Spoofing – Verkkohuijaukset

Verkkohuijaukset ovat varmasti monille tuttu käsite, mutta spoofing on niistä yleisemmin käytetty kansainvälinen termi, josta on hyvä olla tietoinen. Tässä artikkelissa käydään läpi millaisia spoofing-huijauksia verkosta löytyy, ja miten niiltä voi välttyä.

Mitä spoofing tarkoittaa?

Spoofing viittaa yleisesti verkossa tapahtuviin huijauksiin, jotka ovat yleensä petollisia tai haitallisia sekä yrityksille että yksityishenkilöille. Verkkohuijauksissa viestintä on yleensä peräisin vastaanottajalle tuntemattomasta lähteestä, mutta se on saatettu naamioida vastaanottajalle tutuksi lähteeksi (esimerkkinä verkkopankkien nimissä tehtävät huijaukset). Spoofing on yleisintä sellaisten viestintäkanavien kautta, joista puuttuu korkea turvallisuustaso, kuten sähköposti ja tekstiviestit.

Spoofing-huijausten tyypit

Pelkkä termi ‘verkkohuijaus’ ei välttämättä riitä kuvaamaan näiden huijausten laajuutta, minkä vuoksi spoofing on parempi kattotermi kaikille seuraavaksi esittelemillemme huijausten tyypeille.

Sähköpostihuijaukset

Kaikkein yleisin spoofing huijausten muoto ovat sähköpostin kautta tehtävät huijaukset. Niissä lähettäjä luo sähköpostiosoitteen, joka on lähellä jonkin vastaanottajan käyttämän palvelun nimeä. Huijarit saattavat esimerkiksi verkkopankkien nimissä tehtävissä huijauksissa käyttää kyseisen pankin sähköpostiviestinnästä kopioitua kieltä ja mallia, mutta niissä kehotetaan aina joko klikkaamaan jotakin linkkiä, tai lähettämään joitain henkilökohtaisia tietoja vastausviestinä.

Sähköpostihuijauksiin on sinällään helppo langeta, koska ne näyttävät aidolta pankin tai muun operaattorin viestinnältä. Siksi on aina tärkeää kyseenalaistaa viestin tarkoitus, jos siinä pyydetään esimerkiksi rahansiirtoa tai lupaa käyttää jotakin järjestelmää. Miksi pankki pyytäisi koskaan tällaista asiakkaalta sähköpostitse? No, eiväthän ne pyydä.

Lisäksi spoofing-viesteissä voi joskus olla mukana liitteitä, jotka asentavat niitä klikattaessa koneellesi vakoiluohjelmia, kuten troijalaisia tai viruksia. Monissa tapauksissa haittaohjelma on suunniteltu ylittämään tietokoneesi omat suojausmenetelmät, ja näin saastuttamaan kaikki koneen sisältämät tiedot ja yhteydet.

Sähköpostihuijaukset perustuvat vahvasti sosiaaliseen manipulointiin. Tämä tarkoittaa kykyä saada huijauksen kohde uskomaan näkemänsä, ja näin ollen toimimaan huijarin toivomalla tavalla, mikä hyödyttää itse huijauksen lähettäjää.

IP-huijaus

Siinä missä sähköpostihuijauksen kohteena on aina henkilö, IP-huijaukset kohdistuvat verkkoon yleisesti. Tämä spoofing muoto tarkoittaa, että hyökkääjä yrittää päästä luvatta järjestelmään lähettämällä viestejä väärennetystä IP-osoitteesta, joka näyttää siltä, että viesti tulee luotettavasta lähteestä. Tällä voidaan tarkoittaa esimerkiksi jonkin yrityksen sisäistä tietokoneverkkoa.

IP-huijausten ennaltaehkäisy on kaikkein varmin tapa välttyä niiltä, sillä jos niihin avautuu huijareille mahdollisuus, koko verkon hallinnan menettäminen on hyvin todennäköistä. Tämä johtuu siitä, että nämä hyökkäykset tulevat usein osana DDoS-hyökkäyksiä (Distributed Denial of Service), jotka voivat viedä koko verkon offline-tilaan.

Verkkosivustojen huijauksen

Verkkosivustojen huijauksen – jotka tunnetaan myös nimellä URL-huijaus – tarkoittaa sitä, kun huijarit rakentavat aidonnäköisen, mutta vilpillisen verkkosivuston ja ohjaavat liikennettä esimerkiksi Googlesta sinne. Huijaussivustolla on

  • tutun näköinen kirjautumissivu,
  • varastettuja logoja ja vastaava brändäys,
  • sekä myös vastaavat URL-osoite, joka näyttää ensi silmäyksellä oikealta.

