Verkkourkinta

Avoin toiminta

Verkkourkinta on jatkuvasti kasvava verkkorikollisuuden muoto, joka saa koko ajan myös uusia muotoja. Siksi jokaisen verkkoa käyttävän ihmisen – eli periaatteessa jokaisen – tulisi olla tietoinen siihen liittyvistä lainalaisuuksista.

Jo muutaman nyrkkisäännön opettelemalla voi suojata itseään hyvin potentiaalisilta hyökkäyksiltä. Kuten moneen muuhunkin haitalliseen asiaan elämässä, arkinen maalaisjärki vie tietoturvassa jo yllättävän pitkälle.

Mitä tarkoittaa verkkourkinta?

Verkkourkinta (phishing) eli tietojenkalastelu on tietoturvarikkomus, jossa tekijä esiintyy laillisena yrityksenä tai arvostettuna henkilönä ja pyrkii saamaan haltuunsa yksityisiä ja arkaluontoisia tietoja, kuten luottokorttinumeroita, henkilökohtaisia tunnuslukuja ja salasanoja.

Phishing perustuu harhautukseen ja sosiaaliseen manipulointiin, joilla pyritään saamaan uhri tekemään jotain hyökkääjän hyväksi, kuten klikkaamaan tietojenkalasteluun tarkoitettuja linkkejä tai lataamaan ja avaamaan haitallisen sähköpostiliitteen. Näin hyökkääjälle syntyy mahdollisuus saada käyttäjästä sellaisia tietoja, joita hän voi käyttää myöhemmissä hyökkäyksissä.

Yhdysvaltain kyberturvallisuuden ja infrastruktuurin turvallisuusviraston mukaan 90 prosenttia kaikista kyberhyökkäyksistä alkaa tietojenkalastelusta. Yksi phishing-hyökkäysten suosion keskeisistä syistä on sen monipuolisuus ja korkeat tuotot rikolliselle toiminnalle.

Verkkourkinnan aiheuttamien riskien vähentämiseksi yksilöiden ja organisaatioiden on keskityttävä käyttäjien tietoisuuden kasvattamiseen, toteutettava tehokasta sähköpostien suodatusta, harkittava anti-phishing-pilvipalveluiden käyttöä ja noudatettava parhaita käytäntöjä verkossa käyttäytymiseen liittyen.

Verkkourkinta – miten suojautua uhilta?

Suojautuminen verkkourkinalta edellyttää sekä psykologisten että teknisten turvallisuuskäytäntöjen ymmärtämistä ja soveltamista. Tärkeintä on pysyä valppaana ja tietoisena siitä, kuinka huijarit yrittävät toimia.

Yksi keskeinen varotoimi on olla avaamatta sähköpostiliitteitä tai klikkaamatta epäilyttäviä linkkejä. Tämä pätee erityisesti silloin, kun viestit vaikuttavat tulevan luotetuilta tahoilta, kuten pankeilta tai viranomaisilta, mutta sisältävät epätavallisia pyyntöjä tai kiireellisiä kehotuksia.

Esimerkiksi pankit eivät koskaan tiedustele käyttäjiensä salasanoja tai muita vastaavia sähköpostien kautta. Tämä johtuu pitkälti jo siitä, että sähköpostien sisällöt näkyvät verkossa sellaisenaan, ellei niitä jollakin tavalla erikseen kryptaa.

Toisin sanoen, jos saat puhelun tai sähköpostin, jossa vaaditaan henkilökohtaisten tai taloudellisten tietojen jakamista, on suositeltavaa olla toimimatta samantien. Sen tarkista rauhassa yhteydenottojen taustat ja ota mielellään itse suoraan yhteyttä kyseiseen organisaatioon.

Tämä pätee erityisesti, jos yhteydenotto tuntuu vähänkään epätavalliselta tai siinä pyydetään tietoja, jotka mahdollistavat pääsyn henkilökohtaisiin tietoihin.

Muista myös käyttää vahvoja salasanoja ja harkitse kaksivaiheisen tunnistautumisen käyttöönottoa, jotta tilisi pysyvät suojattuina. Se on tehokas tapaa estää ulkopuolisia tunkeutumassa tietoihisi.

