Logo

OnkoLuotettava.fi

Huijarit käyttävät näitä 7 tekniikkaa saadakseen sinut luottamaan sivuunsa

huijaustekniikatsocial engineering
Huijarit käyttävät näitä 7 tekniikkaa saadakseen sinut luottamaan sivuunsa

Johdanto

Verkkohuijaukset ovat yhä useammin yhdistelmä teknologiaa ja psykologiaa. Tekniset ratkaisut mahdollistavat huijaussivujen rakentamisen nopeasti ja uskottavasti, mutta varsinainen onnistuminen perustuu siihen, että uhri saadaan luottamaan huijarin esittämään väitteisiin. Tätä luottamuksen rakentamista kutsutaan usein social engineering:n ytimeksi.

Seuraavissa seitsemässä kohdassa tarkastellaan yleisimpiä tekniikoita, joita huijarit hyödyntävät, ja havainnollistetaan niitä käytännön esimerkkien kautta.

1. Impersonointi – luottamuksen rakentaminen auktoriteetin kautta

Impersonointi tarkoittaa esiintymistä jonakin toisena henkilönä tai organisaationa. Tutkimukset osoittavat, että ihmiset ovat erityisen alttiita viesteille, jotka tulevat tutulta ja arvovaltaiselta taholta – esimerkiksi pankilta, verohallinnolta tai oman organisaation johtajalta. Tämä perustuu auktoriteetti-illuusion vaikutukseen: jos lähde vaikuttaa viralliselta, viestin todenperäisyys kyseenalaistetaan liian harvoin.

Esimerkki: Suomessa veronpalautuskausina liikkuu säännöllisesti tekstiviestejä, joissa lähettäjänä näkyy Verohallinto (OmaVero tjms). Viesti sisältää linkin, jonka takaa löytyy huijaussivu. Uhri luulee olevansa tekemisissä viranomaisen kanssa eikä osaa olla varuillaan.

2. Vale-kirjautumissivut – visuaalinen jäljittely

Huijarit rakentavat verkkosivuja, jotka ovat visuaalisesti lähes identtisiä (tai täysin identtisiä) virallisten palveluiden kanssa. Näitä sivustoja käytetään sitten ns. typosquatting hyökkäyksissä, joissa URL-osoite muistuttaa aitoa, esimerkiksi omavero-fi.org tai nordea-login.com. Ihmisaivot käsittelevät visuaalisia vihjeitä nopeasti, jolloin pienet erot jäävät huomaamatta.

Esimerkki: Kyberturvallisuuskeskus on toistuvasti varoittanut tapauksista, joissa hakukoneen sponsoroitu mainos johtaa väärälle sivulle. Käyttäjä kirjoittaa Googleen "OmaVero" ja klikkaa mainosta, joka vie kalastelusivulle. Monet eivät huomaa URL-osoitteen poikkeavan aidosta.

3. Haitalliset liitteet ja lomakkeet

Phishing-viestien liitetiedostoihin tai lomakkeisiin kätketään haitallisia ohjelmia tai niisä pyydetään arkaluonteisia tietoja. Nämä perustuvat siihen, että vastaanottaja luottaa viestin olevan osa arjen rutiineja – esimerkiksi työpaikan HR-osaston lomake. Tällainen hyökkäys yhdistää teknisen komponentin (haittaohjelma) ja sosiaalisen elementin (luottamus lähettäjään).

Esimerkki: Suomalaisessa organisaatiossa työntekijät saivat sähköpostin, jossa pyydettiin täyttämään lomake "työterveyshuollon päivitystä varten". Lomake sisälsi kenttiä pankkitunnuksille ja henkilötiedoille. Muutamat työntekijät luottivat viestiin, koska se oli muotoiltu viralliselta näyttäväksi.

4. Kohdennetut hyökkäykset – spear phishing ja whaling

Kun huijaus kohdistetaan yksilöllisesti tiettyyn henkilöön tai organisaation johtoon, puhutaan spear phishingistä tai whalingista. Näissä viesteissä hyödynnetään vastaanottajasta löytyvää taustatietoa, jolloin viesti vaikuttaa henkilökohtaiselta ja siksi uskottavammalta.

