)
){kind=icon}
Tietojenkalastelu on merkittävä sosiaalisen manipuloinnin muoto, jonka tarkoituksena on huijata sinua jakamaan yksityisiä tietoja tai saada sinut napsauttamaan linkkejä tai liitetiedostoja, jotka johtavat haittaohjelmiin tai petollisiin sivustoihin.
Miten tietojenkalasteluhyökkäykset toimivat
Yksinkertaisimmillaan tietojenkalasteluhyökkäys voi koostua vain tekstistä ja URL-osoitteesta. Nämä hyökkäykset voivat tulla mistä tahansa kanavasta, josta saat digitaalisia viestejä, kuten sähköpostista, tekstiviesteistä, pikaviesteistä tai sosiaalisen median kanavista. Tämä tekee tietojenkalastelusta jatkuvasti läsnä olevan riskin ja yhden merkittävimmistä verkkohyökkäysten muodoista.
Phishing-hyökkäysten takana olevat rikolliset pyrkivät tekemään niistä mahdollisimman houkuttelevia ja hyödyntävät ajankohtaisia aiheita. Esimerkiksi Ukrainan sodan aiheuttama maailmanlaajuinen uutisointi johti maaliskuussa 2022 yli 2 000 estettyyn tietojenkalasteluyritykseen (lähde: F‑Secure Threat Intelligence).
Tietojenkalastelun havaitseminen vaikeutuu entisestään
Valitettavasti phishing-huijaukset eivät lisääntymisestään huolimatta ole yhtään helpommin havaittavissa. Aikaisemmin tietojenkalastelun pystyi tunnistamaan välillä jopa koomisen huonosta kieliopista. Tekoälyteknologian ja geneeristen kielimallien, kuten ChatGPT:n, kehittyminen on kuitenkin tehnyt huijareille entistä helpommaksi saada huijaukset näyttämään vakuuttavalta.
Olet luultavasti nähnyt jonkin phishing-sähköpostin tai tekstiviestin, jossa hyökkäyksen on voinut tunnistaa heti kielioppi- tai kirjoitusvirheen perusteella
, F‑Securen Senior Technical Product Manager Abdullah-Al Mazed kertoo. Valitettavasti suurten kielimallien (LLM) kehityksen ansiosta nämä ajat ovat menneisyyttä. ChatGPT osoittaa, kuinka pitkälle luonnollisen kielen käsittely (NLP) on jo edennyt ja kuinka helppoa on kirjoittaa erittäin vakuuttava sähköpostiviesti tai blogikirjoitus yksinkertaisella kehotuksella ja kourallisella avainsanoja.
Valistusta phishing-huijauksista
Koska tietojenkalastelu kehittyy jatkuvasti, ei ole koskaan ollut tärkeämpää käyttää tietoturvaa, joka auttaa sinua suojatumaan tällaisilta uhkilta. Mutta myös itsensä suojaamisen opettelu on elintärkeää.
Tässä postauksessa yksilöidään viisi tärkeintä phishing-uhkaa vuonna 2023 ja annetaan tietoa siitä, miten ne voidaan tunnistaa ja siten välttää.
1. Sosiaalisen median käyttäjätilien kalastelu
F‑Securen Threat Intelligence ‑tietojen perusteella Facebook, WhatsApp, Instagram ja LinkedIn olivat suosituimmat sosiaalisen median alustat, joihin kohdistettiin tietojenkalasteluhyökkäyksiä vuonna 2022. Näille alustoille kohdistuneet rikolliset yrittivät saada haltuunsa esimerkiksi sosiaalisen median tunnuksia, henkilökohtaisia tietoja ja taloudellisia tietoja.
Näin havaitset hyökkäykset: Ne tulevat usein kaveripyyntöjen ja tuntemattomien profiilien lähettämien viestien kautta, jotka sisältävät linkkejä verkkosivuille.
Näin vältät ne: Älä hyväksy tuntemattomien profiilien kaveripyyntöjä. Aseta vaihtoehtoinen sähköpostiosoite tai puhelinnumero tilisi palautusta varten. Käytä yksilöllisiä salasanoja ja kaksivaiheista todennusta.
2. Netflixin nimissä tapahtuva kalastelu
Netflix on television ja elokuvien suoratoistosovellus, jolla on noin 233 miljoonaa tilaajaa (lähde: Statista). Tämän suosion ansiosta Netflix oli yksi niistä tuotemerkeistä, joita käytettiin eniten tietojenkalasteluun vuonna 2022: Netflix-huijausten määrä kasvoi 50 prosenttia tammikuun ja joulukuun 2022 välillä (lähde: F‑Secure).
Näin havaitset hyökkäykset: Näissä sähköpostiviesteissä vastaanottajille ilmoitettiin, että heidän automaattinen maksunsa oli hylätty. Sen korjaamiseksi uhrit houkuteltiin päivittämään laskutustiedot linkin kautta, joka johti väärennetylle kirjautumissivulle. Kun uhri oli antanut kirjautumistietonsa, hyökkääjät pystyivät ottamaan tilin haltuunsa.
Näin vältät ne: Älä avaa epäilyttäviä linkkejä, jotka varoittavat hylätyistä maksuista; kirjaudu sen sijaan tilillesi ja tarkista maksutilasi siellä.
