RISTIKKO

Ratko viikottain vaihtuva ristisanatehtävä, sudoku tai krypto  suoraan nettiselaimessa.

DNA VIRUSTARKASTAJA

dna Virustarkastajalla tarkistat näppärästi, onko koneesi lääkekuurin tarpeessa.

18.08.2009 16:47

Tietokalastelijat onkivat tietojasi

Pyytääkö jokin palvelu sinulta sähköpostitse tunnustasi tai salasanaasi, tai tilisi suljetaan? Vai oletko kenties voittanut satunnaisesta nettilotosta rutkasti rahaa, jotka saa käsille kertomalla osoitteesi, puhelinnumerosi tai muita yhteystietoja? Älä lankea huijaukseen!

Kuluvan kesän aikana useat suomalaiset netinkäyttäjät ovat saaneet sähköpostiviestejä, joissa heitä yritetään huijata kertomaan jonkin nettipalvelun käyttäjätunnus ja salasana, tai vaikkapa nettipankkitunnuksensa tai luottokorttinumeronsa. Tässä on kyseessä huijaus, jonka nimi englanniksi on phishing, suomalaisittain taas tietokalastelu. Verkkopankki- ja maksupalvelutunnukset ovat selkeästi rahanarvoista tietoa, mutta myös henkilötiedoilla ja niinkin viattoman kuuloiselle asialla kuin sähköpostitilillä voidaan takoa rikollista rahaa.

Monille tulee mieleen, ettei esimerkiksi oman sähköpostiosoitteen vuotaminen ulkopuolisille ole kovin paha juttu, joten riskeistä ei kannata välittää. Kannattaa kuitenkin muistaa, että sähköpostiosoitteen kaappaamalla pääsee myös käsiksi kaikkiin nettikauppoihin ja muihin nettipalveluihin, joihin kyseisellä tilillä on rekisteröity.

Kaappaamalla sähköpostitilin huijari voi helposti tilata uhrin laskuun melkoisen määrän tavaraa netistä. Useimmissa verkkokaupoissa ja muissa verkkopalveluissa käyttäjä voi tilata unohtamansa salasanan omaan sähköpostiosoitteeseensa. Jo pelkällä sähköpostiosoitteen kaappaamisella pääsee siis tekemään jo suurta vahinkoa, luottokorttinumerosta tai PayPalin kaltaisesta maksupalvelusta puhumattakaan.

Huijausviesteissä uhkaillaan ja houkutellaan

Huijausviestien tunnistamiseen toimii hyvin yksi perussääntö: mikään asiallinen verkkopalvelu ei koskaan pyydä käyttäjiä ilmoittamaan salasanaansa sähköpostitse, pikaviestimellä tai puhelimitse. Muistamalla tämän perustason säännön tunnistaa suurimman osan tietokalasteluyrityksistä.

Käyttäjiä houkutellaan ilmoittamaan tunnuksensa pääosin kahdella tavalla: pelottelemalla ja houkuttelemalla. Hyvin tyypillinen tietokalasteluviesti tulee näennäisesti palvelun ylläpitäjältä. Viestissä kerrotaan, että palvelussa on jonkinlainen ongelma ja ellei käyttäjä välittömästi klikkaa annettua linkkiä ja kirjoita sivuille käyttäjätietojaan, hänen tilinsä suljetaan. Vaihtoehtoisesti käyttäjää voidaan esimerkiksi pelotella siten, että hänen luottokortillaan, verkkokauppansa tilillä on havaittu ”hämärää toimintaa”. Viestissä annetaan linkki, jota klikkaamalla käyttäjä muka pääsee kirjautumaan palveluun ja tarkastamaan, että kaikki on kunnossa. Tosiasiassa linkki vie väärennetylle sivulle, jolle syötetyt kirjautumistiedot menevät huijareiden haltuun.

Houkutteluviesteissä toimitaan muuten samoin, mutta käyttäjän väitetään esimerkiksi voittaneen rahaa tai palveluita, jotka hän voi lunastaa kirjautumalla palveluun.

Miten reagoida mahdolliseen huijausviestiin?

