Kuinka tunnistaa ja välttää huijausviestejä

Nykyisessä globalisaation aikakaudella, jossa yli kaksi kolmasosaa maailman väestöstä pääsee tekstiviesteihin, mobiilipuheluihin ja sähköpostiin, luvut saattaisivat helposti johtaa siihen päätelmään, että yli puolet maapallon väestöstä on altistunut phishing-yritykselle. Ehdotettu altistuminen johtuu siitä, että phishing-hyökkäykset toteutetaan pääasiassa yhden mainitun median kautta, sähköpostien ollessa yleisimpiä. Phishing-hyökkäyksen lopullisena tavoitteena on saada uhrin henkilökohtaiset tiedot, pankkitiedot ollessa kultainen potti. Tämä artikkeli kertoo sinulle kaiken tästä kyberuhasta ja näyttää, miten tunnistaa ja välttää joutumasta phishing-huijareiden uhriksi.

## Outo tiekartta phishing-huijauksista

Phishingin päätavoitteena on hankkia henkilökohtaiset pääsytiedot taloudellisiin tileihisi. Vaikka huijarit ovat vuosien varrella kehittyneet käyttämissään taktiikoissa ihmisten huijaamisessa, on kuitenkin olemassa joitakin varoitusmerkkejä, jotka voivat paljastaa phishing-puhelut, -tekstiviestit tai -sähköpostit sellaisiksi kuin ne ovat — huijaus!

• Phishing calls, emails, and text messages from seemingly trusted organizations. Have you everreceived an email, supposedly sent by your ‘account officer’ requesting for personal information such as your social security number and other banking details? It would interest you to find that those messages and emails are from phishers posing as the real organizations.  
• Phishing emails and texts often come with unfounded stories. The trick of such exciting stories is to arouse passion in the victim. A famous phishing attack to which several bank users fell victim requested customers to ‘please’ resend their last login details to update the bank database. This request came after a narration was made about how hackers recently attacked the bank’s data infrastructure.

Tunnetumpi tarina, johon on helppo langeta, ovat ne, jotka väittävät, että tililläsi on havaittu epäilyttäviä kirjautumisyrityksiä. Tämän jälkeen käyttäjiä kehotetaan nollaamaan salasanansa täyttämällä henkilökohtaisia tietoja, yleensä väärennetyllä verkkosivustolla, joka on luotu tätä tarkoitusta varten, tai hetkellisesti kaapatussa oikeassa verkkosivustossa.

Tyypillisesti näin kalasteluhuijarit keräävät uhrien henkilökohtaisia tietoja ovelasti:

1. They buy data of your subscription to online services, e.g., mobile numbers or email addresses.
2. Next, they create the bait in the form of deceptive emails, text, and fake websites to convince users that the messages are from organizations you are familiar with and trust.
3. The scammers send the messages in bulk to the initially purchased contacts, sometimes to thousands of users at a go.
4. The phishers use the data they can collect from ignorant recipients of the messages to make unauthorized purchases and acts using the victims’ account.

## Yleisimmät huijaustyypit ja kuinka tunnistaa ne

Phishing ei suinkaan rajoitu alla lueteltuihin, sillä huijarit muuttavat jatkuvasti taktiikoitaan; kuitenkin laajalti raportoitujen phishing-hyökkäysten tiedot auttavat meitä luokittelemaan ne seuraaviin:

1. SMS-phishing sisältää tekstiviestien lähettämisen matkapuhelimen käyttäjille, pyytäen heitä ottamaan yhteyttä asiakasagenttiin tai vierailemaan organisaatiossa linkin kautta, joka on upotettu tekstiin. Linkkiä napsauttamalla uhrit ohjataan kirjautumissivulle tai tekstidialogi-ikkunaan, jossa henkilökohtaisten tietojen syöttäminen on vaadittu ennen täyden pääsyn saamista väitettyyn verkkosivustoon tai resurssiin. Tämän tyyppinen hyökkäys on nousussa, osittain siksi, että matkapuhelinvalmistajat ovat ostaneet osansa internet-vallankumouksesta tuottamalla pääasiassa älypuhelimia.

SMS-phishing-hyökkäyksen tunnistamisen helppo tapa on, että viesti lähetetään yleensä oudoista numeroista tai sisältää huonosti muotoiltua tekstiä.

2. Sähköpostiphishing-viestit lähetetään sähköpostitse tietämättömille uhreille. Viestit lähetetään yleensä laajakirjeenä (BCC) useille sähköpostiosoitteille varastetulla logolla ja alatunnisteilla, jotka on anastettu todelliselta organisaatiolta tai yksilöltä, jota matkitaan. Sähköpostiphishing-hyökkäykset eivät usein pääty itse viestiin; viestien vastaanottajia ohjataan usein vierailemaan suositulla verkkosivustolla tekstilinkin kautta tai lataamaan sähköpostiin sisältyvä roskapostiliite. Liitetyn linkin laskeutumissivulla uhreja pyydetään täyttämään henkilökohtaisia tietoja. Verkkosivu saattaa myös saada haittaohjelman asentumaan automaattisesti tietokoneelle heti, kun verkkosivu ladataan. Ladattu phishing-haittaohjelma kerää henkilökohtaisia tietoja uhrin tietokoneelta, älypuhelimelta tai laitteelta monin eri tavoin:

• Recording user keystrokes while filling forms
• Assessing user cache and forwarding its contents to the remote assailant

Kuten tekstiviestihuijauksessa, lähde-sähköpostiosoitteen tarkastelu auttaa vastaanottajaa eristämään ja ilmoittamaan pahantahtoiset viestit huijauksena. Esimerkiksi huijari, joka haluaa matkia Amazonin asiakaspalvelua, saattaa käyttää osoitetta kuten – *[email protected]*. Laillinen sähköposti Amazonilta tulisi yrityksen verkkotunnuksella, esim., *[email protected]*. Lisäksi mikään kunnolla järjestäytynyt organisaatio ei pyydä henkilökohtaisia tai taloudellisia tietojasi sähköpostitse.