3. Ajankohtaisia aiheita: Ukraina
Phishing-huijauksissa hyödynnetään usein ajankohtaisia aiheita, sillä on helpompi herättää huomiota, kun ihmiset ovat jo valmiiksi kiinnostuneita aiheesta. Niinpä Ukrainan sota oli merkittävimpiä aiheita, joita käytettiin tietojenkalastelussa vuonna 2022. Osa näistä kampanjoista käytti hyväkseen ihmisten halua auttaa, mutta osa vetosi aivan toisenlaisiin mielihaluihin.
Näin havaitset hyökkäykset: Tällaista tietojenkalastelua levitettiin sähköpostitse hyväntekeväisyysjärjestöjen, kuten Punaisen Ristin, nimissä. Uhreja houkuteltiin lahjoittamaan
kryptovaluuttaa. Toisaalla kampanjat houkuttelivat uhreja ottamaan yhteyttä kuumiin ukrainalaisiin tyttöihin
, jotka etsivät rakkautta. Uhrit luulivat keskustelevansa ukrainalaisnaisten kanssa, mutta heidän täytyi luoda maksullinen profiili deittialustalle, ja joitakin pyydettiin maksamaan enemmän, jotta he voisivat jatkaa keskustelua tai avata lisää kuvia.
Näin vältät ne: Kaikki kryptovaluuttamaksuja pyytävät viestit ovat epäilyttäviä. Luota vain tunnettuihin hyväntekeväisyysjärjestöihin. Käytä maksutietoja, jotka on ilmoitettu vain niiden verkkosivustolla. Ja muista: ihmiset, jotka etsivät aidosti rakkautta, eivät pyydä kryptovaluuttaa ennen keskustelua kanssasi.
4. ”Hei äiti” ‑huijaukset
Verkkorikolliset käyttävät kaikkia mahdollisia emotionaalisia keinoja, ja Hei äiti
‑huijaukset ovat erityisen epämiellyttävä muistutus tästä. Hei äiti
-huijaukset ovat smishingiä
eli tekstiviestihuijauksia ja ne alkavat yleensä tuntemattomasta puhelinnumerosta lähetetyllä WhatsApp-viestillä, jonka on lähettänyt huijari ja joka alkaa sanoilla Hei äiti
tai Hei isä
.
Näin havaitset hyökkäykset: Huijaaja kertoo vastaanottajalle, että lapsen puhelin on hajonnut ja että numero, josta viesti lähetetään, on hänen uusi puhelinnumeronsa. Sitten hyökkääjä pyytää rahaa kiireellisen laskun maksamiseen tai uuden puhelimen ostamiseen. Hän sanoo tarvitsevansa rahaa, koska ei pääse pankkiinsa ilman vanhaa puhelinta, tai jokin muu vastaava selitys.
Näin vältät ne: Vanhempien voi olla vaikea ajatella järkevästi, kun heidän lapsensa tarvitsee apua. Juuri tähän huijarit panostavat (heidän tapauksessaan kirjaimellisesti). Jos saat tällaisen tekstiviestin, soita vanhaan numeroon tai lähetä läheisellesi viesti sosiaalisessa mediassa tarkistaaksesi, onko viesti aito. Äläkä koskaan lähetä rahaa ihmisille, jotka ottavat sinuun yhteyttä tuntemattomista numeroista.
5. Pelaamiseen liittyvät phishing-huijaukset
Fortniten kaltaisten ilmaispelattavien pelien (F2P-pelit) suosion kasvu — jotka ansaitsevat rahansa ostamalla pelin sisällä skinejä, aseita ja niin edelleen — on johtanut pelaajiin kohdistuvien huijausten määrän huomattavaan kasvuun. Tällaisia voivat olla esimerkiksi äänestyshuijaukset tai ilmaiset tarjoukset. F‑Securen tietojen mukaan Steam ja Roblox olivat verkkorikollisten kohteena olevista pelialustoista suosituimpia, ja niiden osuus kaikista kohteena olevista pelialustoista oli 66 prosenttia (lähde: F‑Secure Threat Intelligence).
Näin havaitset hyökkäykset: Vuonna 2022 hyökkääjät alkoivat käyttää äänestyshuijauksiksi
kutsuttua tekniikkaa Steam-tilien varastamiseen. Hyökkäys alkaa Steam- tai Discord-kanavalla, jossa viesti näyttää olevan kaverilta ja pyytää uhria seuraamaan linkkiä ja äänestämään heidän joukkuettaan. Linkki ohjaa phishing-sivulle. Kun he klikkaavat sitä, heidän Steam-tilinsä siirtyy hyökkääjälle.
Roblox-käyttäjiin kohdistetuissa huijauksissa hyökkääjät käyttivät YouTube-videoita houkutellakseen lapsia napsauttamaan linkkiä, jonka kautta he saivat ilmaisia Robuxeja (pelin sisäistä valuuttaa), ja linkki johti katsojat phishing-sivuille, joilla rikolliset saivat kerättyä kirjautumistiedot. Phisherit kaappasivat myös Roblox-tilejä samalla tekniikalla käyttäen väärennettyjä käyttäjäilmoituksia (Robloxin pelin sisäinen viestijärjestelmä).
Näin vältät ne: Käytä selauksen suojausta. Älä anna kirjautumistietojasi tietyn pelipalvelun ulkopuolella. Vältä pääsääntöisesti ilmaista tavaraa, sillä se on usein vain temppu. Ja valista lapsia phishingistä ja huijauksista jakamalla tämä viesti heidän kanssaan.
