Tietojenkalastelu on nykyään arkipäiväinen uhka, johon useimmat meistä ovat törmänneet. Onnistunut verkossa tapahtuva tietojenkalastelu voi johtaa esimerkiksi sähköpostitunnusten tai pankkitietojen vuotamiseen vääriin käsiin. Tässä artikkelissa jaamme vinkkimme siitä, miten tunnistat kalasteluviestit ja vahvistat omaa tietoturvaasi niitä vastaan.

Phishing eli suomeksi ”tietojenkalastelu” on yksi yleisimmistä internetiin liittyvistä tietoturvauhkista. Tässä huijausmuodossa rikollinen pyrkii saamaan henkilökohtaisia tietoja luotettavilta vaikuttavien viestien avulla. Näitä henkilökohtaisia tietoja voidaan käyttää rikollisiin tarkoituksiin, kuten esimerkiksi identiteettivarkauksiin, petoksiin tai jopa kiristykseen. Vuotaneilla käyttätunnuksilla ja salasanoilla rikollinen voi päästä suoraan uhrin tileille, mikä voi johtaa suoriin taloudellisiin menetyksiin.

Tietojenkalastelutapoja on monia, ja kalastelija voi esiintyä esimerkiksi pankkina, viranomaisena tai vaikka kuriiripalveluna. Kalasteluviesti voi olla esimerkiksi yhteydenotto tunnetulta yritykseltä, jossa pyydetään kirjautumaan heidän palveluun viestissä olevasta linkistä. Todellisuudessa linkki ohjaa käyttäjän väärennetylle sivustolle. Käyttäjä saattaa epähuomiossaan syöttää tietonsa linkin kautta, jolloin kirjautuminen jakaa käyttäjätunnukset rikolliselle. Huijausviestien teho perustuu usein ihmisten inhimillisten heikkouksien hyödyntämiseen. Näitä voivat olla mm. uteliaisuus, stressitilanteet tai kiireen tuntu.

Näin tunnistat tietojenkalasteluviestin

Vaikka kalasteluviestit ovat aina vain uskottavampia, voidaan ne yleensä tunnistaa melko helposti. Listasimme neljä vinkkiä, jotka auttavat sinua tunnistamaan huijausviestin.

1. Mieti onko sinulla syy vastaanottaa saamasi sähköposti

Pohdi miksi saat tällaisen viestin. Voit esimerkiksi vastaanottaa ilmoituksen koskien pakettia, joka on joutunut odottamatta tulliin. Mikäli et odota mitään lähetystä, on helppo epäillä viestin aitoutta.

2. Tarkastele sähköpostin lähettäjää

Tietojenkalastelussa lähettäjän nimi saattaa näyttää sähköpostiviestissä oikealta ja luotettavalta, mutta totuus paljastuu usein tarkastelemalla tarkemmin sähköpostiosoitetta. Useimmissa sähköpostipalveluissa viestin lähettäjän saa selville klikkaamalla lähettäjän nimeä sähköpostiviestin yläreunassa. Lähettäjän arvioinnissa on kuitenkin syytä olla erityisen varovainen, koska osoite voi olla erittäin aidon oloinen. Joissain tilanteissa sähköpostitili voi olla jopa huijareiden kaappaama aidolta organisaatiolta. Jos epäilet viestin aitoutta, älä vastaa sähköpostiviestiin tai käytä muita viestissä mainittuja yhteystietoja.

3. Kiinnitä huomiota sähköpostin sisältöön ja kieleen

Tarkista ensin, onko sähköpostiviestin aihe kirjoitettu oikein. Kalastelija saattaa tehdä viestistä houkuttelevamman käyttäen lyhenteitä kuten “RE:” ja “FWD” aihekentässä. Näin lukijalle tulee vaikutelma, että viesti on jo osa olemassa olevaa viestiketjua. Lue myös viestin sisältö ajatuksella läpi. Kielioppivirheet, vieraskieliset sanat ja virheelliset välimerkit voivat paljastaa viestin huijaukseksi.

