WhatsApp esti NSO:n uuden vakoilukampanjan ja vie sen oikeuteen – pitäisikö sinun huolestua?
Otsikoissa vilahtaa taas Pegasus, ja moni suomalainen WhatsAppin käyttäjä ehtii hätkähtää. Hyökkäys oli kuitenkin tarkasti kohdennettu, ja siitä jää käteen oppi, joka koskee ihan jokaista.
Tiivistelma
Meta kertoi torjuneensa NSO Groupin uuden kalastelukampanjan WhatsAppin käyttäjiä vastaan ja vaatii oikeudessa rangaistusta kieltomääräyksen rikkomisesta. Pegasus tähtää toimittajiin, aktivisteihin ja virkamiehiin, ei tavallisiin käyttäjiin. Sama temppu – linkki ulkoiselle sivustolle – on kuitenkin se uhka, joka osuu jokaiseen.
Meta kertoi 8. kesäkuuta torjuneensa israelilaisen NSO Groupin uuden kalastelukampanjan WhatsAppin käyttäjiä vastaan. Samalla yhtiö vei asian liittovaltion tuomioistuimeen ja vaatii NSO:lle rangaistusta. Kyse on vakoiluohjelma Pegasuksesta, joka on jälleen pyrkinyt soluttautumaan viestisovellukseen.
Yhtiön mukaan NSO:hon liitetyt manipulointiyritykset paljastuivat käyttäjien tekemien ilmoitusten ja niitä seuranneen tutkinnan kautta. Hyökkääjät eivät käyttäneet hiljaista, näkymätöntä aukkoa.
– Hyökkääjät yrittivät houkutella ihmisiä klikkaamaan haitallisia linkkejä ja ohjata heidät WhatsAppin ulkopuolisille sivustoille, Meta kertoo tiedotteessaan.
Tekniikka muistuttaa NSO:n aiempia yhden klikkauksen kalastelukampanjoita. WhatsAppin mukaan se tunnisti kolme haitallista verkkotunnusta – ikhwancast[.]com, ghazacast[.]com ja fr24cast[.]com – ja poisti palvelusta NSO:n testitilejä ja -ryhmiä. Yhtiö korostaa, että viestien sisältö pysyy päästä päähän -salauksen takana Pegasuksen ulottumattomissa.
Mistä oikeusjutussa on kyse
Tämä ei ole NSO:n ja WhatsAppin ensimmäinen yhteenotto. BleepingComputerin mukaan toukokuussa 2025 yhdysvaltalainen valamiehistö totesi NSO:n vastuulliseksi noin 1 400 WhatsApp-käyttäjän laitteiden saastuttamisesta ja määräsi yhtiölle noin 167 miljoonan dollarin korvaukset.
Oikeusasiakirjojen mukaan tuomari leikkasi rangaistusluonteiset korvaukset lokakuussa 2025 noin neljään miljoonaan dollariin. Samalla hän antoi pysyvän kieltomääräyksen, joka estää NSO:ta koskaan kohdistamasta toimiaan WhatsAppiin.
Juuri tätä kieltomääräystä Meta nyt puolustaa. Yhtiön mukaan NSO rikkoi määräystä alle vuodessa sen antamisesta. Olennaista on huomata, että kyse ei ole rahasummasta vaan kiellosta – Meta vaatii tuomioistuinta rankaisemaan NSO:ta sen oman määräyksen uhmaamisesta.
Pitäisikö sinun huolestua?
Lyhyt vastaus: et todennäköisesti ole kohde.
Pegasus ei ole massahuijaus. Se on kallis, valtiollisten toimijoiden käyttämä vakoilutyökalu, joka kohdistetaan tarkkaan valittuihin henkilöihin. Tyypillisiä kohteita ovat toimittajat, ihmisoikeusaktivistit, poliitikot, diplomaatit ja tutkijat. Tavallinen WhatsAppin käyttäjä ei ole Pegasuksen listalla.
Suomessakin tästä on kokemusta. Ulkoministeriö vahvisti 28. tammikuuta 2022, että Pegasus oli kohdistettu ulkomailla työskenteleviin suomalaisdiplomaatteihin. Se oli ensimmäinen Suomessa vahvistettu Pegasus-tapaus.
Vakoilu ei ollut enää aktiivista, eikä salassa pidettävää tietoa paljastunut. Euroopan parlamentin PEGA-tutkintavaliokunta selvitti Pegasuksen väärinkäyttöä laajemmin eri EU-maissa.
Miksi tämä tarina silti puhuttaa Suomessa? WhatsApp on selvästi suosituin viestisovellus täällä, ja moni mieltää sen turvalliseksi. Kun otsikoissa lukee vakoiluohjelma ja WhatsApp samassa lauseessa, hälytyskellot soivat herkästi.
Mitä tehdä
Vaikka et olisikaan Pegasuksen kohde, hyökkäyksen ydin koskee kaikkia. Se nojasi linkkiin ja klikkaukseen – juuri siihen arkiseen kalasteluun, joka osuu tavallisiin käyttäjiin päivittäin. Muutama perussääntö suojaa hyvin myös tältä.
- Älä klikkaa linkkejä tuntemattomilta lähettäjiltä. Tämä on yksinkertaisin suoja.
- Varo linkkiä, joka työntää sinut sovelluksen ulkopuoliselle sivustolle kirjautumaan tai vahvistamaan tietoja. Se on kalastelun selvin varoitusmerkki.
- Pidä WhatsApp ja puhelimen käyttöjärjestelmä päivitettyinä. Päivitykset ovat tärkeimmät juuri näkymättömiä, klikkausta vaatimattomia hyökkäyksiä vastaan.
- Ilmoita epäilyttävä viesti ja estä lähettäjä suoraan sovelluksessa.
Epäilyttävän viestin tai kalastelulinkin voi ilmoittaa myös Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Klikkauspohjainen vs. zero-click -hyökkäys
Klikkauspohjainen hyökkäys vaatii, että uhri itse napsauttaa linkkiä – varovaisuus siis suojaa. Zero-click-hyökkäys ei vaadi mitään käyttäjän toimintaa, vaan soluttautuu laitteeseen huomaamatta, jolloin ajantasaiset päivitykset ovat paras puolustus.
Nyt torjuttu kampanja oli klikkauspohjainen. Käytännön suoja oli siis käyttäjän omissa käsissä, toisin kuin aiemmissa zero-click-tapauksissa.
Tavalliselle suomalaiselle viesti on rauhoittava. Et ole Pegasuksen kohde, mutta sama oppi linkeistä kannattaa painaa mieleen – se on se uhka, joka oikeasti voi osua kohdalle. Jää nähtäväksi, miten tuomioistuin reagoi Metan vaatimukseen ja pitääkö kieltomääräys jatkossa.