Kalastelusta tuli palvelubisnes — Bluekit-alusta myy tekoälyavusteisia huijauksia

Kalastelusta on tullut palvelubisnes. Rikollisen ei tarvitse enää osata koodata, rakentaa palvelimia tai suunnitella huijaussivuja — hän tilaa ne valmiina kuukausimaksulla.

Varonis Threat Labs paljasti huhtikuun lopussa uuden Bluekit-nimisen alustan, joka myy kalastelukampanjoita tilauspalveluna. Mukana tulee tekoälyavustaja, yli 40 valmista kohdepohjaa ja automatiikkaa, joka hoitaa kaiken verkkotunnuksen rekisteröinnistä uhrin istunnon kaappaamiseen.

Miten tähän on tultu? Kalastelu on seurannut samaa polkua kuin muu rikollisuus verkossa: erikoistuminen ja palvelullistuminen. Kun joku rakentaa työkalut, muiden ei tarvitse.

Kalastelu tilauspalveluna

Bluekit toimii phishing-as-a-service-mallilla. Rikollinen maksaa kuukausimaksun ja saa käyttöönsä valmiin alustan, jolla voi pystyttää kalastelukampanjoita ilman teknistä osaamista.

Varonisin tutkija Daniel Kelley kertoo, että alustaa myy nimimerkin "petrushka" takana oleva tekijä pimeässä verkossa Tor-sivustolla bluekit.cc. Maksut hoidetaan Monerolla, jäljittämättömällä kryptovaluutalla.

– Bluekit on oikeastaan täyden palvelun työkalu: se rekisteröi verkkotunnukset, rakentaa kalastelysivut ja seuraa uhrien istuntoja reaaliajassa, Kelley toteaa.

Valmiita kohdepohjia on yli 40. Listalla ovat muun muassa iCloud, Apple ID, Gmail, Outlook, ProtonMail, GitHub, X, Zara ja Ledger-kryptolompakko.

Suomalaisia palveluja ei nykyisissä pohjissa ole. Alustan rakenne kuitenkin tukee minkä tahansa kohteen lisäämistä — uuden kalastelupohjan rakentamiseen ei vaadita erityisosaamista.

Tietoturvayhtiö Sekoia.ion mukaan vastaavien PhaaS-alustojen kuukausihinnat liikkuvat noin 250 dollarissa. Kynnys on todella matala.

Tekoäly laskee rimaa entisestään

Bluekit sisältää tekoälyavustajan, jonka oletuskielimallina toimii suojauksista riisuttu Llama-malli. Lisäksi tuetaan GPT-4.1-, Claude-, Gemini- ja DeepSeek-malleja.

Tekoäly auttaa kampanjoiden suunnittelussa ja viestien räätälöinnissä. Lisäpalveluna tarjotaan äänen kloonausta puhelinhuijauksia varten.

Varonis arvioi tekoälyominaisuuksien olevan vielä alkuvaiheessa, mutta kehittyvän nopeasti.

KnowBe4:n tuoreen tutkimuksen mukaan 86 prosenttia kalasteluhyökkäyksistä hyödyntää jo nyt tekoälyä tavalla tai toisella. Viestit ovat kieliopillisesti moitteettomia ja räätälöityjä kohteeseensa. Aiemmin kömpelö suomi paljasti huijauksen — se tunnusmerkki on katoamassa.

Kaksivaiheinen tunnistautuminen ei pelasta

Bluekit perustuu Evilginx-tekniikkaan, joka toteuttaa niin sanotun AiTM-hyökkäyksen. Alusta asettuu uhrin ja oikean palvelun väliin, välittää kirjautumisen reaaliajassa ja varastaa istuntoevästeen sekä selaimen paikallisen tallennustilan tiedot.

Hyökkääjä saa haltuunsa aktiivisen istunnon. Salasana ei enää auta. Kaksivaiheinen tunnistautuminen on jo ohitettu — hyökkääjän ei tarvitse tietää kumpaakaan, koska uhri on ne itse jo syöttänyt.

Lisäksi Bluekit tarjoaa geolokaatio- ja selainhuijausta, bottien tunnistamisen estävää naamiointia sekä reaaliaikaista istuntojen seurantaa. Varastetut tunnukset lähetetään automaattisesti Telegram-kanavalle.

Miksi suomalaisten pitäisi välittää? Pankkitunnuksilla kirjaudutaan OmaKantaan, Suomi.fi-palveluun, Veroon ja Traficomiin. AiTM-hyökkäys voisi teoriassa kaapata myös näiden palveluiden istuntoja, jos uhri kirjautuu kalastelulinkin kautta.

F-Secure on dokumentoinut vuonna 2026 selvän piikin huijaus-tekstiviesteissä, jotka jäljittelevät juuri näitä suomalaisia viranomaispalveluja. Kampanjoita on havaittu OmaKannan, Suomi.fi-tunnusten, Veron, Traficomin ja Postin nimissä.

Kyberturvallisuuskeskus vastaanotti vuonna 2025 yhteensä 20 890 kalastelu- ja huijausilmoitusta. Kasvua edellisvuodesta kertyi 20 prosenttia.

PhaaS-alustojen kaltaiset työkalut selittävät osaltaan, miksi ilmoitusmäärät nousevat vuosi vuodelta.

Tunnistusmerkit

AiTM-kalastelua on vaikea erottaa aidosta kirjautumisesta, mutta muutama merkki toistuu.

• Odottamaton kirjautumispyyntö sähköpostin tai tekstiviestin linkin kautta — etenkin palveluun, johon et ole itse juuri menossa.
• Osoite poikkeaa virallisesta. Ylimääräisiä kirjaimia, väliviivoja tai tuntematon verkkotunnus osoiterivillä.
• Palvelu pyytää kirjautumaan uudelleen, vaikka olit jo kirjautuneena.
• Kirjautumisen jälkeen sivu ei toimi normaalisti tai ohjaa odottamattomaan paikkaan.

Mitä tehdä

Tavallinen käyttäjä ei voi estää PhaaS-alustojen olemassaoloa, mutta voi varsin hyvin suojautua niiden tuottamilta hyökkäyksiltä.

Älä kirjaudu linkkien kautta. Jos saat viestin, joka pyytää kirjautumaan palveluun, mene sinne itse selaimella. Aina. Poikkeuksia ei ole.

Tarkista osoiterivi. AiTM-hyökkäyksessä kalastelusivu näyttää aidolta, mutta osoite on väärä. Yksikin outo merkki osoitteessa riittää syyksi pysähtyä.

Ota FIDO2-turva-avain käyttöön. Perinteiset MFA-menetelmät — tekstiviestikoodi tai autentikaattorisovellus — eivät suojaa AiTM-hyökkäykseltä. Fyysinen turva-avain tai laitteeseen sidottu passkey on tällä hetkellä varmin suoja, koska se tarkistaa myös sivuston osoitteen.

Suhtaudu kriittisesti tekstiviesteihin. Viranomaiset eivät pyydä kirjautumaan tekstiviestilinkillä OmaKantaan, Veroon tai Suomi.fi-palveluun.

Ilmoita epäilyttävistä viesteistä Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.

PhaaS-alustojen myötä hyökkäysten laatu nousee ja ilmoitusmäärät kasvavat edelleen. Paras puolustus on melko yksinkertainen — pysähdy ennen kuin klikkaat.