4. Tarkasta viestin aitous käyttämällä toista lähdettä

Jos viestin lähettäjä tai sisältö eivät selvästi viittaa kalasteluun, mutta jokin saa sinut epäilemään viestin aitoutta tai siinä vaadittua toimenpidettä, on suositeltavaa tarkistaa viestin aitous toisesta luotettavasta lähteestä. Esimerkiksi, jos viesti näyttää tulevan tunnetulta yritykseltä, älä klikkaa viestin linkkejä vaan siirry yrityksen virallisille verkkosivuille hakukoneen avulla tai kirjoittamalla domain suoraan selaimeen. Jos löydät kyseiseltä yrityksen sivulta tietoa viestin aiheesta, voit luottaa todennäköisesti siihen, että viesti on aiheellinen. Joissain tapauksissa yritykset voivat myös tiedottaa sivuillaan heidän nimissään tehdystä kalastelukampanjasta. Viestin aitoutta voi tiedustella myös yrityksen virallisesta asiakaspalvelusta.

Lisäksi voit kysyä toista mielipidettä viestin aitoudesta myös joltain lähipiiristäsi. Usein ulkopuolinen näkökulma voi auttaa arvioimaan viestin luotettavuutta.

Toimi näin jos epäilet kalastelua

Pelkkä viestin avaaminen saattaa altistaa sinut kalasteluhuijaukselle. Jos jo viestin otsikko herättää epäilyksiä, on turvallisinta siirtää viesti suoraan roskaposti-kansioon avaamatta sitä. Vältä aina klikkaamasta epäilyttäviä linkkejä tai avaamasta pakattuja liitetiedostoja.

Jos kuitenkin huomaat joutuneesi tietojenkalastelun uhriksi, usein nopea toiminta auttaa minimoimaan vahingot. Pyri pysymään rauhallisena, jotta voit tehdä harkittuja päätöksiä. Sulje ensimmäiseksi mahdollisesti vaarantuneet maksukortit ja ota välittömästi yhteyttä pankkiisi virallista reittiä pitkin. Hae pankin yhteystiedot suoraan pankin virallisilta verkkosivuilta sen sijaan, että käytät kalasteluviestissä mainittuja yhteystietoja tai linkkejä. Vaihda myös kaikki vaarantuneet salasanasi. Huomioi kuitenkin, että myös tietojenkalastelijat voivat käyttää strategiaa, jossa he väittävät tilisi olevan uhattuna ja pyytävät vaihtamaan salasanan viestin mukana olevan linkin kautta. Stressaavassa tilanteessa saattaa olla houkuttelevaa reagoida nopeasti ja klikata linkkiä, mutta tällöin voi päätyä tietojenkalastelijan ansaan. Jos päätät vaihtaa salasanan, tee se turvallisemmin käyttämällä muita kanavia kuin klikkaamalla viestin linkkejä.

Tehosta tietoturvaasi

Voit parantaa tietoturvaasi ja pienentää riskiäsi joutua kalastelun uhriksi muutamalla helpolla konstilla.

  • Älä käytä samaa salasanaa useissa eri palveluissa
  • Käytä tarpeeksi pitkiä salasanoja, joita on vaikea arvata
  • Ota käyttöön salasanojen hallintapalvelu, johon voit turvallisesti tallentaa kaikki salasanat
  • Ota kaksivaiheinen tunnistautuminen käyttöön tileissä, joissa se on mahdollista. Kaksivaiheinen tunnistautuminen lisää yhden turvakerroksen ja vaikeuttaa tilisi päätymistä vääriin käsiin.

Hostingpalvelun asiakastilille 2-vaiheisen tunnistamisen voi ottaa käyttöön tämän ohjeen mukaisesti.

Lue lisää aiheesta Kyberturvallisuuskeskuksen sivuilta.

Kirjoittaja Virpi Ollitervo, Marketing Coordinator