Verkkourkinta – ehkäise sitä seuraavilla sovelluksilla

Tapa Kuvaus
Sähköpostien suodatus Sähköpostin suodatus on osa lähes kaikkia sähköpostipalveluita. Niiden avulla voi skannata saapuvia viestejä epäilyttävän sisällön varalta ja analysoida lähettäjän osoitteita, sähköpostin sisältöä ja linkkejä phishing-yritysten tunnistamiseksi.
Linkkien analyysi Nämä työkalut tutkivat sähköposteissa tai viesteissä olevia URL-osoitteita varmistaakseen niiden laillisuuden. Ne vertaavat linkkejä tunnettuihin haitallisiin verkko-osoitteisiin ja mustiin listoihin.
Sisältöanalyysi: Tämäntyyppinen verkkourkinnan ehkäisemiseen luotu ohjelmisto analysoi sähköpostien sisältöä etsien tietojenkalasteluun liittyviä merkkejä, kuten kirjoitusvirheitä, epäilyttäviä liitteitä tai pyyntöjä arkaluontoisista tiedoista.
Reaaliaikainen skannaus Monet antivirusohjelmistot perustuvat digitaalisiin järjestelmiin, joissa on reaaliaikaista tietoja uhista. Näin niiden tietokannat pysyvät ajan tasalla uusista uhista ja strategioista. Tämä auttaa tunnistamaan ja estämään uudenlaisia verkkourkintaan perustuvia kampanjoita nopeasti.
Koneoppiminen ja tekoäly Edistyneet ohjelmistot hyödyntävät koneoppimisen ja tekoälyn algoritmeja parantaakseen kykyään tunnistaa verkkourkintaa. Ne voivat tunnistaa erilaisia indikaattoreita, jotka kertovat potentiaalisista hyökkäyksistä.

Phishing-hyökkäysten tyypit ja esimerkit

Phishing-hyökkäykset voidaan räätälöidä erilaisten kohteiden ja tavoitteiden mukaan. Tämä tapojen monipuolisuus mahdollistaa kyberrikollisille hyökkäysten muokkaamisen aina siten, että se sopii heidän kohdeyleisölleen ja tavoitteilleen parhaiten.

Esimerkiksi tavoitteena voi olla kohdistaa hyökkäys mahdollisimman laajaan ihmisjoukkoon tai pelkästään yksittäisiin ihmisiin. Koska tapoja on niin monia, se tekee verkkourkinnasta hankalaa torjua.

Tämän takia käyttäjien kannattaa olla hereillä sen suhteen, millä tavoin verkkorikolliset voivat toimiaan suorittaa.

Seuraavissa kappaleissa käymme läpi tarkemmin, miten verkkourkinta tehdään käytännössä. Näihin erilaisiin tapauksiin tutustuessa saa hyvän kuvan siitä, mihin kaikkeen verkossa kannattaa liittää huomiota oman tietoturvallisuuden kannalta.

Sähköposti verkkourkinta

Tämä on yleisin verkkourkintaan liittyvä keino. Hyökkääjä lähettää sähköpostin, joka näyttää tulevan lailliselta lähteeltä, kuten pankilta, luottokorttiyhtiöltä tai valtion virastolta. Sähköposti sisältää usein linkin, joka vie uhrin väärennetylle verkkosivustolle, joka taas näyttää aidoilta sivustoilta.

Kun uhri erehtyy syöttämään kirjautumistietonsa tai muuta arkaluontoista tietoa väärennetylle sivustolle, huijarit voivat samalla hetkellä varastaa ne.

Ongelmaksi sähköpostit muodostuvat tulevaisuudessa yhä enenevissä määrin, sillä generatiivista tekoälyä hyödyntävät chatbotit ovat tehneet sähköpostiviestien luomisen helpommaksi kuin koskaan – näyttäen samalla siltä kuin ne olisivat peräisin laillisesta lähteestä.

Tässä joitakin esimerkkejä sähköposti-phishing-huijauksista:

  • Laskuhuijaus: Huijari lähettää sähköpostin, joka näyttää tulevan lailliselta yhtiöltä, kuten sähkö- tai luottokorttiyhtiöltä. Sähköpostissa sanotaan, että uhrilla on maksamaton lasku, joka pyydetään maksamaan annetun linkin kautta. Linkki vie uhrin kuitenkin väärennetylle verkkosivustolle, joka näyttää muutoin täysin aidolta. Kun uhri syöttää maksutietonsa väärennetylle sivustolle, huijarit saavat tiedot omaan käyttöönsä.
  • Salasanan nollaushuijaus: Tässäkin tapauksessa verkkorikollinen lähettää uhrilleen sähköpostin, joka näyttää tulevan oikealta yritykseltä. Sähköpostissa sanotaan, että uhrin salasana on nollattu ja pyydetään klikkaamaan linkkiä sen muuttamiseksi. Linkki vie uhrin väärennetylle verkkosivustolle, jossa uhri syöttää salasanansa ja mahdollistaa pääsyn hänen tililleen.
  • Teknisen tuen huijaus: Huijari lähettää sähköpostin, joka näyttää tulevan esimerkiksi jonkin verkkopalvelun tekniseltä tuelta. Sähköpostissa sanotaan, että uhrin tietokoneessa on ongelma ja samalla pyydetään soittamaan tiettyyn numeroon apua varten. Kun uhri soittaa numeroon, hänet itse asiassa yhdistetään huijariin, joka yrittää vakuuttaa heidät antamaan etäkäyttöoikeuden tietokoneeseensa. Kun huijarilla on etäkäyttöoikeus tietokoneeseen, hän voi varastaa henkilökohtaisia tietoja tai asentaa haittaohjelmia.

Valaisiin kohdistuvat hyökkäykset eli whaling

Tämäntyyppinen spear phishing -hyökkäys pyrkii löytämään niin sanotun valaan eli henkilön tai toimijan, jolla on paljon rahaa tai valtaa. Tällöin ei olla kiinnostuneita mattimeikäläisistä tai kaurahatuista, vaan tavalla tai toisella merkittävistä henkilöistä.

Tässä joitakin esimerkkejä whaling-huijauksista:

  1. Toimitusjohtajan petos: Huijari lähettää sähköpostin esimerkiksi yrityksen rahoitusjohtajalle, joka näyttää tulevan yrityksen toimitusjohtajalta. Sähköposti kehottaa potentiaalista uhria tekemään välittömästi tietyn toimenpiteen, mikä lopulta johtaa taloudelliseen menetykseen tai arkaluontoisen tiedon paljastamisuun.
  2. Toimittajaksi tekeytyminen: Huijari lähettää sähköpostin yrityksen hankinnoista vastaavalle henkilölle. Se vaikuttaa tulevan henkilöltä, jonka kanssa uhrin yritys tekee aktiivisesti kauppaa. Väärennetty sähköposti pyytää uhria hyväksymään suorituksen myöhästyneestä laskusta tai muuttamaan suuren tilauksen toimitusosoitetta.
  3. Sisäisen työntekijän huijaus: Huijari kohdistaa hyökkäyksensä myyntijohtajaan ja lähettää sähköpostin, joka on suunniteltu petkuttamaan häntä tekemään tietyn toimenpiteen, joka antaa hyökkääjälle pääsyn yrityksen asiakastietoihin, kuten rahaliikenteeseen liittyviin arkaluontoisiin tietoihin.

Verkkourkinta – kryptolompakkoihin kohdistuvat hyökkäykset

Tämäntyyppinen huijaus kohdistuu kryptovaluuttoihin sijoittaviin ja niillä kauppaa käyviin henkilöihin. Huijarit lähettävät sähköposteja tai viestejä, jotka näyttävät olevan peräisin lailliselta lähteeltä, kuten kryptopörssiltä tai -lompakon tarjoajalta.

Sähköpostit tai viestit sisältävät usein linkin, joka vie uhrin väärennetylle verkkosivustolle, joka näyttää aidolta sivustolta. Kun uhri syöttää kirjautumistietonsa tai muuta arkaluontoista tietoa väärennetylle sivustolle, huijarit voivat varastaa tiedot.

Tässä joitakin esimerkkejä krypto-phishing-huijauksista:

  1. Turvallisuusvaroitushuijaus: Huijari lähettää sähköpostin, joka näyttää tulevan kryptopörssiltä, jossa varoitetaan heidän tilinsä olevansa vaarantunut. Sähköposti pyytää uhria klikkaamaan linkkiä vahvistaakseen tilinsä. Tässäkin tapauksessa linkki vie uhrin kuitenkin väärennetylle verkkosivustolle, joka näyttää oikealta pörssin verkkosivustolta. Kun uhri syöttää kirjautumistietonsa väärennetylle sivustolle, huijarit saavat ne tietoonsa.
  2. Arvontahuijaus: Huijari lähettää viestin sosiaalisessa mediassa, joka näyttää tulevan tunnetulta julkkikselta tai vaikuttajalta. Viestissä uhria pyydetään lähettämään kryptovaluuttoja tiettyyn osoitteeseen kilpailuun osallistuakseen. Osoite on kuitenkin rikollisen luoma, jolloin uhrin kryptovaluutat varastetaan.
  3. Väärennetyn verkkosivuston huijaus: Huijari luo väärennetyn kryptosivuston, joka näyttää lailliselta pörssiltä tai lompakkopalvelulta. Huijari mainostaa väärennettyä sivustoa sosiaalisessa mediassa tai muilla verkkoalustoilla. Kun uhrit vierailevat väärennetyllä verkkosivustolla ja syöttävät kirjautumistietonsa, huijarit voivat varastaa ne.

