Verkkohuijaukset ovat muuttuneet viime vuosina yhä monipuolisemmiksi. Ei enää riitä, että osaa tunnistaa epäilyttävän sähköpostin, sillä huijaus voi tulla myös puhelinsoittona, tekstiviestinä, sosiaalisen median mainoksena tai jopa QR-koodin kautta. Vaikka keinot ovat moninaiset, kaikissa tapauksissa rikolliset tavoittelevat henkilökohtaisia tietojasi, pankkitietojasi tai pääsyä käyttäjätileillesi.
Aiemmassa blogissamme annoimme vinkkejä sähköpostitse tehtävän tietojenkalastelun (englanniksi phishing) tunnistamiseen. Nyt katsomme tarkemmin, millaisissa muodoissa huijausviestit nykyään esiintyvät ja miksi ne toimivat niin tehokkaasti.
Huijausviestit ovat yhä tehokkaampia
Perinteinen tietojenkalastelu on edelleen yleisin tapa houkutella käyttäjiä ansaan. Siinä huijaus naamioidaan pankin, viranomaisen tai muun tutun toimijan viestiksi ja ohjataan käyttäjä väärennetylle sivulle. Viime vuosina huijausviestien rinnalle on noussut muita muotoja: vishing-huijauksessa soitto tulee esimerkiksi pankin edustajalta, joka vetoaa kiireelliseen tilanteeseen, smishing tapahtuu tekstiviestillä, jossa väitetään esimerkiksi paketin jääneen tulliin, ja quishing perustuu QR-koodin skannaamiseen. Logiikka on kaikissa sama: viestin on tarkoitus näyttää kiireelliseltä ja luotettavalta, jotta vastaanottaja antaisi tietonsa.
Huijausten teho ei perustu pelkästään teknisiin keinoihin, vaan yhä useammin niissä hyödynnetään psykologisia vaikutuskeinoja. Useimmat huijaukset rakentuvat luonnollisten reaktioidemme varaan. Kun tiedostaa nämä keinot, huijauksen tunnistaminen helpottuu yhteydenottotavasta riippumatta.
Huijausviestien psykologiset vaikutuskeinot:
1. FOMO (Fear of Missing Out, eli pelko jäädä paitsi)
Ihmiset pelkäävät vaistomaisesti jäävänsä paitsi jostakin, olipa kyse palkinnosta, alennuksesta tai rajatusta mahdollisuudesta. Ajatus siitä, että muut saavat jotakin mitä itse ei saa, lisää riskiä toimia harkitsemattomasti.
2. Väärän luottamuksen rakentaminen
Huijarit rakentavat luottamusta jäljittelemällä tunnettuja brändejä ja käyttämällä samoja logoja, värejä ja fontteja kuin aidot palvelut. Yhä useammin rikolliset turvautuvat myös tunnettujen henkilöiden kuviin ja videoihin. Tekoälyllä tuotetut syväväärennetyt videot, eli deepfake-sisällöt, tekevät huijauksista erityisen vaarallisen uskottavia.
3. Vastavuoroisuuden periaate
Huijarit hyödyntävät vastavuoroisuuden periaatetta. Kun käyttäjä kokee saavansa jotakin, kuten kupongin, ennakkorekisteröinnin tai lahjan, hän on alttiimpi antamaan tietojaan tai klikkaamalla linkkiä.
4. Kiireellisyys ja stressi
Huijaukset hyödyntävät usein kiireen tuntua. Viesteissä voidaan väittää esimerkiksi, että tili suljetaan 24 tunnin kuluessa tai että maksu on suoritettava heti. Keinotekoinen kiire luo stressiä ja heikentää rationaalista päätöksentekoa, mikä tekee käyttäjistä alttiimpia klikkaamaan linkkejä tai antamaan tietojaan. Tämä toimii erityisen hyvin vanhempien ja digitaalisesti vähemmän kokeneiden käyttäjien kohdalla.
Varoitusmerkit, joihin kannattaa kiinnittää huomiota
Kun tunnistat huijareiden käyttämät psykologiset keinot, seuraava askel on oppia tunnistamaan huijausviestin varoitusmerkit. Ensimmäinen niistä liittyy linkkeihin: jos osoitteessa on outoja merkkejä, kirjoitusvirheitä tai tuntematon verkkotunnus, kyseessä on todennäköisesti huijaus. Myös osoitteen alussa näkyvä “https” voi olla harhaanjohtava, sillä se kertoo vain yhteyden salauksesta, ei verkkosivun luotettavuudesta. Kuten kuka tahansa, myös huijarit voivat hankkia tämän sertifikaatin sivuilleen.
Jos epäilet linkin oikeellisuutta, tarkista aina, vastaako URL-osoite odotuksiasi. Helpoin tapa on viedä hiiri painikkeen tai linkin päälle ja katsoa, mihin osoitteeseen se todella johtaa. Mobiililaitteilla tämä onnistuu yleensä pitkällä napautuksella, joka paljastaa kohdeosoitteen. Turvallisin ratkaisu on käyttää osoitteen lähteenä muuta kuin viestin linkkiä. Voit esimerkiksi tarkistaa osoitteen toisesta lähteestä ja kirjoittaa sen itse selaimen osoiteriville. Näin varmistat, että päädyt varmasti oikealle sivulle etkä huolellisesti rakennetulle huijaussivulle.
Viestin kieliasu on toinen huomionarvoinen asia. Virheelliset tai kömpelöt tekstit voivat paljastaa huijauksen, mutta täysin sujuva kieli ei sekään ole tae aitoudesta, sillä rikolliset käyttävät nykyään tekoälyä viestien viimeistelyyn.
Pysähdy ennen kuin toimit
Huijausyrityksiä ei voi kokonaan estää, mutta riskiä voi pienentää tunnistamalla varoitusmerkit ja toimimalla rauhallisesti. Kun pysähdyt miettimään viestin oikeellisuutta ennen klikkaamista, olet jo ottanut suurimman askeleen oman tietoturvasi suojaamiseksi.
Muista: Jos jokin viestissä tuntuu liian kiireelliseltä ja hyvältä ollakseen totta, pysähdy. Kyseessä on todennäköisesti huijaus. Älä koskaan jaa henkilökohtaisia tietoja, pankkitunnuksia tai maksukorttisi numeroa sähköpostitse, tekstiviestitse tai epäilyttävillä verkkosivustoilla. Näin suojaat itsesi huijaukselta.
Lue lisää tietojenkalastelusta aikaisemmasta blogistamme.