Esimerkki: Suomessa on raportoitu tapauksia, joissa yrityksen taloushallinnon työntekijälle lähetettiin viesti, joka näytti tulevan toimitusjohtajalta. Viestissä pyydettiin maksamaan kiireellinen lasku ulkomaiselle tilille. Koska viestissä viitattiin ajankohtaiseen projektiin (joka oli julkisesti nähtävissä LinkedInissä), työntekijä uskoi sen olevan aito. DeepFake ja tekoäly tekevät huijauksista entistä vakuuttavampia, esimerkiksi toimitusjohtajan ääntä voidaan suoraan käyttää huijauspuhelussa.

5. Smishing ja vishing – puhelimen luottamuksellinen vaikutus

Tekstiviestihuijaukset (smishing) ja puhelimitse tapahtuvat huijaukset (vishing) hyödyntävät sitä, että puhelinviesteihin ja -soittoihin suhtaudutaan usein henkilökohtaisemmin kuin sähköposteihin. Lisäksi huijarit voivat peittää todellisen numeronsa (spoofing), jolloin viesti näyttää tulevan esimerkiksi pankilta.

Esimerkki: Poliisi on varoittanut tapauksista, joissa uhri sai puhelun "pankin turvallisuusyksiköstä". Soittaja kertoi, että asiakkaan tililtä yritetään tehdä väärinkäytöksiä, ja pyysi vahvistamaan verkkopankkitunnukset puhelimessa. Koska numero näytti pankin asiakaspalvelun numerolta, uhri antoi tietonsa.

6. Quishing ja man-in-the-middle -hyökkäykset

Uudempi huijausmuoto on quishing, jossa käytetään QR-koodeja ohjaamaan käyttäjä huijaussivulle. Koska QR-koodia ei voi lukea suoraan silmällä, käyttäjä ei huomaa osoitteen olevan epäilyttävä. Toinen kehittynyt muoto on man-in-the-middle (MitM) -hyökkäys, jossa huijari toimii käyttäjän ja oikean palvelun välissä. Näin hän voi kaapata myös kaksivaiheisen tunnistautumisen.

Esimerkki: Vuonna 2023 Euroopassa raportoitiin tapauksia, joissa huijarit liimasivat QR-koodeja parkkiautomaatteihin. Asiakas luuli maksavansa pysäköinnistä, mutta syötti korttitietonsa huijaussivulle. Vastaavia hyökkäyksiä voidaan kuvitella myös suomalaisessa katukuvassa.

7. Psykologinen manipulointi

Huijausten taustalla toimii aina psykologia. Useimmin käytettyjä keinoja ovat kiireen luominen ("toimi heti"), niukkuuden korostaminen ("vain tänään"), auktoriteetin hyödyntäminen ("pankki" tai "poliisi"), sekä sosiaalinen todistus ("muutkin ovat jo maksaneet"). Näitä kutsutaan suostuttelun periaatteiksi, ja ne ovat tuttuja myös markkinoinnin tutkimuksesta.

Esimerkki: Eräs suomalainen verkkokauppahuijaus tarjosi "suosittua elektroniikkaa -80 % alennuksella, vain rajoitetun ajan". Sivulla näkyi tekaistuja käyttäjäkommentteja: "Tilasin eilen ja sain jo paketin!". Uhrit uskoivat sivuston luotettavuuteen, koska kiire ja sosiaalinen todistus tekivät tarjouksesta uskottavan.


Yhteenveto

Verkkohuijausten onnistuminen ei perustu yksinomaan teknologiaan, vaan siihen, miten taitavasti huijarit osaavat rakentaa luottamusta ja manipuloida käyttäytymistämme. Tunnistamalla nämä seitsemän tekniikkaa – impersonoinnin, vale-sivut, haitalliset liitteet, kohdennetut viestit, smishingin/vishingin, quishingin/MitM-hyökkäykset ja psykologisen manipuloinnin – voi oppia suhtautumaan epäilyttäviin viesteihin kriittisemmin.


Lähteet

F-Secure   Fortinet   Proofpoint   Hoxhunt   Wikipedia   Wikipedia   Trellix   arXiv   Poliisi.fi   Traficom / Kyberturvallisuuskeskus

*Kirjoittanut Ylläpito*