka lataamalla uhri asentaa koneelleen haittaohjelman, joka saattaa levitä paitsi omaan koneeseen, myös työpaikan tietojärjestelmiin. Tietojenkalasteluviestin voi saada myös tekstiviestinä tai keskustelusovelluksessa.
Pahimmassa tapauksessa uhri saattaa menettää suuriakin rahasummia. Haittaa ei aiheudu ainoastaan yksityishenkilöille, vaan kalastelun kohteena voi olla kokonainen yritys.
“Riittää, että yksi huolimaton työntekijä klikkaa vaarallista linkkiä, ja saastuttaa siten koko yrityksen verkon haittaohjelmalla”, NordVPN:n kyberturvallisuusasiantuntija Daniel Markuson kertoo. “Verkkorikolliset matkivat usein tunnettuja ja hyvämaineisia tahoja, ja hiovat kalasteluviestinsä uskottaviksi, jolloin on hyvin vaikeaa tietää onko kyseessä aito viesti vai ei.”
Onnistunut tietojenkalastelu voi aiheuttaa suurta vahinkoa. “Tietojenkalasteluhyökkäys voi johtaa maineen vahingoittumiseen, tulojen menetykseen, sakkoihin tai jopa konkurssiin”, Markuson kuvailee.
Miksi kyberrikollisuus on kasvanut?
Vuosi 2020 oli verkkorikollisuuden kasvun vuosi. Se liittyy monella tavoin koronaviruspandemiaan, joka on tarjonnut verkkorikollisille uusia mahdollisuuksia. “Monet ihmiset työskentelevät pandemian aikana kotona, ja tietojenkalasteluhyökkäykset ovat lisääntyneet”, Markuson huomauttaa.
Monien phishing-viestien sisältökin liittyy myös koronavirukseen. Ison-Britannian yleisradioyhtiö BBC:n mukaan Covid-19-virukseen liittyviä urkintaviestejä lähetetään valtavia määriä, ja kalasteluviestien määrä on kasvanut yli 600 prosentilla. Virusta koskevat viestit on naamioitu näyttämään viranomaisten lähettämiltä, ja ne johdattelevat uhrin lataamaan tiedoston tai lahjoittamaan rahaa.
Etätyöskentelijät ja muut internetin käyttäjät saavat siis entistä enemmän vaarallisia sähköpostiviestejä, joten riski tietojenkalasteluun haksahtamiseen on erittäin korkea.
“Kaikilla internetin käyttäjillä ei ole tarpeeksi tietoa verkossa vaanivista vaaroista ja verkkoturvallisuudesta, ja hakkerit käyttävät tätä tilaisuutta hyväkseen rahaa tienatakseen. Jos yritykset eivät kouluta työntekijöitään tunnistamaan kalasteluviestejä ja suojaaman järjestelmiään, on vain ajan kysymys, milloin he saattavat joutua rikollisten uhreiksi”, Markuson muistuttaa.
Vaikka osa huijausviesteistä torjutaankin ennen kuin ne ehtivät käyttäjien sähköpostilaatikoihin, on tärkeää, että etätyöntekijät ja muut verkossa liikkujat tunnistavat vaaralliset viestit.
Näin tunnistat phishing-viestit ja muut tietojenkalasteluyritykset
Paras tapa torjua phishing-viestejä työelämässä ja yksityiselämässä on opetella tunnistamaan vaarat.
Phishing-viestit voivat vaikuttaa päällisin puolin hyvinkin aidoilta. Niissä saatetaan käyttää esimerkiksi yrityksen logoja ja kuvastoa, ja kielikin voi olla hyvin uskottavaa.
Uskottavuus on kuitenkin vain osa huijausyritystä. Usein viestit vetoavat uhreihin luomalla tunteen siitä, että heidän on toimittava nopeasti. Uhri saattaa esimerkiksi huolestua, että hänen pankkitilinsä on vaarassa, tai jokin työskentelyyn liittyvä tili täytyy päivittää.
Uhrille saatetaan myös luvata yllättävä rahasumma tai palkinto, ja ajatus mahdollisesta mukavasta tai taloudellisesti merkittävästä summasta vaimentaa varoituskellot.
Seuraavia askelia seuraamalla phishing-yritykset voi tyrmätä alkuunsa:
●Tarkista, mistä osoitteesta viesti on tullut. Usein lähettäjän osoite paljastaa, että viesti ei ole aito. Osoitteen loppuosassa ei siis näy yrityksen nimeä, vaikka alkuosa voikin vaikuttaa aidolta.
●Kiinnitä huomiota viestin kieleen. Jos viestin teksti on huonosti kirjoitettua suomea, viesti ei ole mitä todennäköisimmin aito.
●Luvataanko sinulle rahaa tai palkinto? Jos et ole osallistunut arvontaan tai pelannut, tuskin olet mitään voittanutkaan. Oikeiden arvontojen voittajilta ei myöskään vaadita erilaisten tietojen antamista tai ennakkomaksun maksamista.
●Osa phishing-viesteistä on kieleltään huoliteltuja tai henkilökohtaisiksi räätälöityjä, ja ne saattavat vaikuttaa erittäin uskottavilta. Ole kuitenkin tarkkana kaikkien tiedostojen lataamista, linkkien avaamista tai tietojen antamista vaativien viestien kanssa. Ennen kuin klikkaat linkkiä, laita hiiren kursori linkin ylle. Näin näet, mihin osoitteeseen linkki vie.
●Esimerkiksi pankkien sivuilla saatetaan varoittaa liikkeellä olevista tietojenkalasteluviesteistä. Käy siis sen yrityksen sivuilla, joita viesti koskee, ja tarkista onko siellä aiheeseen liittyvää tietoa. Voit myös ottaa yritykseen yhteyttä ja varmistaa, onko viesti aito.
Vinkit tietojenkalastelun torjumiseen
Yritysten näkökulmasta on tärkeää huolehtia järjestelmien turvallisuudesta myös etätyöskentelyä ajatellen sekä kouluttaa työntekijät tunnistamaan erilaiset vaaratilanteet.
Yksityiskäyttäjienkin on tärkeää pitää huolta tietoturvasta, eli hankkia kunnollinen virustorjuntaohjelma ja perehtyä erilaisiin tietoturvariskeihin ja yleisiin huijausyrityksiin. Perheenjäsenten kannattaa huolehtia toistensa turvallisuustaidoista, ja etenkin iäkkäämmille internetin käyttäjille kannattaa kertoa erilaisista riskeistä ja neuvoa, miten niitä voi torjua.
VPN-palvelun käyttäminen on myös järkevää, sillä se suojaa käyttäjien yksityisyyttä, joten huijareiden on vaikeampi saada heistä tietoa. VPN siis suojaa käyttäjiä vaarallisilta kalasteluyrityksiltä, jotka on laadittu uskottaviksi erityisesti uhrin tietoja hyödyntäen.
Lisäksi erilaisiin palveluihin kannattaa aina mennä palvelun oman sivuston kautta, eikä erilaisia sähköpostien tai muiden viestien linkkejä klikkaamalla.