Mitä on phishing?

Asiantuntijasisällöt
Lenni Laukkanen

Phishing on yleistermi tietojenkalastelulle. Tietojenkalastelulla kyberrikolliset pyrkivät varastamaan henkilötietoja, kuten puhelinnumeroita sekä pankki- ja henkilötunnuksia, hyödyntääkseen niitä taloudellisesti. 

Henkilötietojen lisäksi rikolliset ovat yleensä kiinnostuneita käyttäjätunnuksista ja salasanoista, joiden avulla he voivat kirjautua luvattomasti erilaisiin palveluihin. Toisten henkilöiden käyttäjätilejä ja -tunnuksia voidaan käyttää joko suoraan taloudellisen hyödyn tavoitteluun tai vaihtoehtoisesti lisätietojen hankkimiseen.

Erittäin usein tietojenkalastelu tapahtuu väärennettyjen verkkosivujen avulla. Väärennetyistä verkkosivuista rakennetaan jatkuvasti aidomman, uskottavamman ja luotettavamman näköisiä, minkä avulla käyttäjät erehtyvät herkästi luovuttamaan tietojaan vääriin käsiin.  

Neljä vinkkiä tietojenkalastelulta suojautumiseen

1. Tunne oman organisaatiosi ohjeet ja ota vastuu omasta toiminnastasi 

Käyttäjien oma vastuullisuus on avain tietojenkalastelun koukkujen välttämiselle. Organisaatio ei tahallaan luo toimintatapoja tai ohjeita työntekijöiden päivien vaikeuttamiseksi – vaikka tietoturvatoimenpiteitä tekisi mieli oikoa, ohjeita on syytä noudattaa eri järjestelmiä käytettäessä. 

Omien tietojen turvassa pitämiseksi on tietysti syytä luoda hyvä salasana, eikä omia käyttäjätunnuksia saa koskaan luovuttaa muille. Jos saat esimerkiksi epäilyttävän viestin, jota et ole odottanut, kannattaa ottaa yhteyttä viestin lähettäjään ja varmistua, että viesti sisältöineen on tarkoituksenmukainen. 

Organisaation viestejä lähettäessä voi olla tarpeen kertoa etukäteen myös asiakkaalle, että tarkoituksena on lähettää jokin tärkeä tiedosto vaikkapa sähköpostitse. Näin dokumentteja osataan odottaa, eikä yhteydenpitoon jää epävarmuutta luotettavuudesta.

2. Tarkkaavaisuus kannattaa – kalastelu tulee usein uskottavalta näyttävästä lähteestä 

Älä klikkaa linkkejä ja avaa tiedostoja, ellet tiedä varmasti niiden olevan turvallisia. Pelkkä lähettäjän uskottavuus ei tarkoita, ettei kyseessä olisi huijaus.

Etenkin suuret ja tunnetut brändit ovat suosittuja tietojenkalastelun hyödyntämisessä. Huijauksia lähtee usein esimerkiksi globaalien tai kotimaistenkin verkkokauppojen, pankkien tai kuriiripalveluiden nimissä, ja viestit saattavat näyttää hämmentävän aidoilta. Tietojenkalastelun piirissä esimerkiksi Amazonin, UPS:n ja Nordean kaltaisten brändien ja viestinnän jäljittely vilpillisissä tarkoituksissa on valitettavan yleinen ilmiö.

3. Ole huolellinen – kiire aiheuttaa helposti virheitä 

Epämääräisiin linkkeihin ja tietopyyntöihin kannattaa aina keskittyä, vaikka kiirettä pukkaisikin. Myös kalasteluviesteissä itsessään pyritään usein luomaan kiireen tunnetta. 

Mitä kiireellisemmin sinulta odotetaan jotain toimenpidettä tai informaatiota, sitä suurempi riski on, että kyseessä on huijaus. Viestin aitous kannattaa varmistaa ottamalla yhteys viestin lähettäjään, mikäli epävarmuutta ilmenee. Muista, ettei sähköposti ole pikaviestiväline.

4. Luota intuitioon 

Aina kun kohtaat jotain epäilyttävää, pysähdy miettimään. Jos vastaanotat liian hyvältä kuulostavia tarjouksia tai ehdotuksia, usein ne myös ovat niitä – liian hyviä ollakseen totta. Usein huijausyritykset kaatuvat juuri intuitioon.

Myös tässä auttaa aiemmin todettu: ole yhteydessä viestin lähettäjään, jos viestin sisältö aiheuttaa epävarmuutta. Sujuva kommunikaatio pelastaa väärinkäsityksiltä. On parempi olla liian varovainen kuin joutua kalliin huijauksen uhriksi.

Lue seuraavaksi: