Langaton etäyhteys

Phishingiä, smishingiä ja vishingiä

Erilaisten huijausyritysten tunnistaminen on yksilöiden käsissä, joten kalastelu ja siihen reagoiminen on yksi kriittisimmistä yritysten tietoturvallisuutta koettelevista tekijöistä.

Tietojen kalastelu on tällä hetkellä yksi suurimmista tietoturvauhista niin työssä kuin vapaa-ajallakin. Kalastelun tarkoituksena on manipuloida käyttäjä tekemään haluttuja asioita (social engineering). Tietoja voidaan yrittää haalia monia eri kanavia pitkin.

– Tyypillisin tapa on lähettää käyttäjälle viesti, joka sisältää varsin vaatimattomalta näyttävän pyynnön, johon pahaa-aavistamattoman käyttäjän on suhteellisen helppo reagoida. Usein viesti on luonteeltaan sellainen, että käyttäjän ei tarvitse hypätä kovinkaan paljon mukavuusalueeltaan reagoidakseen siihen, Virian tietoturvajohtaja Kari Salmela kertoo.

Kalasteluun liittyy monenlaisia termejä, kuten phishing, smishing ja vishing. Phishing tarkoittaa tiettyyn henkilöön kohdennettua kalastelua sähköpostin välityksellä. Smishing puolestaan liittyy tekstiviestien ja vishing puhelimen kautta tapahtuvaan manipulointiin ja tiedon kalasteluun.

– Viesti tai pyyntö voi tulla sähköpostissa, tekstiviestinä, muita pikaviestintäkanavia pitkin tai vaikkapa sosiaalisen median kautta. Kalastelussa käyttäjä yleensä yritetään saada tekemään jotakin, kuten avaamaan liite, klikkaamaan linkkiä tai käynnistämään ohjelma. Samalla koneeseen asentuu esimerkiksi ohjelmavirhettä hyödyntävä haittaohjelma, joka mahdollistaa rikolliselle pääsyn haluamaansa järjestelmään.

Viisi keskeistä toimintaohjetta 

Yrityksillä on käytössä erilaisia turvajärjestelmiä, joilla haittaohjelmia pyritään tunnistamaan ja torjumaan. Täysin sataprosenttisen suojauksen rakentaminen teknisin keinoin on kuitenkin mahdotonta. Myös työntekijöiden toiminta on oleellinen osa tietoturvallisuutta. Näillä ohjeilla pääsee jo pitkälle:

1. Suhtaudu lähtökohtaisesti epäilevästi kaikkeen sähköiseen viestintään. Viesti voi näyttää aidolta, tulla näennäisesti tutulta henkilöltä ja olla silti väärennetty. Aiemmin huijausviestit saattoi tunnistaa kömpelöstä suomen kielestä, mutta nykyisin kieliasu voi olla kalasteluviesteissä hyvinkin moitteetonta.

2. Jos viestissä pyydetään tekemään jotain, kuten käynnistämään ohjelma tai klikkaamaan linkkiä, pohdi viestin aitoutta ennen kuin teet mitään. Jos amerikkalainen pankki tarvitsee luottokorttisi numeron ”turvatapauksen käsittelyä varten”, jäljet eivät luultavasti johda itse pankkiin vaan jonnekin muualle. Pankit ja operaattorit eivät koskaan kysy asiakkaidensa käyttäjätunnuksia ja salasanoja. Tarvittaessa kopioi linkki ensin leikepöydälle ja katso mihin linkki viittaa, ennen kun teet mitään muuta.

3. Älä lähetä viestiä eteenpäin muille, edes IT-tukeen. Jos epäilyttää, poista viesti. Jos viesti tuli henkilöltä jonka tunnet, voit ottaa muuta kanavaa pitkin yhteyttä oletettuun lähettäjään ja varmistaa, onko saamasi viesti aito.

4. Älä asenna laitteisiin ohjelmia tuntemattomista lähteistä.

5. Jos vahinko kaikesta huolimatta sattuu, ilmoita asiasta heti IT-tukeen.