verkkourkinta mainokset

Haittaohjelmamainokset

Verkkourkinta on hyvin yleistä myös mainosten osalta. Tällöin tietojenkalastelu tapahtuu haitallisten mainosten kautta muutoin laadukkailla verkkosivustoilla. Kun uhrit klikkaavat näitä mainoksia, heidät ohjataan väärennetylle verkkosivustolle, joka taas tartuttaa heidät haittaohjelmalla.

Tässä joitakin esimerkkejä haittaohjelmamainoksista:

  • Ajamalla latautuva huijaus: Tämäntyyppisessä huijauksessa haittaohjelma asennetaan automaattisesti käyttäjän tietokoneelle, kun hän vierailee verkkosivustolla, joka on saastunut haitallisella koodilla. Haittaohjelmaa voidaan käyttää henkilökohtaisten tietojen varastamiseen, muiden haittaohjelmien asentamiseen tai tietokoneen hallinnan ottamiseen.
  • Pop up -mainokset: Tässä huijauksessa käyttäjälle näytetään ei-toivottuja pop up -mainoksia. Mainokset saattavat sisältää haitallista koodia, jolla kaapataan uhrin selain tai annetaan hyökkääjälle mahdollisuus päästä uhrin lähiverkkoon tai tietokoneelle ja etsiä muita hyödynnettäviä haavoittuvuuksia.
  • Haitalliset linkit: Tämäntyyppisessä huijauksessa käyttäjää huijataan klikkaamaan haitallista linkkiä verkkosivustolla. Linkki tai painike saattaa näyttää oikealta ja turvalliselta, mutta se on suunniteltu asentamaan haittaohjelmia tai varastamaan henkilökohtaisia tietoja.

Psykologiset strategiat phishingissä

Verkkourkinta on yleistä tehdä myös siten, että siinä käytetään hyväksi ihmisen psykologiaa. Naamioitumalla luotetuiksi tahoiksi, luomalla kiireellisyyden tunnetta, vetoamalla uhrien auttamishaluun tai ryhmään kuulumisen tarpeeseen, hyökkääjä voi saada aikaan impulsiivisia reaktioita.

Vaikka monet teknologiaan perustuvat taktiikat, kuten sähköpostin väärentäminen, domainien jäljittely tai haittaohjelmien pakotus, ovat tärkeitä tietojenkalastelun osalta, psykologinen manipulointi on usein se viimeinen silaus. Itse asiassa monissa tapauksissa juuri nämä tekniikat määrittävät huijauksen onnistumisen.

Ironista kyllä, useimmat phishing-huijareiden käyttämät strategiat ovat hyvin tunnettuja markkinointitekniikoita, mikä on syytä ottaa huomioon.

Psykologiset strategiat onnistuneiden hyökkäysten toteuttamiseen sisältävät:

  • Kiireellisyyden tunteen luominen: Verkkohuijarit suunnittelevat viestintänsä niin, että siinä on jatkuvasti kiireellisyyden tunne. Ihmiset taipuvat priorisoimaan kiireelliset asiat ja ovat todennäköisemmin impulsiivisia niitä tehdessään.
  • Pelon herättäminen: Hyökkääjän viestinnässä väitetään, että uhrin tili suljetaan, ellei hän toimi välittömästi. Pelokkaat ihmiset todennäköisemmin reagoivat impulsiivisesti, eivätkä jää miettimään tekojensa seurauksia.
  • Uteliaisuuteen vetoaminen: Hyökkääjän viestintä on suunniteltu herättämään uhrin uteliaisuus tarjoamalla virheellistä tietoa tai houkuttelevia tarjouksia, jotka saavat heidät klikkaamaan linkkiä tai avaamaan liitteen.
  • Auktoriteettiin vetoaminen: Verkkourkintaan liittyvä viestintä vaikuttaa tulevan joltain auktoriteetilta, kuten yrityksen toimitusjohtajalta, IT-hallinnolta tai hallinnon virkamieheltä.
  • Tuttuuteen vetoaminen: Hyökkääjä käyttää uhrin luottamusta tunnettuun brändiin, organisaatioon tai henkilöön luodakseen väärän turvallisuuden tunteen.
  • Rajoitettu saatavuus: Hyökkääjä luo käsityksen yksinoikeudesta tai rajoitetusta saatavuudesta motivoidakseen uhreja toimimaan nopeasti.
  • Ystävyyteen vetoaminen: Hyökkääjän viestintä matkii tarkasti kollegan tai ystävän kirjoitustyyliä tai muuta vastaavaa vakuuttaakseen uhrin toimimaan haluamallaan tavalla.

