Signal lisää sovellukseen kalasteluvaroitukset – tarkoitus pysäyttää Signal-tueksi tekeytyvät huijarit
Toukokuun alun pikaviestiaalto siirsi vastuun käyttäjältä alustalle. Signal lisää nyt sovellukseen varoitusmerkintöjä, joilla tuntemattoman lähettäjän viestipyyntö erottuu jo ennen kuin keskustelu ehtii alkaa.
Tiivistelma
Signal julkaisi 12.5.2026 sovellukseen sisäänrakennetut kalasteluvaroitukset, jotka huomauttavat varmentamattomista nimistä ja yhteisten ryhmien puutteesta. Päivitys on suora vastaus Signal-tueksi tekeytyvien huijarien aaltoon, josta myös Traficom varoitti viime viikolla.
Kahden viikon hiljaisuuden jälkeen Signal lunasti lupauksensa. Salatusta viestisovelluksesta tutuksi tullut yhtiö julkaisi 12.5.2026 päivityksen, joka tuo sovellukseen sisäänrakennetut kalasteluvaroitukset. Taustalla on huhtikuun lopun kohu, jossa "Signal-murroksi" tulkittu ilmiö osoittautui kohdistetuksi kalastelukampanjaksi.
Signal kertoo, että salausta, palvelininfraa tai sovelluskoodia ei murrettu. Sen sijaan huijarit ottivat yhteyttä käyttäjiin tekeytymällä Signalin omaksi tukihenkilöstöksi ja kalastelivat rekisteröintikoodeja, joilla tilin sai siirrettyä uuteen laitteeseen.
Vastuun siirtäminen käyttäjältä alustalle on iso periaatteellinen muutos. Pitkään Signalin linja on ollut, että salaus hoitaa loput, kunhan käyttäjä pitää salasanansa ja PIN-koodinsa omana tietonaan.
– Olemme lisänneet sovellukseen vahvistuksia ja opastusta, joiden avulla käyttäjät tunnistavat helpommin huijariprofiilit – erityisesti Signal-tueksi tekeytyvien lähettämät viestipyynnöt, toteaa Signal sosiaalisen median tiedotteessaan.
Mitä sovellukseen tuli
Tuntemattoman lähettäjän viestipyynnön rinnalle ilmestyy "Name not verified" -merkintä, joka muistuttaa, ettei Signal varmenna käyttäjien itse valitsemia näyttönimiä. Toinen uusi seula on "No groups in common", jolla sovellus kertoo selvällä suomella, ettei lähettäjällä ole yhtään yhteistä ryhmää vastaanottajan kanssa.
Ensimmäisen viestin yhteyteen tulee erillinen vahvistuskysely. Sovellus muistuttaa myös, ettei Signal koskaan kysy rekisteröintikoodia, PIN-koodia tai palautusavainta.
Laajennetut turvallisuusvinkit varoittavat ympäripyöreistä keskustelunavauksista, epäilyttävistä linkeistä ja "sijoitusvinkki"-tyyppisestä houkuttelusta. Erikseen mainitaan väärennetyt Signal Support -profiilit, jotka olivat huhtikuun lopun kampanjan kärkivipu.
Miksi juuri nyt
Päivityksen ajoitus ei ole sattumaa. Signal vastasi 27.–28.4.2026 huhuihin tilien vaarantumisesta ja lupasi uusia toimia tulevien viikkojen aikana. Kaksi viikkoa myöhemmin lupaus konkretisoitui sovelluspäivitykseksi.
Suomessa sama aalto näkyi viikkoa myöhemmin. Kyberturvallisuuskeskus julkaisi 8.5.2026 varoituksen, jossa Signal nostettiin erikseen Telegramin ja WhatsAppin rinnalle ja jossa rakennettiin ohjeistus vahvan tunnistautumisen sekä valppauden ympärille.
– Jos saat pikaviestisovellukseen viestin, jossa pyydetään PIN-koodia, on kyseessä hyvin todennäköisesti huijaus, Traficom kirjoittaa ohjeessaan.
Saman teeman nosti esiin myös Kyberturvallisuuskeskuksen viikkokatsaus 19/2026, jossa virasto kertoo seuranneensa pikaviestitilien kaappausyrityksiä viikkotasolla. Pikaviestitilien kaappausyritykset eivät siis olleet yksittäinen piikki vaan jatkuva ilmiö.
Onko alusta liian myöhässä liikkeellä? Suomessa Signal on suosittu erityisesti toimittajien, virkamiesten ja tietoturvasta välittävien yksityishenkilöiden keskuudessa. Sama joukko on osunut myös Valtori-tyyppisten kohdistettujen kampanjoiden tähtäimeen, joten varoitusmerkinnöille on oikeastaan tilausta juuri tässä kohderyhmässä.
Mitä päivitys ei korjaa
Uudet seulat suojaavat vain uusilta viestipyynnöiltä. Käytössä jo oleva linkitetty laite, jonka huijari on saanut sidottua tiliin esimerkiksi väärennetyn QR-koodin kautta, ei nouse "Name not verified" -varoitukseen.
Entä jos tiliin on jo päässyt käsiksi joku ulkopuolinen? Käyttäjän on edelleen itse käytävä Asetukset-valikon kautta läpi linkitetyt laitteet ja poistettava tuntemattomat istunnot. Signal ei myöskään kertonut tarkkoja versionumeroita tai sitä, missä järjestyksessä päivitys leviää eri alustoille.
Toistaiseksi varoitusten teksti näkyy englanniksi myös Suomessa, koska Signalin kielilokalisointi yleensä laahaa hieman alkuperäisen julkaisun perässä. Pitää tätä mielessään, jos vanhempi käyttäjä kysyy avulta: ohjeistus kannattaa antaa suomeksi, vaikka ruudulla lukisikin "Name not verified".
Mitä tehdä
- Päivitä Signal viimeisimpään versioon. Uudet varoitukset näkyvät vasta päivityksen jälkeen.
- Reagoi varoitukseen "Name not verified" tai "No groups in common". Älä vastaa heti, vaan varmista lähettäjä toista kanavaa pitkin.
- Älä koskaan luovuta rekisteröintikoodia, PIN-koodia tai palautusavainta. Signal itse ei niitä kysy.
- Ota käyttöön Rekisteröintilukko: Asetukset → Tili → Rekisteröintilukko.
- Käy läpi linkitetyt laitteet: Asetukset → Linkitetyt laitteet, ja poista tuntemattomat.
Onnistunutta kalasteluyritystä epäilevä voi ilmoittaa tapauksesta osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Jää nähtäväksi, ehtivätkö huijariverkostot kiertää uudet seulat ennen kuin Signal lisää seuraavan kerroksen päälle.