Erilaiset spoofing hakkerit rakentavat näitä verkkosivustoja tarkoituksenaan varastaa kirjautumistietoja ja mahdollisesti asentaakseen haittaohjelmia tietokoneelle. Usein verkkosivustohuijaus tapahtuu yhdessä jonkinlaisen sähköpostihuijauksen kanssa. Tämä voi toimia niin, että sinulle tulee sähköpostin, joka sisältää linkin väärennetylle verkkosivustolle.

Puhelinhuijaukset

Soittajan tunnuksen huijaus – jota kutsutaan Suomessa yleisemmin puhelinhuijaukseksi – tarkoittaa sitä, kun huijarit tarkoituksellisesti väärentävät puhelinnumeroosi lähetetyt soittajan tiedot peittääkseen henkilöllisyytensä. Tämä voi tarkoittaa esimerkiksi sitä, että tuntemattoman numeron sijasta huijauspuhelu tulee täysin oikean näköisestä suomalaisesta numerosta. Tällöin on todennäköisempää, että vastaat siihen.

Tällaisissa puhelinhuijauksissa voidaan käyttää VoIP-protokollaa (Voice over Internet Protocol), jonka avulla huijarit voivat luoda haluamansa puhelinnumeron ja soittajan tunnuksen. Kun vastaanottaja vastaa puheluun, huijarit yrittävät kalastella vastaajalta arkaluonteisia tietoja vilpillisiin tarkoituksiin.

Tekstiviestihuijaus

Tekstiviestihuijaus on hyvin samantyylinen spoofing muoto, kuin sähköpostihuijaukset. Niissä tekstiviestin lähettäjä johtaa käyttäjiä harhaan antamalla vääriä tietoja. Lailliset yritykset voivat lähettää esimerkiksi markkinointitarkoituksiin tarkoitettuja tekstiviestejä korvaamalla pitkän numeron lyhyellä ja helposti muistettavalla aakkosnumeerisella tunnuksella, näennäisesti siksi, että se on helpommin tunnistettava asiakkaille.

Mutta myös huijarit käyttävät tätä taktiikkaa piilottaakseen todellisen henkilöllisyytensä aakkosnumeerisen lähettäjän tunnuksen taakse. Näin he voivat naamioitua yritykseksi tai organisaatioksi. Usein nämä väärennetyt tekstit sisältävät linkkejä phishing-sivustoillem joilla kalastellaan henkilökohtaisia tietoja tai haittaohjelmien latauksiin.

GPS-huijaus

GPS-huijaus tapahtuu, kun GPS-vastaanotin huijataan lähettämään vääriä signaaleja, jotka kuitenkin näyttävät aidolta. Käytännössä se toimii siis niin, että huijari näyttää olevan yhdessä paikassa, mutta on oikeasti jossain aivan muualla. Tätä spoofing menetelmää tarvitaan esimerkiksi huijauksiin, joita tehdään yhdestä maasta toiseen. Pahimmillaan tätä voidaan käyttää jopa häiritsemään laivojen tai lentokoneiden GPS-signaaleja. Monet mobiilisovellukset luottavat älypuhelimien sijaintitietoihin, minkä vuoksi juuri nämä sijaintitiedot voivat olla GPS-huijaushyökkäysten kohteita.

Kasvojentunnistus huijaus

Kasvojentunnistusteknologiaa käytetään mobiililaitteiden ja kannettavien tietokoneiden lukituksen avaamiseen. Nykyään sitä käytetään yhä useammin myös muilla aloilla, kuten

  1. lainvalvonnassa
  2. lentokenttien turvallisuustarkastuksissa
  3. terveydenhuollossa
  4. koulutuksessa
  5. markkinoinnissa
  6. mainonnassa.

Kasvojentunnistushuijaus voi tapahtua laittomasti hankituilla biometrisilla tiedoilla joko suoraan tai piilossa henkilön verkkoprofiileista tai hakkeroitujen järjestelmien kautta.

Techopedia selittää mikä on spoofing

Sähköpostihuijaus on yksi kaikkein tunnetuimmista spoofing, eli verkkohuijausten muodoista. Sähköpostiviestin välityksellä tapahtuvassa viestinnässä henkilöllisyyden piilottaminen on erityisen helppoa ja yksinkertaista, minkä vuoksi ne ovat myös rikollisten eniten käyttämä huijausten tapa.

Huijaussähköpostit voivat pyytää vastaanottajalta henkilökohtaisia tietoja, ja ne voivat näyttää olevan peräisin tunnetulta lähettäjältä. Tällaisissa sähköpostiviesteissä vastaanottajaa voidaan pyytää esimerkiksi vastaamaan viestiin omalla tilinumerolla, joka tulee tottakai myös vahvistaa. Sähköpostihuijari käyttää sitten tätä tilinumeroa ja vahvistusta identiteettivarkauksiin, kuten pääsyyn uhrin pankkitilille, yhteystietojen vaihtamiseen ja niin edelleen.