Verkkourkinta – teknologiaan perustuva tekniikat

Edellä mainitut psykologiset strategiat yhdistettynä alla oleviin teknologisiin tapoihin tekevät tietojenkalastelusta parhaillaan erittäin tehokasta. Kun vastaanottajat reagoivat psykologisiin ärsykkeisiin, he usein lankeavat myös teknologisiin ansoihin. Ne yleensä piilotetaan sähköposteihin, puheluihin tai tekstiviesteihin.

Kannattaa myös muistaa, että näitä palveluita voi ostaa esimerkiksi dark webistä, joten kenen tahansa on mahdollista tehdä phishing-hyökkäyksiä.

Tekniset taktiikat, joita yleisesti käytetään verkkourkinnassa, ovat varmasti tuttuja suurimmalle osalle lukijoista. Niihin on kuitenkin hyvä paneutua hieman syvällisemmin, koska tekniikoita on useita ja niitä tulee jatkuvasti uusia.

Tunnetuin näistä lienee sähköpostin väärentäminen, jossa hyökkääjä manipuloi sähköpostin otsakkeita saadakseen viestin näyttämään siltä, kuin se olisi peräisin luotetulta lähteeltä. Tämä on mahdollista SMTP-protokollaan liittyvien heikkouksien vuoksi: se ei vaadi sähköpostin lähettäjiä vahvistamaan “From” -osoitteen oikeellisuutta.

Sähköpostien lisäksi haitallisten linkkien tuputtaminen hyvin yleinen taktiikka. Verkkorikollinen käyttää vääriä linkkejä houkutellakseen uhrin haitallisille verkkosivustoille. Nämä linkit voivat usein sisältää laillisia alidomaineja, mikä taas auttaa ohittamaan URL-suodattimet.

Domainin väärentäminen liittyy sellaisten domain-nimien ostamiseen, jotka muistuttavat laillisia ja tunnettuja nimiä. Tämä voi johtaa käyttäjän erehdykseen, kun hän luulee olevansa laillisella sivustolla.

Liitetiedostoihin perustuvat hyökkäykset ovat todella yleisiä. Niissä hyökkääjät lähettävät sähköposteja, jotka sisältävät haitallisia makroja tai skriptejä. Nämä liitteet on suunniteltu suorittamaan haitallista koodia, kunhan vain käyttäjä suorittaa ne.

Onneksi näihin kaikkiin hyökkäyksiin on olemassa virustentorjuntaohjelmia ja muita vastaavia. Niiden avulla käyttäjä voi suojautua tehokkaasti monilta teknisiltä tietojenurkinta yrityksiltä. Nekään eivät kuitenkaan korvaa varovaisuutta ja maalaisjärkeä, jotka ovat viime kädessä ne kaikkein parhaat suojat verkkorikollisia vastaan.

Samankaltaiset termit

Margaret Rouse
Teknologia-asiantuntija

Margaret Rouse on palkittu teknologiatoimittaja ja opettaja, joka tunnetaan hänen kyvyistään selittää vaikeitakin teknologisia konsepteja aiheesta vähemmän tietävälle finanssialan yleisölle. Viimeisen 20 vuoden ajan hänen selityksensä ovat ilmestyneet TechTargetin nettisivuille, minkä lisäksi häntä ovat siteeranneet asiantuntijana New York Times, Time Magazine, USA Today, ZDNet, PC Magazine ja Discovery Magazine. Margaretin mielestä mikään ei ole hauskempaa kuin opettaa IT-alan ja finanssialan ammattilaisille, kuinka toisen alan hyvin spesifillä kielellä puhutaan. Jos sinulla on ideoita selitettävistä termeistä tai parannuksista aikaisempiin selityksiin, lähetä sähköpostia Margaretille tai ota yhteyttä häneen LinkedInissä tai Twitterissä.