Phishing tunnetaan suomeksi verkkourkintana, tietojenkalasteluna ja kalasteluna. Lyhyesti määriteltynä se on rikollista toimintaa, jossa pyritään saamaan tietoteknisten välineiden avulla haltuun luottamuksellisia tietoja, kuten henkilö-, salasana-, maksukortti- tai tilitietoja. Tämä tehdään usein esiintymällä tiedon saantiin oikeutettuna henkilönä. Tietoja voidaan yrittää kalastella niin sähköpostissa, tekstiviestillä kuin sosiaalisessa mediassakin. Tietojen avulla rikollinen voi saada suurtakin taloudellista voittoa käyttämällä niitä laittomasti omaksi hyödykseen.

Phishing on yleistä myös Suomessa

Phishing eli tietojenkalastelu on hyvin yleinen verkkorikollisuuden muoto myös meillä Suomessa. Poliisin mukaan ilmiö on arkipäiväistynyt, ja tällä hetkellä on liikkeellä useitakin tietojenkalastelukampanjoita. Ikävä kyllä kalastelulle ei näy myöskään loppua, vaan se on ennemminkin yleistymässä entisestään. Suurin osa tietoon tulleista phishing-tapauksista on liittynyt Office365-tunnusten ja salasanojen joutumisesta rikollisten haltuun. Yhtenä uudehkona ilmiönä ovat erilaiset kalastelusivustot, englanniksi phishing kitit.

Phishing kitit eli kalastelusivustot

Kalastelusivusto on käytännössä pieni www-sivupaketti, jonka hakkeroija on saanut ujutettua uhrin www-palvelimeen. Kun paketti on asennettu, se tarkistaa annetun käyttäjätunnuksen ja salasanan oikeellisuuden kirjautumalla pilvipalveluun ja toimittaa ne sen jälkeen hyökkääjälle. Phishing kitejä on luotu lähes kaikkiin pilvialustoihin, kuten Office365:een, Googleen, Facebookiin, Instagramiin ja Dropboxiin. Yrityksiin ja erilaisiin organisaatioihin käytetyissä hyökkäyksissä on hyödynnetty yleensä Office365- tai Google-sivustoja.

Yksityishenkilöihin kohdistuvissa hyökkäyksissä on käytetty lisäksi myös sosiaalisen median sivustoja. Tavallisesti hakkeroija lähettää henkilölle sähköpostin, joka näyttää tulleen luotettavalta taholta, esimerkiksi oman organisaation sisältä tai vaikkapa henkilölle tutusta yrityksestä. Koska viesti näyttää aidolta, viestin saaja tavallisesti klikkaa viestin linkkiä, joka voikin ohjautua aivan oikeaan OneDrive- tai Sharepoint-tiedostoon. Käyttäjä ohjautuu aidolta näyttävälle kirjautumissivulle ja hänen kirjautuessaan käyttäjätunnus ja salasana välittyvät hakkeroijalle.

Hyökkääjä voi tehdä monenlaista vahinkoa

Kun hyökkääjä on saanut pääsyn esimerkiksi yrityksen Office365-tilille, hän voi tehdä monenlaista vahinkoa. Jos tunnuksilla saadaan mielenkiintoista tietoa tai muuta hyötyä, on luultavaa, että ne myydään myös eteenpäin. Rikollinen saa esimerkiksi pääsyn sähköpostiin ja pystyy halutessaan lataamaan itselleen yrityksen koko yhteystietoluettelon. Hän saa pääsyn myös OneDriveen tallennettuihin tiedostoihin sekä Skypen tietoihin. Käytännössä hyökkääjällä on samat oikeudet Office365-tilille kuin henkilöllä, jolta hän on tunnukset huijannut.

Näin ollen rikollisella on pääsy myös kaikkiin samoihin tietoihin ja hän voi käyttää väärin esimerkiksi henkilön sähköpostia. Hyökkääjä pystyy myös kirjautumaan kaikkiin niihin yrityksen tietojärjestelmiin, joihin on pääsy internetin tai Office365:n kautta. Yrityksillä on omat henkilörekisterit, joissa on tietoa niin yrityksen työntekijöistä, asiakkaista kuin yhteistyökumppaneistakin, ja kalastelun seurauksena voi päästä vuotamaan runsaasti erilaista tietoa, jonka hyökkääjä voi myydä eteenpäin.

