Kyberturvallisuuskeskus varoittaa pikaviestitilien kaappauksista – Signal-käyttäjät uusi kohde
Telegramin ja WhatsAppin tilikaappaukset olivat alkuvuonna jo arkipäivää. Nyt rikolliset ovat siirtyneet myös Signaliin, ja KTK:n uusi ohje listaa kuusi konkreettista askelta käyttäjille.
Tiivistelma
Kyberturvallisuuskeskus julkaisi 7.5.2026 ohjeen, jossa Signal nostetaan ensimmäistä kertaa selkeäksi kohteeksi pikaviestitilien kaappauksissa. Ohje sisältää kuusiportaisen suojautumislistan sekä alustakohtaiset erot Signalin, WhatsAppin ja Telegramin välillä.
Signal on pitkään ollut suomalaisten yksityisyystietoisten käyttäjien suosikki. Sen kohdalla rikollisten kiinnostus on kuitenkin ollut varsin maltillista – ainakin vielä viime kuukausiin saakka.
Kyberturvallisuuskeskus julkaisi 7.5.2026 ohjeen, jossa Signal nimetään uutena kohteena pikaviestitilien kaappauksissa. Telegramin ja WhatsAppin osalta ilmoituksia tuli erityisen paljon alkuvuonna 2026, mutta nyt myös Signal-käyttäjiä yritetään huijata luovuttamaan tilinsä.
KTK kertoo saaneensa viime aikoina ilmoituksia kaikkien kolmen alustan kaappauksista. Lukumääriä virasto ei tällä kertaa erittele.
Hyökkäykset eivät hyödynnä ohjelmistovirheitä. Ne nojaavat käyttäjän manipulointiin. Tekniikka on vanha ja hyväksi todettu.
Tunnistusmerkit
Tyypillinen avaus tulee yhteystiedolta, joka näyttää tutulta. Profiilikuva ja näyttönimi voivat olla varastettu juuri kaapatusta tilistä, jolloin viesti vaikuttaa luotettavalta.
Keskustelu alkaa usein geneerisellä tervehdyksellä. "Hei, mitä kuuluu?" on toistuva avaus, jota seuraa pyyntö auttaa pienessä asiassa.
Pian tämän jälkeen käyttäjä saa SMS-viestin, jossa on kuusinumeroinen vahvistuskoodi. Hyökkääjä pyytää koodia tekosyyllä. Yleinen selitys on, että koodi lähetettiin vahingossa väärään numeroon.
Toinen yleinen tapa on saada uhri linkittämään hyökkääjän laite omaan tiliinsä. Signalissa, WhatsAppissa ja Telegramissa kaikissa on toiminto, jolla tilin voi avata uudella laitteella QR-koodin kautta. Kun hyökkääjä saa koodin skannattua, hänellä on pääsy tiliin.
Kolmas riski liittyy puhelinnumeroon. Jos vanha numero vapautuu ja siirtyy uudelle haltijalle, myös pikaviestitili voi siirtyä mukana.
KTK kuvasi tammikuun 2026 ohjeessaan myös vastaajaviestin kautta tehtyjä kaappausyrityksiä, joissa heikko vastaaja-PIN antoi rikolliselle pääsyn vahvistuskoodiin. Tekniikka on harvinaisempi mutta ei ole kadonnut.
Linkitetyt laitteet pikaviestisovelluksissa
Linkitetty laite tarkoittaa toista konetta tai puhelinta, johon sama tili on avattu rinnakkain. Jos listalla näkyy laite, jota et tunnista, sieltä on ulkopuolinen lukenut viestejäsi. Tuntemattoman laitteen poistaminen sovelluksen asetuksista katkaisee yhteyden välittömästi.
Mitä tehdä
KTK:n ohje listaa kuusi askelta. Järjestys on viraston oma.
- Pysähdy aina, kun saat vahvistuskoodin: älä jaa koodia kenellekään.
- Ota käyttöön kaksivaiheinen tunnistautuminen.
- Tarkista sovelluksen asetuksista linkitetyt laitteet ja poista tuntemattomat.
- Valvo tiliin liitettyä puhelinnumeroa. Jos numero ei enää ole käytössäsi, tili voi siirtyä uudelle haltijalle.
- Rajoita näkyvyyttä ja sitä, kuka voi ottaa sinuun yhteyttä.
- Ota käyttöön sovelluksen avaamisen tunnistautuminen, esimerkiksi PIN-koodi.
Ensimmäinen kohta on tärkein. KTK toteaa sen ohjeessaan suoraan.
– Kaksivaiheinen tunnistautuminen on paras suoja tilikaappauksia vastaan, KTK:n ohje neuvoo.
Alustojen välillä on myös eroja, jotka kannattaa tuntea. Signal tallentaa keskustelut ainoastaan laitteelle, joten kaapparilla ei ole pääsyä vanhoihin viesteihin ilman fyysistä puhelinta. WhatsAppissa kaksivaiheinen PIN suojaa tiliä, mutta jos hyökkääjä ehtii asettaa PIN-koodin ennen oikeaa käyttäjää, tilin palautus voi viedä jopa seitsemän päivää. Telegramissa puolestaan on 24 tunnin suoja-aika, jonka aikana uusi laite ei voi katkaista olemassa olevia istuntoja.
Mitä tästä seuraa käytännön suojautumisen kannalta? Signalissa kannattaa keskittyä laitelistan tarkkailuun, WhatsAppissa kaksivaiheisen PIN-koodin asettamiseen heti, ja Telegramissa nopeaan reagointiin epäilyttävän kirjautumisen jälkeen.
Mistä ja minne ilmoittaa
Jos epäilet, että tilisi on kaapattu tai joku yrittää huijata sinulta vahvistuskoodia, ilmoita tapauksesta Kyberturvallisuuskeskukselle. Ilmoituksen voi tehdä viraston asiointipalvelussa osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Jos kaappaus on jo tapahtunut, käynnistä tilin palautus suoraan sovelluksesta välittömästi. Mitä nopeammin reagoit, sitä todennäköisemmin saat tilin takaisin ennen kuin hyökkääjä ehtii käyttää sitä lähipiirisi huijaamiseen.
KTK:n viikkokatsauksessa 19/2026 nostettiin esiin myös 87 Microsoft 365 -tilikaappausilmoitusta huhtikuulta. Eri kategoria, mutta sama perusongelma. Tilien suojaaminen on yhä monelle käyttäjälle jälkikäteistä työtä. Jää nähtäväksi, hidastuvatko kaappaukset KTK:n uuden ohjeen myötä vai siirtyykö hyökkäysten painopiste taas seuraavaan alustaan.