Tietojenkalastelu: näin tunnistat huijausviestin

Saat viestin pankiltasi: tilisi on muka lukittu, ja sinun pitäisi vahvistaa tietosi heti linkin kautta.

Sydän hakkaa, ja sormi käy jo linkin päällä. Juuri sitä huijari haluaa.

Tietojenkalastelu eli kalastelu on tällä hetkellä Suomen yleisin huijaustapa.

Kyberturvallisuuskeskus sanoo, että kalasteluviestit ovat vuodesta toiseen sen yleisimpiä ilmoituksia.

Idea on aina sama: huijari esiintyy luotettavana tahona ja yrittää saada sinut luovuttamaan tunnukset, korttitiedot tai rahaa.

Tässä oppaassa käydään läpi, miltä kalasteluviesti näyttää, miten sen tunnistaa ja mitä kannattaa tehdä, jos ehti jo klikata.

Miten kalasteluviesti rakennetaan?

Kalasteluviesti nojaa kahteen asiaan. Ne ovat kiire ja luottamus.

Ensin luodaan paniikki. Tilisi suljetaan, paketti jää saapumatta tai maksu epäonnistuu, ellet toimi heti.

Sitten tarjotaan helppo ratkaisu. Klikkaa linkkiä, kirjaudu sisään ja vahvista tietosi, niin ongelma muka korjaantuu.

Linkki vie aidolta näyttävälle sivulle, joka on todellisuudessa huijarin hallinnassa. Kun syötät tunnuksesi, ne valuvat suoraan rikolliselle.

Miksi tähän lankeaa niin moni? Koska viesti osuu usein juuri oikeaan hetkeen, silloin kun oikeasti odotat pakettia tai laskua, ja pelkkä sattuma tekee siitä uskottavan.

Tunnistusmerkit

Seuraava lista auttaa tunnistamaan kalasteluviestin. Jo yksi täyttyvä kohta riittää epäilyyn.

• [ ] Viesti luo kiireen tai pelon — "tili suljetaan tänään", "toimi heti"
• [ ] Sinua pyydetään kirjautumaan linkin kautta — aito toimija ohjaa kirjautumaan itse sovellukseen tai osoitteeseen
• [ ] Linkin osoite näyttää oudolta — tarkista verkko-osoite ennen klikkausta
• [ ] Pyydetään tunnuksia, korttitietoja tai tunnuslukuja — pankki ei koskaan kysy näitä viestillä
• [ ] Yleinen puhuttelu — "Hyvä asiakas" oikean nimesi sijaan
• [ ] Kieli tökkii tai on liiankin sujuvaa — kumpikin on mahdollista
• [ ] Lähettäjä ei täsmää — nimi näyttää oikealta, mutta osoite on sekava

Yksikään näistä ei yksin todista huijausta. Yhdessä ne ovat silti hyvin vahva merkki.

Kalastelu tulee monta kanavaa pitkin

Ennen kalastelu tarkoitti lähinnä sähköpostia. Nykyään se tulee monesta suunnasta yhtä aikaa.

Sähköposti on yhä klassinen kanava, jossa viesti näyttää tulevan pankilta, Microsoftilta tai verkkokaupalta.

Tekstiviesti eli smishing on lyhyt viesti, jossa on linkki, ja usein se tulee paketin tai pankin nimissä, koska niitä moni odottaa.

Puhelut ja someviestit ovat yleistyneet, ja kalastelua tehdään nykyään myös soittamalla ja esimerkiksi WhatsAppissa.

Traficom kertoo, että pakettiyhtiöiden ja pankkien nimissä lähetetyt viestit ovat erityisen yleisiä Suomessa. Ne toimivat, koska ne osuvat suoraan tavallisen ihmisen arkeen.

Tunnetuimmat naamiot

Huijari valitsee naamiokseen tahon, johon luotat. Muutama niistä toistuu Suomessa kerta toisensa jälkeen.

Pankki on suosituin naamio. Viesti varoittaa "epäilyttävästä tapahtumasta" ja pyytää vahvistamaan henkilöllisyyden.

Posti ja muut kuljetusyhtiöt ovat toinen klassikko. Paketti muka odottaa, mutta pieni tullimaksu pitää maksaa ensin.

