Puhelinhuijaukset muuttuvat — rikolliset soittavat IT-tukena ja vaativat pääsyä järjestelmiin
Kaksi kansainvälistä rikollisryhmää murtautuu yritysten järjestelmiin soittamalla IT-tukena. Sama taktiikka toimii myös tavallisia ihmisiä vastaan, ja tekoälyn tuottamat äänikopiot tekevät puhelinhuijauksista entistä vakuuttavampia.
Tiivistelma
Cordial Spider ja Snarky Spider -rikollisryhmät käyttävät puhelinhuijauksia murtautuakseen yritysten pilvipalveluihin. Ryhmät soittavat uhreille IT-tukena, ohjaavat heidät väärennetyille kirjautumissivuille ja varastavat tunnukset minuuteissa. Suomessa samaa taktiikkaa käytetään myös yksityishenkilöitä vastaan.
Miksi kalastelu siirtyi sähköpostista puhelimeen? Koska ääni luo luottamusta, jota tekstiviesti tai sähköposti ei koskaan saavuta. Kaksi rikollisryhmää on osoittanut, miten tehokkaasti puhelinhuijaus avaa pääsyn kokonaisiin yritysverkkoihin.
Cordial Spider (tunnetaan myös nimellä BlackFile) ja Snarky Spider ovat lokakuusta 2025 lähtien käyttäneet puhelinhuijauksia eli vishingiä murtautuakseen yritysten järjestelmiin. The Hacker Newsin raportin mukaan ryhmät soittavat uhreille esiintyen IT-tuen tai help deskin henkilöstönä. Puhelu on vasta alku.
Tunnukset minuuteissa
Hyökkäys etenee nopeasti. Puhelun aikana uhri ohjataan väärennetylle kirjautumissivulle, joka näyttää organisaation omalta SSO-portaalilta. Sivusto kaappaa tunnukset ja monivaiheisen tunnistautumisen koodit reaaliaikaisesti.
Vishing (voice phishing)
Puhelinhuijaus, jossa soittaja esiintyy luotettavana tahona kuten pankkina, viranomaisena tai IT-tukena. Tavoite on sama kuin sähköpostikalastelussa: saada uhri luovuttamaan tunnuksia, asentamaan ohjelmia tai siirtämään rahaa. Puhelin tekee huijauksesta tehokkaampaa, koska elävä keskustelu luo painetta toimia nopeasti.
Palo Alto Networksin tutkijat arvioivat, että tietovarkaus voi alkaa alle tunnissa ensimmäisestä puhelusta. Ryhmät liikkuvat nopeasti: ne rekisteröivät uusia laitteita uhrin tilille, poistavat vanhat laitteet ja piilottavat jälkensä sähköpostisääntöjen avulla.
– Toimimalla lähes yksinomaan luotetuissa SaaS-ympäristöissä nämä ryhmät minimoivat jalanjälkensä ja nopeuttavat vaikutusta, CrowdStriken tutkijat toteavat.
Kohteina ovat olleet erityisesti vähittäiskaupan ja majoitusalan yritykset. Helmikuusta 2026 alkaen hyökkäykset ovat kohdistuneet Google Workspaceen, SharePointiin, HubSpotiin ja Salesforceen.
Sama taktiikka kohdistuu myös sinuun
Yrityshyökkäykset ovat ammattilaisten työtä, mutta samat menetelmät toimivat tavallisia ihmisiä vastaan. Suomessa Kyberturvallisuuskeskus on varoittanut IT-tukena esiintyvistä puhelinhuijareista.
Huijari soittaa pankin, viranomaisen tai operaattorin nimissä ja väittää havainneensa ongelman, joka vaatii välitöntä toimintaa.
Puhelu on huijarin vahvin työkalu. Tekstiviestin voi lukea rauhassa ja arvioida kriittisesti. Puhelimessa tilanne on toinen: elävä keskustelu luo paineen reagoida heti, ja soittajan auktoriteettiasemaa on vaikea kyseenalaistaa kesken puhelun.
Muistatko viime viikolla uutisoidun Snow-haittaohjelman? Siinä hyökkääjät esiintyivät IT-tukena Teams-puheluissa ja asensivat uhrien koneille haittaohjelmistoa. Nyt sama sosiaalisen manipuloinnin malli tapahtuu perinteisellä puhelimella, ja kohderyhmä on laajempi kuin yksittäiset organisaatiot.
Miten huijari saa puhelun tuntumaan aidolta? Tekoälyn mahdollistama äänen kloonaus tekee tilanteesta entistä vaarallisemman. Rikolliset voivat jäljitellä tutun henkilön ääntä tai käyttää täysin luonnolliselta kuulostavaa suomen kieltä. Perinteinen neuvo "tunnista huijari murteesta tai aksentista" ei oikeastaan enää riitä.
Tunnistusmerkit
- Aito IT-tuki tai pankki ei koskaan pyydä tunnuksia puhelimessa
- Soittaja luo kiireen tunnun ja väittää, että tilillä on havaittu ongelma
- Kirjautumislinkki lähetetään puhelun aikana, ei ennen sitä
- Tekoälyääni voi kuulostaa täysin suomalaiselta — murre ei enää paljasta huijaria
Mitä tehdä
Suomessa pankit ja viranomaiset eivät koskaan soita ja pyydä tunnuksia, salasanoja tai pankkitunnistautumista puhelimitse. Tämä on tärkein sääntö.
Jos joku soittaa ja väittää olevansa IT-tuesta, pankista tai viranomaiselta:
- Lopeta puhelu. Soita itse organisaation viralliseen numeroon, jonka löydät heidän verkkosivuiltaan
- Älä anna etäkäyttöoikeutta puhelimessa pyydettyyn sovellukseen kuten AnyDeskiin tai TeamVieweriin
- Älä kirjaudu mihinkään palveluun puhelun aikana annetun linkin kautta
- Ilmoita huijauspuhelusta Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi
- Tee tarvittaessa rikosilmoitus osoitteessa poliisi.fi
Puhelinhuijaukset eivät ole uusi ilmiö, mutta niiden tekninen taso on noussut. Tätä artikkelia kirjoitettaessa Cordial Spiderin ja Snarky Spiderin kampanjat ovat edelleen aktiivisia, ja ryhmät osoittavat päivittäin, miten nopeasti ammattimaiset rikolliset pääsevät käsiksi kokonaisiin järjestelmiin yhden puhelun perusteella.
Tavallisen puhelimen käyttäjän paras suoja on edelleen yksinkertainen: kun joku pyytää tunnuksia tai etäyhteyttä, puhelu katkaistaan. Rikosuhripäivystys tarjoaa tukea numerossa 116 006, jos olet jo joutunut huijauksen uhriksi.