Mikäli saat yllättäen viestin, jossa sinulta tavalla tai toisella tivataan käyttäjätietojasi, pysähdy hetkeksi miettimään tilannetta. Jos viestissä käsketään kiirehtimään, mieti sitäkin tarkemmin – tavoite saattaa olla säikäyttää käyttäjät tekemään jotain harkitsematonta. Oletko viime aikoina kirjautunut johonkin palveluun, pyytänyt itsellesi uutta salasanaa tai tehnyt jotain, minkä johdosta palvelusta otettaisiin sinuun yhteyttä?

Mikäli jossain palvelussa on niin pahoja ongelmia, että se vaatii käyttäjiltä jotain toimia, siitä tiedotetaan yleensä palvelun etusivuilla tai asiakassivuilla. Ensimmäinen etappi on suunnata kyseiseen palveluun tarkastamaan, löytyykö sivuilta tiedotetta aiheesta. Huom! Palveluun ei tule siirtyä klikkaamalla epäillyssä huijausviestissä olevia linkkejä. Kuten jo aiemmin todettiin, mikäli kyseessä on huijaus, linkit vievät väärennetylle versiolle sivustosta, johon kirjoitetut tunnukset päätyvät huijarien käsiin. Varmin tapa on siirtyä palveluun kirjoittamalla oikeaksi tiedetty osoite käsin selaimen osoitekenttään tai valitsemalla se vaikkapa oman selaimen kirjanmerkeistä.

Varminta on kysyä viestistä palvelusta puhelimitse tai sähköpostitse – jälleen niin, ettei käytä epäilyttävässä viestissä olevia sähköpostiosoitteita tai puhelinnumeroita. Mikään asiallinen nettipalvelu ei tuosta vain poista käyttäjätilejä, joten aikaa asian selvittämiseen on varmasti.

Suomenkielisyys ja salatut sivut

Aiemmin suurin osa huijausviesteistä on ollut englanninkielisiä, mutta viimeisen parin vuoden aikana sähköposteihin on saapunut myös suomenkielisiä yritelmiä. Toistaiseksi ne tunnistaa huonosta kieliasusta, mutta on vain ajan kysymys, ennen kuin joku rikollinen taho löytää suomen kielen taitoisia yhteistyökumppaneita viestejä väsäämään. Vaikka saisit viestin selvällä suomenkielellä, se ei ole automaattinen tae viestin asiallisuudesta.

Useimpien tietoturvaa vaativien palveluiden, kuten vaikkapa rahapelien, verkkokauppojen ja pankkien sivustot on suojattu niin kutsutulla SSL-salauksella. Käyttäjälle tämä ilmenee niin, että sivuston osoitteen alussa on https:// pelkän http://:n sijaan ja selaimen osoiteriville tai alakulmaan ilmestyy lukkosymboli, jossa kerrotaan, että kyseessä on salattu sivu. Tämä kuitenkin tarkoittaa vain sitä, että yhteys kyseiselle sivulle on salattu. Sivu itsessään voi olla  väärennös, jolle on kepulikonstilla hankittu ssl-salaus.

Tätä ei kannata säikähtää, sillä yhteydet aitoihin verkkokauppoihin ja -pankkeihin ovat yhtä turvallisia kuin ennen. Kyseessä on siis se, että huijarit ovat onnistuneet hankkimaan salauksen myös väärennetylle versiolle sivustosta, jollainen voi löytyä vaikkapa tietokalasteluviestissä olevan linkin takaa.

Netissä asiointi on turvallista

Nettikaupoissa ja verkon rahapalveluissa asiointi on edelleen erittäin turvallista, eikä huijausviestejä kannata säikähtää. Pitämällä mielessä esimerkiksi aiemmin esitellyt varokeinot verkossa maksaminen ja asiointi on edelleen turvallista.

Kannattaa muistaa, että huijarit yrittävät vedota pelkoon tai ahneuteen. Jos jossain viestissä pyritään selvästi saamaan sinut säikähtämään, tai luvataan uskomattomia rikkauksia tai yllättäviä rakkaudentunnustuksia salaiselta ihailijalta, kyseessä on täysin varmasti huijaus.