Microsoft 365 ja Google ovat suosittuja työpaikoilla. Viesti väittää salasanan vanhenevan tai postilaatikon olevan täynnä.

Verohallinto ja Kela vetoavat rahaan, koska palautuksen lupaaminen tai maksulla uhkaaminen saa monen klikkaamaan nopeasti.

Mikä näitä yhdistää? Jokainen on taho, jonka viestiin reagoit lähes refleksinä, ja juuri siihen huijaus perustuu.

Mitä tehdä, jos jo klikkasit?

Ensimmäinen ohje on samalla tärkein. Älä panikoi, vaan toimi järjestyksessä.

Jos syötit pankkitunnukset, soita heti pankkiisi ja sulje tunnukset, sillä suomalaisten pankkien sulkupalvelu päivystää ympäri vuorokauden.

Jos annoit korttitiedot, sulje kortti saman tien saman sulkupalvelun kautta.

Jos käytit samaa salasanaa muualla, vaihda se kaikkialle ja aloita sähköpostista, koska se on avain kaikkiin muihin tileihisi.

Ota käyttöön kaksivaiheinen tunnistautuminen niin moneen palveluun kuin pystyt, jolloin pelkkä varastettu salasana ei enää riitä kirjautumiseen.

Ilmoita lopuksi viestistä Kyberturvallisuuskeskukseen osoitteessa kyberturvallisuuskeskus.fi, ja jos menetit rahaa, tee myös rikosilmoitus poliisille.

Näin suojaudut etukäteen

Paras suoja on pieni terve epäluulo. Kyberturvallisuuskeskus sanoo saman: harva aito viesti vaatii toimimaan juuri tällä sekunnilla.

Älä koskaan kirjaudu palveluun viestin linkin kautta, vaan mene aina itse sovellukseen tai kirjoita osoite selaimeen käsin.

Tarkista linkin osoite ennen klikkausta. Voit pysäyttää sormen tai hiiren linkin päälle ja katsoa, mihin se oikeasti vie.

Pidä laitteet ja sovellukset päivitettyinä, koska päivitykset paikkaavat juuri niitä aukkoja, joita rikolliset käyttävät hyväkseen.

Ota kaksivaiheinen tunnistautuminen käyttöön kaikkialla, missä se on mahdollista, sillä yksittäisistä keinoista se on todella tehokas.

Jos epäilet viestiä, kysy varmuuden vuoksi. Soita pankkiin tai yritykselle sen viralliseen numeroon äläkä koskaan siihen numeroon, jonka viesti itse antaa.

Usein kysytyt kysymykset

Voiko huijausviestin tunnistaa kielivirheistä? Ennen pystyi, mutta nykyään enää harvoin. Rikolliset tuottavat tekoälyllä virheetöntä suomea, joten pelkkään kieliasuun ei voi enää luottaa. Katso kokonaisuutta eli kiirettä, linkkiä ja sitä, mitä viesti pyytää sinua tekemään.

Onko vaarallista vain avata viesti? Pelkkä avaaminen on yleensä turvallista, ja vaara syntyy vasta, kun klikkaat linkkiä, avaat liitteen tai syötät tietoja. Älä siis tee mitään näistä epäilyttävän viestin kohdalla.

Mistä huijari sai sähköpostiosoitteeni tai numeroni? Usein jostakin aiemmasta tietovuodosta, sillä osoitteita ja numeroita myydään isoina listoina ja viestejä lähetetään automaattisesti tuhansille kerralla. Kyse ei siis ole siitä, että juuri sinut olisi erikseen valittu.

Soitin takaisin huijarin numeroon, mitä nyt? Pelkkä soitto ei vielä vaaranna tunnuksiasi, mutta älä anna mitään tietoja, jos joku niitä puhelimessa pyytää. Jos ehdit jo kertoa tunnuksia, sulje ne pankin kautta heti.

Auttaako virustorjunta kalastelua vastaan? Se auttaa osittain, koska moni ohjelma varoittaa tunnetuista huijaussivuista. Täyttä suojaa se ei kuitenkaan anna, sillä uusia sivuja syntyy jatkuvasti, ja tärkein suoja olet silti sinä itse ja terve epäluulo.