Yritykset tietojenkalastelun uhreina

Useat yritykset, esimerkiksi Espoon kaupunki ja Finnair ovat joutuneet tietojenkalastelun uhriksi. Niistä kumpaakin harhautettiin juuri valheellisilla Office365-sisäänkirjautumissivuilla. Espoon kaupunkiin tapahtuneessa hyökkäyksessä päästiin käsiksi muun muassa ansioluetteloihin ja työsopimuksiin, joista löytyy henkilötunnuksia. Henkilötunnusten joutuessa vääriin käsiin niitä voidaan käyttää väärin hyvinkin laajasti. Pahimmillaan henkilö voi joutua identiteettivarkauden kohteeksi. Viestintäviraston tietoon on tullut myös tapauksia, joissa suomalaisten yritysten johtajien sähköposteihin on murtauduttu.

Tällöin hyökkääjä voi kopioida kaikki tilin sähköpostit, lähettää tililtä uusia kalasteluviestejä ja tehdä jopa petoksia. Hyökkäysten kohteina on ollut erityisesti yritysten johtoryhmien jäseniä, mutta myös aivan rivityöntekijöitäkin. Tietojenkalastelun uhriksi joutumisesta ei välttämättä ilmoiteta viranomaisille, jotka uskovatkin, että heidän tietoonsa tulee vain murto-osa tapauksista. Yrityksiin kohdistuneiden hyökkäysten motiivina voi olla rahan lisäksi myös yritysvakoilu, joka voi aiheuttaa tuntuviakin tappioita ja kuluja.

Viestejä poliisin tai pankin nimissä

Monet ovat saaneet sähköpostiinsa phishing-viestejä, joita lähetetään luotettavina pidettyjen viranomaisten, kuten vaikkapa poliisin tai oman pankin nimissä. Viestissä olevaa linkkiä klikkaamalla henkilö päätyy valesivustolle, jonka osoite voi olla hyvin samankaltainen kuin oikean organisaation ja sivustokin näyttää hyvin samanlaiselta. Syöttäessään salasanansa ja käyttäjätunnuksensa tai vaikkapa luottokorttinsa tiedot ne ohjautuvat kuitenkin rikollisiin käsiin. Sähköpostiviestit voivat olla hyvin aidon oloisia ja näköisiä.

Usein viesteissä voi olla kuitenkin seikkoja, joiden olisi syytä laittaa hälytyskellot soimaan. Niitä ovat esimerkiksi kielioppi- ja kirjoitusvirheet tai erikoiset pyynnöt. Salasanoja ei pidä antaa koskaan kenellekään – viranomaiset eivät pyydä sitä ikinä. Huijausviesteissä voidaan kertoa myös yllättävistä voitoista, tai viestin saajaa voidaan muulla tavoin pyrkiä harhauttamaan klikkaamaan linkkiä. Jos epäilet linkin johtavan phishingia varten tehdylle sivustolle, sivuston oikeellisuuden voi tarkistaa netissä, esimerkiksi PhishTank-sivustolla.

Ovatko maksukorttisi tiedot turvassa?

Maksukorttirikosten määrä on ollut vahvassa kasvussa, mihin vaikuttaa se, että yhä useampi ostos maksetaan kortilla. Maksukorttien tiedot voivat joutua vääriin käsiin monin tavoin, tietojenkalastelun lisäksi esimerkiksi manipuloidusta maksukorttiautomaatista tai haittaohjelman välityksellä. Sosiaalisessa mediassa on levinnyt viestejä, joiden perusteella henkilö antaa luottokorttinumeronsa osallistuakseen tuotetestaukseen tai lunastaakseen huippuhyvän tarjouksen. Henkilö ei ole kuitenkaan lukenut käyttöehtoja ja on tietämättään sitoutunut toistuvaan veloitukseen.

Tällöin hänen tililtään aletaankin veloittaa tietty summa kuukausittain. Maksukorttidataa on joutunut väärin käsiin myös esimerkiksi hakkeroijien päästyä käsiksi kassapalvelimiin ja verkkopalveluiden käyttäjätileihin. Verkossa vaanii siis erilaisia vaaroja, ja siellä on syytä olla varuillaan. Jos joudut verkkorikoksen uhriksi, tee ilmoitus poliisille. Rikosilmoituksen voi tehdä joko käymällä poliisiasemalla tai netissä poliisin kotisivuilla. Jos epäilet maksukorttisi tietojen joutuneen vääriin käsiin, ilmoita tästä aina myös omaan pankkiisi.

Leave a Reply

Your email address will not be published. Required fields are marked *