Hyökkääjä tietää, että jos vastaanottaja saa huijaussähköpostin, joka näyttää tulevan tunnetusta lähteestä, se todennäköisesti avataan ja se saa ryhtymään toimiin. Näin ollen huijausviesti voi sisältää myös muita uhkia, kuten troijalaisia ja muita viruksia. Nämä haittaohjelmat voivat aiheuttaa merkittäviä tietokonevaurioita käynnistämällä odottamattomia toimintoja, etäkäyttöä, tiedostojen poistamista ja paljon muuta. Yritysten kohdalla kyseessä voivat olla myös kiristyshaittaohjelmat, joissa vaaditaan lunnaita varastettujen tietojen palauttamista vastaan.

Kuinka estää spoofing -huijaukset?

Yleisesti ottaen näiden verkkoturvallisuusvinkkien noudattaminen auttaa välttämään altistumista spoofing -hyökkäyksille:

  • Älä koskaan klikkaa tuntemattomista lähteistä peräisin olevia liitteitä tai linkkejä. Ne voivat sisältää haittaohjelmia tai viruksia, jotka saastuttavat laitteesi. Jos olet hiukankin epävarma, varmista lähettäjä ottamalla yhteyttä oikean yrityksen asiakaspalveluun.
  • Jos saat sähköpostin, tekstiviestin tai puhelun tuntemattomasta lähteestä, älä vastaa niihin. Kaikkeen kommunikointiin huijarin kanssa liittyy potentiaalinen riski, jota tulee välttää.
  • Käytä aina kaksivaiheista todennusta esimerkiksi sähköpostissa. Tämä lisää todennusprosessiin toisen suojakerroksen ja vaikeuttaa näin ollen huijareiden pääsyä laitteihisi tai online-tileillesi.
  • Käytä vahvoja salasanoja. Vahvaa salasanaa ei ole helppo arvata, sillä se koostuu isojen ja pienten kirjainten, erikoismerkkien ja numeroiden yhdistelmästä. Vältä saman salasanan käyttöä usealla eri alustalla ja verkkosivustolla, ja vaihda salasanasi säännöllisesti.
  • Tarkista omat tietosuoja-asetuksesi. Jos käytät sosiaalisen median sivustoja, ole varovainen, kenen kanssa olet yhteydessä esimerkiksi yksityisviestien välityksellä. Jos tunnistat epäilyttävää toimintaa, olet klikannut roskapostilinkkiä tai joutunut huijatuksi verkossa, suojaa tilisi ja tee sen jälkeen asiasta ilmoitus.
  • Älä luovuta henkilökohtaisia tietoja verkossa koskaan. Muista, että pankit, puhelinoperaattorit jne. eivät koskaan pyydä sinulta henkilökohtaisia tietoja sähköpostin tai tekstiviestin välityksellä.
  • Pidä kaikki laitteet ajan tasalla ja päivitettynä. Ohjelmistopäivitykset sisältävät tietoturvakorjauksia, virheenkorjauksia ja uusia ominaisuuksia, joten ne vähentävät haittaohjelmien tartunnan ja tietoturvaloukkausten riskiä.
  • Varo verkkosivustoja, sähköposteja tai viestejä, joiden oikeinkirjoitus tai kielioppi on huonoa, sekä muita virheellisiltä näyttäviä ominaisuuksia, kuten logoja, värejä tai puuttuvaa sisältöä. Tämä voi olla merkki huijauksesta.

Samankaltaiset termit

Margaret Rouse

Margaret Rouse on palkittu teknologiatoimittaja ja opettaja, joka tunnetaan hänen kyvyistään selittää vaikeitakin teknologisia konsepteja aiheesta vähemmän tietävälle finanssialan yleisölle. Viimeisen 20 vuoden ajan hänen selityksensä ovat ilmestyneet TechTargetin nettisivuille, minkä lisäksi häntä ovat siteeranneet asiantuntijana New York Times, Time Magazine, USA Today, ZDNet, PC Magazine ja Discovery Magazine. Margaretin mielestä mikään ei ole hauskempaa kuin opettaa IT-alan ja finanssialan ammattilaisille, kuinka toisen alan hyvin spesifillä kielellä puhutaan. Jos sinulla on ideoita selitettävistä termeistä tai parannuksista aikaisempiin selityksiin, lähetä sähköpostia Margaretille tai ota yhteyttä häneen LinkedInissä tai Twitterissä.