Janos Honkonen


Tietoturva-artikkelit

SOPA – lakialoite, joka uhkasi kaataa internetin

Mac ei ole niin turvallinen kuin luulit

Tietoturvan vuosi 2011

Microsoft Security Essentials - ilmainen vaihtoehto tietoturvaan

Anonymous – Internetin kettutytöt?

Stuxnet: kun kybersodankäynti tuli julkiseksi

Moni uhka vaanii verkkopankkien käyttäjää

Näin pankki suojelee verkkoasiakkaitaan

Google+ haastaa Facebookin, mutta entä tietoturva?

Huijari pyrkii Facebook-seinällesi

Botnet on joukkovoimaa ilman lupaa

Myös kännykkä tarvitsee tietoturvaa – ratkaisut

Myös kännykkä tarvitsee tietoturvaa – käyttöjärjestelmät

Myös kännykkä tarvitsee tietoturvaa – uhkakuvat

Varo huijaavaa virustorjuntaa

Kuinka pelifirmoista tuli hakkereiden ykköskohde

Varo sähköpostimatoja

Valitse turvallinen nettiselain

Terveisiä Nigeriasta – sähköpostihuijauksen anatomia

Netissä kohkaaminen voi kostautua

Salasanaa ei pidä eikä tarvitse kierrättää

Näin salaat tärkeät tiedostot helposti

Omppukoneiden tietoturva

Vinkkejä Windows 7:aan siirtymiseen

Facebook-ryhmissä viritellään ansalankoja

Top 5 -vinkit Windowsin tietoturvaan

Mitä kannattaa paljastaa yhteisöpalvelussa?

Langattoman verkon tietoturva kuntoon

Lumileopardi tuo Macin OS X:än nopeutta ja vakautta

Tietokalastelijat onkivat tietojasi

Järjestäytynyt rikollisuus rehottaa internetissä

Apple Safari 4.0 – palanen omenaa työpöydälläsi

Onko ohjelmisto turvallinen?

Riesana roskaposti - miten säästäät aikaa ja vaivaa?

Firefox-selaimen parhaat laajennukset

Nettiselainrintaman uudet vaihtoehdot: Firefox 3.0 ja Google Chrome

Virukset ovat muuttuneet bisnekseksi

Suomenkielistä tietoturvaa internetissä

Tiedot talteen varmuuskopioimalla

Säädä Nettiturvan palomuurin asetukset kuntoon

Sosiaalinen hakkerointi kohdistuu käyttäjään

Tietoturvaa Sampo Pankin asiakkaille

Roskaposti - ongelma ja miten siitä selvitään

Rootkit-haittaohjelmat ja niiden poistaminen

Vakoilijat koneellasi: miten torjut spyware-haittaohjelmat

Palomuurit - miksi niitä tarvitaan?

Nettiselaimet ja niiden turvallisuus

Muistutus salasanojen tarpeellisuudesta

Madot ja makrot – sähköpostin uhkat ja niiltä suojautuminen

Kotikone kesäkuntoon

Norton 360 – täysi tietoturvapaketti

Evästeet ja tietoturva

Poista nettiselailun jäljet

Älä myy henkilötietojasi koneen mukana

Työkaluja huijaussivujen tunnistamiseen

Tietoturvapäivä kasvoi tietoturvaviikoksi

Ohjelmistojen kuukauden bugit

Osta turvallisesti verkosta

Windowsin käyttäjätasot kuntoon

Internetin uhkia - rootkit-haittaohjelmat ja niiden poisto

Nettiselaimet ja niiden turvallisuus

Mobiilimadot - todellinen uhkako?

Turvallisuusuhkia piratismin vastaisesta taistelusta?

Tietokoneviruksia jo 20 vuotta

Tietoturvasta huolehtiminen on kaikkien asia

Viruksilla tehdään rahaa

Sosiaalinen hakkerointi kohdistuu käyttäjään

Kannettavan tietokoneen tiedostot turvaan

Onko ohjelmisto turvallinen?

Tiedot talteen varmuuskopioimalla

Suomenkielistä virusasiaa verkossa

Salausohjelmistoja yksityiselle ja yrittäjälle

CERT-FI varoitukset

CERT-FI uutiset