3. Spear phishing on strategisempi huijaustyyppi, joka hyödyntää myös sähköpostin heikkouksia. Toisin kuin sähköpostitse tehtävässä phishing-huijauksessa, jossa viestejä lähetetään laajalle joukolle ihmisiä yleisviesteinä, spear phishing on kohdennetumpaa. Online-palveluntarjoajien tai valtion virastojen työntekijät, jotka on merkitty pääsevän käsiksi useiden käyttäjien henkilökohtaisiin tietoihin, ovat spear phishingin yleisiä kohteita.

Sähköposti on tehty näyttämään siltä, kuin se olisi peräisin esimieheltä tai yrityksen johtajalta, joka pyytää pääsyä käyttäjien tietoihin. Toisissa tapauksissa viesti lähetetään selvästi tuntemattomista lähteistä, magneettisella otsikolla, joka on tarpeeksi kiehtova saadakseen vastaanottajan avaamaan viestin. Viesti on yleensä tyhjä ja sisältää liitetiedoston; uteliaisuus saa sitten vastaanottajan avaamaan liitetiedoston ja asentamaan kiristyshaittaohjelman tietokoneelle.

Sähköpostin kalasteluhyökkäysten uhrit voidaan verrata sananlaskun mukaiseen Hidran päähän. Tällaisten hyökkäysten aikana kerättyjä tietoja käytetään sitten suuren mittakaavan käyttäjätilien murtamiseen kyseiseen organisaatioon liittyen.

4. Klooniphishing, kuten nimi vihjaa, tapahtuu kun uhri saa sähköpostin, joka sisältää täsmälleen saman sisällön kuin aiemmin luotetulta organisaatiolta lähetetty viesti; kalastelija kuitenkin sisällyttää huomaamattoman linkin haitalliseen liitteeseen tai väärennettyyn verkkosivustoon. Ainoa ero on, että lähettäjän sähköpostiosoite on hieman muunneltu ja tehty hyvin samankaltaiseksi alkuperäisen lähettäjän osoitteen kanssa. Tämä taktiikka tekee klooniphishingistä vaikeimmin havaittavan tyypin.

5. Whaling phishing on hyvin samankaltainen kuin Spear phishing. Tarkoituksena on päästä käsiksi yksilöiden arkaluonteisiin tai henkilökohtaisiin tietoihin, jotka ovat tilanneet organisaation palveluita. Whaling-hyökkäykset kuitenkin kohdistuvat organisaatioiden ’valaisiin’ – kuten ylimmän johdon edustajiin ja hallituksen jäseniin.

6. Pop-up phishing on hyvin samankaltainen kuin mainospopupit, jotka keskeyttävät käyttökokemuksesi selatessasi rahakasta verkkosivustoa. Pop-up phishing tulee kuitenkin varoituksena, ei mainoksena; pop-up ilmoittaa käyttäjälle nimettömästä haitallisesta dokumentista tai sovelluksesta, joka on tartuttanut tietokoneen. Tämän jälkeen tarjotaan mahdollisuus ladata antivirus, joka poistaa uhan ilmaiseksi. Tällaisen ohjelmiston asentaminen altistaa tietokoneesi ei-toivotun haittaohjelman tartunnan riskille; väitetty uhka on useimmiten huijaus.

## Suojautuminen joutumasta phishing-huijauksen uhriksi

Tässä sähköisen kaupankäynnin aikakaudella, jotta välttyisit joutumasta uhriksi tai tulemasta käytetyksi kanavana paljastamaan arkaluonteisia tietoja liittyen organisaatioosi, alla on tulenkestäviä ohjeita seurattavaksi.

• Backup your data. Having a copy of the vital data on your computer or smartphone backed up on external media is essential. If it does happen that you fall victim to a ransomware attack, the backup copy of your documents is safe on perhaps a cloud storage service or an external storage media that is not connected to your computer network.
• Use multi-stage user authentication. Phishers are always after account details like username and password. In situations where the second stage of authentication has been established for your sensitive accounts, having your password and username becomes inconsequential. An excellent example of multi-stage authentication is the confirmation code sent to your mobile contact when making bank transactions or log in. A biometric layer of authentication, like a fingerprint, eye, or face scans, are safe methods of safeguarding our accounts.
• Update devices with the latest security patches. The primary computer and smartphone manufacturers update their operating systems regularly to fix bugs and loopholes through which phishers have been identified to attack. Updating these devices will save technology users a lot of security headaches.
• Avoid opening suspicious messages. Note all the mentioned faults peculiar to phishing attacks. Check the content of emails carefully before clicking links, opening attachments, or filling accompanying forms. If compelled to confirm the integrity of any claim in an email, visit the company’s website directly, instead of going through a supplied link.

## Yhteenveto

Kun useiden organisaatioiden ja yksittäisten käyttäjien online-läsnäolo kasvaa, on suurempi todennäköisyys, että phishing eli tietojenkalastelu lisääntyy laajuudessa ja vaikutuksessa. Mutta proaktiivisilla varotoimilla, kuten tässä artikkelissa ehdotetaan, internetin käyttäjien pitäisi onnistua pysymään edellä tietojenkalastelijoista.