Johdanto

Tietojenkalastelu (phishing) on sähköisessä viestinnässä ja verkkopalveluissa esiintyvä huijausmuoto, jossa hyökkääjä pyrkii saamaan uhriltaan arkaluonteisia tietoja — kuten verkkopankkitunnuksia, salasanoja tai maksutietoja — esiintymällä luotettavana tahona. Suomessa Kyberturvallisuuskeskus (NCSC-FI) raportoi, että tietojenkalastelu ja huijausviestit ovat voimakkaassa kasvussa. Artikkelissa käydään läpi keskeiset suojautumiskeinot, mitkä jokainen verkkopalveluita käyttävä voi omassa arjessaan toteuttaa.

1. Tunnista phishing-viestien yleinen luonne

Phishing-viestit voivat tulla sähköpostitse, tekstiviestinä tai jopa sosiaalisen median kautta. Tyypillisiä tunnusmerkkejä ovat: viestissä esiintyvä kiireellinen kehotus (esim. “päivitä tunnukset heti”), linkki tai liite, joka ohjaa tunnistuslomakkeelle, sekä lähettäjänä näennäisesti viranomainen tai pankki, mutta lähetysosoite tai linkin domain ei vastaa virallista tahoa. Tunnistaminen tarkoittaa, että käsitellään viestin sisältö kriittisesti — älä anna automaattisesti luottamusta viestin ulkoasulle.

2. Tarkista aina lähettäjän ja linkkien osoitteet

Kun viesti näyttää tulevan esimerkiksi viranomaiselta, pankilta tai muulta luotetulta taholta, on syytä tarkistaa huolellisesti lähettäjän osoite ja linkkien domainit (hiiren vieminen linkin päälle ilman klikkaamista näyttää minne linkki osoittaa). Phishing-huijauksessa käytetään usein vääriä tai hyvin paljon alkuperäistä muistuttavia osoitteita, näin lähettäjä saadaan näyttämään viralliselta taholta. Suomessa useissa phishing-tapauksissa on lähettäjäksi väitetty esimerkiksi Traficomia, Poliisia, Verohallintoa tai Suomen oikeuslaitosta. Joskus nämä ovat tökerösti toteutettuja kuten eräässä sähköpostissä ollut "suomen poliisipäällikkö" Seppo Kolehmainen, mutta toiset ovat erittäin taitavasti toteutettuja jolloin harjaantunutkaan silmä ei heti erota niitä huijauksesta.

ÄLÄ KOSKAAN KLIKKAA MITÄÄN LINKKIÄ SÄHKÖPOSTISSA

Mene selaimella suoraan viralliselle sivulle, kirjoittamalla osoite selaimen osoiteriville. Jos kyseinen taho yrittää viestiä jotain kiireellistä se löytyy varmasti kirjautumalla suoraan oikealle sivulle. Sama pätee SMS viestien linkkeihin sekä muihin vastaaviin kautta linjan. Jos lähettäjä on sinulle tuttu, ei tämän kaltaisia varotoimia ole välttämätöntä tehdä.

3. Käytä monivaiheista tunnistautumista ja vahvaa salasanaa

Yksi tehokas suojauskeino on aktivoida kaksivaiheinen/monivaihenen tunnistautuminen (2 factor authentication / multi factor authentication) palveluissa, joissa säilytät tai käytät arkaluonteisia tietoja. Lisäksi varmista, että käytössäsi on pitkä ja yksilöllinen salasana — älä käytä samaa salasanaa useassa paikassa.

4. Ole valppaana myös tekstiviestien ja puhelinsoittojen kanssa

Phishing ei rajoitu pelkästään sähköpostiin – kyseessä voi olla SMS viesti, puhelinsoitto tai oven takana seisova valepoliisi. Näissä tapauksissa kohdalla on tärkeää: älä anna pankkitunnuksiasi tai korttitietojasi kenellekään. Virallinen taho ei niitä koskaan pyydä eikä tarvitse. Jos soittaja vaatii jotain tärkeitä tietoja on syytä lopettaa puhelu ja soittaa itse kyseisen tahon puhelinvaihteeseen asian loppuun saattamiseksi.

5. Kouluta itsesi ja ympärilläsi olevat – tiedolla suojautuminen

Phishing-huijaukset menestyvät, kun uhrit ei tiedä eivätkä ymmärrä riskejä. Tietoisuutta lisäämällä vaikutetaan siihen, että käyttäjät tunnistavat huijausyritykset ja toimivat kriittisesti. Suomessa huijauksissa käytettyjen viestien määrä on merkittävästi kasvanut, vuonna 2024 suomalaisilta huijattiin yli 100 miljoonaa euroa. Vuonna 2023 lähes 77 miljoonaa kun vuonna 2023 määrä oli vajaat 47 miljoonaa.

Käytännössä "Kouluta itsesi ja ympärilläsi olevat" tarkoittaa, että keskustelet perheesi tai työyhteisösi kanssa phishingin tunnistamisesta, ja varmistat, että myös lapsillasi tai muilla verkkopalveluita käyttäville on perustiedot. Vanhukset ovat erittäin suosittu kohde huijareiden keskuudessa sillä ymmärrys riskeistä on usein erittäin puutteellinen.

6. Mitä tehdä, jos epäilet joutuneesi kohteeksi

Jos klikkasit linkkiä tai annoit tietojasi ulkopuoliselle, ensimmäinen toimenpide on ottaa välittömästi yhteys pankkiin ja vaihtaa tunnukset. Lue lisää tehtävistä toimenpiteistä tästä artikkelista jossa asiaa käsitellään kattavammin.

Yhteenveto

Tietojenkalastelu eli phishing on vakava uhka sekä yksilöiden että organisaatioiden tieto- ja talousturvallisuudelle. Suomessa huijausviestien määrä on kasvanut nopeasti, ja suojautuminen edellyttää tietoa, valppautta sekä teknisiä suojatoimia. Tunnistamalla huijausviestin tunnusmerkit, käyttämällä monivaiheista tunnistautumista, olemaan valppaana viestien suhteen ja kouluttamalla itseään sekä lähipiiriään – teet merkittävän työn oman turvallisuutesi hyväksi.

Lähteet

Kyberturvallisuuskeskus (NCSC-FI)   Kyberturvallisuuskeskus (NCSC-FI)  

*Kirjoittanut Ylläpito*