Suomi.fi- ja Messenger-huijaukset liikkeellä – KTK jakaa kesän kybermuistilistan ennen lomakautta
Kaksi tuoretta kalastelukampanjaa yrittää napata kirjautumistunnukset juuri ennen lomakautta. Samalla viikkokatsaus jää kesätauolle, joten neljän kohdan muistilista kannattaa ottaa talteen nyt.
Tiivistelma
Kyberturvallisuuskeskuksen tuore viikkokatsaus varoittaa Suomi.fi-nimissä lähetetyistä kalasteluviesteistä ja Facebook Messengerin tiliuhkailusta. Keskus jakaa myös nelikohtaisen kesän kybermuistilistan, koska viikkokatsaus on kesätauolla 19.6.–6.8.2026.
Virallisen Suomi.fi-portaalin nimissä kiertää nyt sähköposteja, joiden ainoa tehtävä on viedä kirjautumistunnuksesi. Viestin linkki ei vie julkishallinnon palveluun vaan kalastelusivulle, joka näyttää aidolta. Kyberturvallisuuskeskus nostaa kampanjan tuoreimman viikkokatsauksensa kärkeen.
Samaan aikaan liikkeellä on toinenkin tunnusten kalastelu. Facebook Messengerissä leviävät viestit väittävät, että käyttäjä on rikkonut palvelun käyttöehtoja.
Uhkaus on suora: tili tai mainostili poistetaan, ellei toimi heti. Linkkiä klikkaava päätyy sivulle, joka pyytää kirjautumaan uudelleen.
Yhdistävä tekijä on tuttu. Kiire ja uhkailu ovat aina punainen lippu, eivätkä viralliset tahot toimi näin. Molemmissa tavoitellaan samaa tunnusten luovuttamista väärennetylle sivulle ennen kuin käyttäjä ehtii epäillä mitään.
Tunnistusmerkit
Suomi.fi-huijauksessa viesti tulee sähköpostitse ja vetoaa viralliseen asiointiin. Lähettäjäosoite ei kuitenkaan ole oikea, ja teksti ohjaa kirjautumaan linkin kautta.
Aito Suomi.fi ei lähetä tällaisia kirjautumiskehotuksia sähköpostissa. Julkishallinnon palveluihin kirjaudutaan aina vahvalla tunnistautumisella suoraan palvelun omilla sivuilla, ei sähköpostin linkistä.
Messenger-huijaus tunnistuu uhkauksesta ja aikapaineesta. Viestissä luvataan poistaa tili tai mainostili nopealla aikataululla, jos käyttöehtorikkomusta ei "selvitetä" heti.
Pyyntö kirjautua erillisellä sivulla on se kohta, jossa kannattaa pysähtyä. Mainostilien hallinnoijat ovat varsin houkutteleva kohde, koska heidän tileihinsä on usein kytketty maksukortti.
Molemmissa toistuu sama kaava. Tavoitteena ovat kirjautumistunnukset, ja keino on linkki, joka näyttää viralliselta mutta ei ole. Väärennetyt sivut on tehty jäljittelemään aitoa palvelua niin tarkasti, että pelkkä silmämääräinen tarkastelu ei riitä.
Miten erottaa aito viesti väärennöksestä, kun ulkoasu on hiottu? Ratkaisu ei ole arvailla lähettäjää vaan jättää linkki kokonaan klikkaamatta. Kun siirryt palveluun itse, et päädy huijarin sivulle riippumatta siitä, kuinka uskottava viesti oli.
Kesän kybermuistilista
Viikkokatsaus jää kesätauolle 19.6.–6.8.2026. Keskus kokosi siksi neljä ohjetta, jotka kannattaa hoitaa kuntoon ennen lomaa.
Päivitä laitteet ja sovellukset ja ota varmuuskopiot ennen lähtöä. Päivitykset paikkaavat tunnettuja haavoittuvuuksia, joita hyökkääjät osaavat käyttää. Varmuuskopio puolestaan pelastaa tiedot, jos puhelin katoaa tai laite menee lukkoon kesken matkan.
Toinen ohje on ottaa monivaiheinen tunnistautuminen käyttöön kaikkialla, missä se on mahdollista. Sen merkitystä keskus korostaa erikseen.
– Monivaiheinen tunnistautuminen on yksi tehokkaimmista tavoista suojata käyttäjätilejä, kertoo Kyberturvallisuuskeskus.
Keskus painottaa erityisesti sähköpostia ja muita kriittisiä palveluita.
Varo myös matkailuaiheisia huijauksia, joissa rikolliset esiintyvät lentoyhtiöiden, hotellien tai varauspalveluiden niminä. Näistä kerromme tarkemmin erillisessä jutussa.
Neljäs ohje koskee työpaikkaa. Toimitusjohtajahuijauksessa huijari esiintyy johtajana ja vaatii kiireellisiä maksuja, lahjakortteja tai tietoja.
Miksi juuri kesä on huijarille otollista aikaa? Esimies on usein tavoittamattomissa ja sijaiset tekevät päätöksiä tavallista nopeammin. Kiire on tässäkin varoitusmerkki, ja poikkeavat pyynnöt kannattaa varmistaa erillistä kanavaa pitkin, esimerkiksi soittamalla.
Viikkokatsaus sivusi myös 1.6.2026 voimaan tullutta kyberkestävyyslakia ja toukokuun lopun valtionhallinnon kyberharjoitusta. Pääpaino on kuitenkin tavallisen käyttäjän arjessa.
Mitä tehdä
Älä klikkaa viestissä olevia linkkejä. Mene palveluun aina suoraan kirjoittamalla osoite itse tai käyttämällä omaa kirjanmerkkiä.
Epäselvän viestin aitouden voi varmistaa virallisia kanavia pitkin, esimerkiksi palvelun omilta sivuilta tai asiakaspalvelusta. Pieni hetki tarkistamiseen on aina halvempi kuin menetetyt tunnukset.
Jos annoit tunnukset tai korttitiedot kalastelusivulle, ota heti yhteys pankkiisi. Tee rikosilmoitus poliisi.fi-palvelussa. Kalastelusta voi ilmoittaa Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Kesätauon vuoksi tuoreita viikkokatsauksia ei ole luvassa elokuun alkuun asti. Muistilista kannattaa siis pitää tallessa, sillä huijarit eivät pidä lomaa. Jää nähtäväksi, näkyykö hiljaisempi viranomaisviestintä kesän aikana huijausyritysten määrässä, mutta varautua kannattaa joka tapauksessa jo nyt.