Väärennetty tekijänoikeusvaroitus vie Google-tunnukset – kirjautumisikkuna onkin vain kuva sivulla
Tekaistu DMCA-poistovaatimus ja 48 tunnin takaraja saavat uhrin hätääntymään. Varsinainen ansa on kuitenkin kirjautumisikkuna, joka näyttää aidolta Google-ikkunalta mutta on pelkkä piirros itse huijaussivulla.
Tiivistelma
Kalastelukampanja tekeytyy Googlen Chrome Web Store -valvonnaksi ja uhkaa poistaa kohteen laajennuksen tekijänoikeusvalituksen takia. Kirjautumisikkuna, jolla rikkomusta voi muka 'valittaa', on todellisuudessa Browser-in-the-Browser-temppu eli sivulle piirretty kuva aidosta selainikkunasta. Sama painostuksen logiikka uhkaa myös suomalaisia Meta-sivujen ja yritystilien omistajia.
Viesti kertoo, että laajennuksesi rikkoo tekijänoikeuksia ja poistetaan Chrome Web Storesta pysyvästi 48 tunnin kuluessa. Punainen varoituspalkki ja tikittävä kello hoputtavat toimimaan heti.
Juuri tähän hätään koko huijaus rakentuu. Tietoturvayhtiö Malwarebytes kertoo kampanjasta, joka tekeytyy Googlen "Chrome Web Store Developer Policy Centeriksi" ja kalastelee laajennusten kehittäjien Google-tunnuksia tekaistulla DMCA-poistovaatimuksella.
Ansasivu löytyy osoitteesta dmca-chrome-extensions[.]click. Se pyytää aluksi vain laajennuksen tunnistetta, mikä vaikuttaa ihan vaarattomalta.
Sitten temppu paljastuu. Sivu hakee laajennuksen aidot julkiset tiedot eli nimen, kuvakkeen ja kauppasivun, ja yhdistää ne keksittyyn valitusnumeroon. Lopputulos näyttää henkilökohtaiselta ja aidolta varoitukselta, vaikka koko valitus on tyhjästä keksitty.
Kirjautumisikkuna, joka ei ole ikkuna
Kun uhri painaa "kirjaudu valittaaksesi", näkyviin avautuu tuttu Google-kirjautuminen. Otsikkopalkki, lukon kuvake ja accounts.google.com-osoiterivi näyttävät juuri siltä, miltä pitääkin.
Mikään niistä ei ole aito. Kyse on Browser-in-the-Browser-tempusta, jossa kirjautumisikkuna on piirretty kuvaksi itse huijaussivun sisälle. Tunnukset, jotka uhri kirjoittaa kenttiin, menevät suoraan rikollisille.
Browser-in-the-Browser (BitB)
Hyökkääjä piirtää huijaussivulle kuvan aidolta näyttävästä selainikkunasta otsikkopalkkeineen ja osoiteriveineen. Se ei ole erillinen ikkuna vaan osa verkkosivua, joten siinä näkyvä osoite on pelkkää grafiikkaa eikä kerro mitään todellisesta sivustosta.
Tietoturvayhtiö Validinin mukaan temppu lisättiin kampanjaan huhtikuun 2026 aallossa. Sama toimintatapa nähtiin ensimmäisen kerran marraskuussa 2025 YouTube-sisällöntuottajiin kohdistuneessa DMCA-kalastelussa.
Validin on seurannut helmi–toukokuussa satoja ansadomaineja ja noin sataa tunnusten keräykseen rakennettua verkko-osoitetta. Kampanja ei siis ole yksittäinen kokeilu, vaan teollisesti pyöritetty koneisto, joka vaihtaa osoitetta tahtiin.
– Kampanjaa pyöritetään teollisessa mittakaavassa sadoilla eri domaineilla, ja väärennetty kirjautumisikkuna on piirretty suoraan itse sivun sisälle, kertovat Validinin tutkijat.
Miksi yksi kaapattu tili on niin vaarallinen? Kehittäjätilin haltuunotto antaa hyökkääjälle pääsyn itse laajennukseen. Sieltä tämä voi työntää haitallisen päivityksen kaikille nykyisille käyttäjille. Yhdestä kalastellusta salasanasta tulee toimitusketjuhyökkäys.
Suomalaisia tämä koskee suoraan. Google-laajennusten tai YouTube-kanavien tekijöiden lisäksi vaarassa ovat kaikki, joilla on arvokas alusta- tai mainostili. Suomalainen markkinointitoimisto FlowHouse kertoo, että aivan sama käsikirjoitus on tuttu Meta-puolelta.
Metan nimissä lähetetään viestejä, jotka uhkaavat sulkea Facebook-sivun tai Instagram-tilin, ellei omistaja toimi heti. Lopullisena tavoitteena on kaapata haltuun sekä itse sivu että siihen kytketty mainostili.
Tunnistusmerkit
Pidä silmällä kirjautumisikkunaa, joka avautuu verkkosivun sisälle. Aito testi on yrittää raahata ikkunaa selaimen ulkopuolelle, sillä väärennetty ikkuna ei pääse irti sivusta.
Tarkista aina selaimen oikea osoiterivi, älä sitä joka on piirretty ponnahdusikkunaan.
Tikittävät kellot ja uhkaukset pysyvästä poistosta ovat keinotekoista kiirettä, klassinen huijauksen merkki. Googlen ja Metan aidot ilmoitukset puhuttelevat sinua oikealla nimelläsi, tulevat virallisilta osoitteilta eivätkä uhkaa takarajalla.
Epäilyttävää on sekin, että koko prosessi nojaa yhteen linkkiin ja ohjaa kirjautumaan saman tien. Aito alusta ei pakota syöttämään salasanaa sähköpostista löytyneen napin kautta.
Mitä tehdä
Älä koskaan toimi linkin tai kellon ohjaamana. Mene suoraan Chrome Web Storen kehittäjähallintaan – tai YouTube Studioon tai Meta Business Suiteen – ja tarkista, löytyykö sieltä todellista ilmoitusta.
Jos ehdit syöttää tunnuksesi, vaihda Google-salasanasi luotetulta laitteelta ja kirjaudu ulos kaikista aktiivisista istunnoista. Ota käyttöön kaksivaiheinen tunnistus, mieluiten pääsyavain tai laitteistoavain, jotka kestävät tämänkaltaista kalastelua.
Huijausyrityksistä voi ilmoittaa Suomessa Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Kun ansadomaineja syntyy satoja kuukaudessa, jää nähtäväksi kuinka nopeasti alustat ehtivät sulkea niitä. Siihen asti paras suoja on muistaa yksinkertainen sääntö: aito selainikkuna ei koskaan elä toisen sivun sisällä.