Mitä on smishing?

Verkossa tapahtuvat huijaukset ja niihin varautuminen ovat monelle internetissä liikkuvalle jo arki­päivää. Täten useimmat meistä osaavat jo varautua erilaisiin verkossa liikkumisen ja internetin käytön mukanaan tuomiin vaaroihin. Vaikka iso osa identiteetti­varkauksista, huijaus­viesteistä sekä muista saman­kaltaisista uhkista tapahtuvat verkossa, esi­merkiksi sähkö­postin välityksellä, voi huijauksen kohteeksi joutua muutakin kautta.

Smishing on tietojen­kalastelua puhelimella

Tästä yhtenä uusimmista esi­merkeistä toimii smishing eli puhelimen ja erityisesti teksti­viestin välityksellä tapahtuva tietojen­kalastelu. Smishing tulee sanoista SMS (short message service) eli tuttavallisemmin teksti­viesti sekä phishing eli suomeksi tietojen­kalastelu.

Niin sanottu perinteinen phishing eli tietojen­kalastelu on verkko­rikollisuuden muoto, jossa uhria lähestytään haitallisilla linkeillä ja sähkö­posteilla. Nämä on naamioitu näyttämään vaarattomilta ja mahdollisesti käyttäjää kiinnostavilta — tai ainakin yritetään naamioida, sillä huijaus­viestin voi yleensä tunnistaa huonosta kieli­asusta kuten kirjoitus­virheistä ja huono­laatuisesta käännöksestä.

Kenen nimissä tietojen­kalastelua tehdään?

Tietojen­kalastelu­viestien tökerö kieli­asu ja kirjoitus­virheet ovat kuitenkin muuttuneet viime vuosina, sillä tietojen­kalasteluun käytetyt huijaus­viestit voivat näyttää usein aidoilta ja ne on helppo sekoittaa aitoon, vaarattomaan viestiin. Tietojen­kalastelu ja haitta­ohjelmia levittävien viestien lähettäminen ovatkin yleensä ammattimaista toimintaa.

Tietojen­kalastelu­viestejä lähetetään usein luotettavien tai tunnettujen tahojen nimissä ja heidän visuaalista tyyliään sekä kirjoitus­tapaansa mukaillen. Viesti voi olla esi­merkiksi pankilta, postista, verkko­kaupasta tai sosiaalisen median palvelusta. Viestissä on yleensä linkki, jota painamalla viestin vastaan­ottaja joutuu haitalliselle sivustolle tai hänen laitteelleen latautuu haitta­ohjelmia, kuten troijalaisia viruksia. Linkki voi myös ohjata aitoa sisään­kirjautumis­sivua muistuttavalle sivulle, johon viestin vastaan­ottaja yritetään saada syöttämään käyttäjä­tunnus ja sala­sana.

Halutessasi lisä­tietoa phishing-viesteistä ja tietojen­kalastelulta suojautumisesta lue lisää artikkelistamme Mitä on phishing?

Miksi smishing-tietojen­kalastelu on vaarallista?

Smishing-ilmiö on huolestuttava monesta syystä, ja siihen kannattaa varautua niin hyvin kuin mahdollista sekä asian vaatimalla vakavuudella. Olemalla tietoinen smishing-tietojen­kalastelusta voit jo välttää joutumasta tietojen­kalastelun uhriksi puhelimen välityksellä. Koska smishing on verkko­rikollisuuden muotona vähemmän tunnettu kuin perinteinen, esi­merkiksi sähkö­postilla tapahtuva tietojen­kalastelu, eivät kaikki osaa varautua siihen.

Monet ovat voineet tottua siihen, että huijaus­viestejä tulee vain sähkö­postin välityksellä. Kun huijaukseen käytetään sähkö­postin sijaan teksti­viestejä, voivat teksti­viesti­urkinnan uhriksi joutua myös vähemmän tieto­konetta ja inter­netiä käyttävät, kuten vanhukset. Vaikka smishing-viesteissä on usein klikattava linkki, on nykyään jo lähes kaikkien puhelimessa verkko­yhteys, mikä mahdollistaa käyttäjän ohjaamisen haitallisille sivustoille tai haitta­ohjelmien lataamisen puhelimelle.

Älä luovuta henkilö­kohtaisia tietojasi

Smishing-urkinnan uhriksi joutuminen ei edellytä epäilyttävän linkin painamista tai haitta­ohjelmien lataamista puhelimelle. Teksti­viesti­huijauksien tavoitteena voi olla myös henkilö­kohtaisten tietojen pyytäminen urkinnan kohteelta. Kun henkilö­kohtaisia tietoja luovutetaan teksti­viestin välityksellä, voidaan niitä käyttää identiteetti­varkauksiin tai uhrin nimissä voidaan tehdä ostoksia verkko­kaupoissa.

Välttääksesi tällaisen huijauksen uhriksi joutumista kannattaa muistaa, että esi­merkiksi pankki tai jokin muu vastaava taho ei koskaan pyydä henkilö­kohtaisia tietoja teksti­viestillä, kuten ei myöskään sähkö­postitse tai soittamalla.

Valitettavasti smishing-viestejä voidaan ujuttaa jo aiemmin aloitettuihin viesti­ketjuihin. Tällöin samassa viesti­ketjussa ovat sekaisin sekä oikean lähettäjän teksti­viestit että huijaukseen käytetyt smishing-viestit. Rikolliset voivat esi­merkiksi lähettää huijaus­viestin osaksi ketjua, joka sisältää Postin tai lähetti­palvelun aiemmin lähettämiä viestejä. Viestin tunnistamisesta tekee entistä vaikeampaa se, jos huijaus­viesti on tehty jäljittelemään lähettäjän aitoa viestiä vakuuttavasti.

Smishing on vaaraksi myös pika­viesti­palveluissa

Teksti­viestien lisäksi nykyään moni käyttää jotain useista pika­viesti­palveluista viestittelyyn ja yhteyden­pitoon. Näihin kuuluvat muun muassa Whats­App, Face­book Messenger, Signal ja Telegram.

Aivan kuten tavalliset teksti­viestit, eivät pika­viesti­palveluiden ja ‑sovellusten kautta lähetettävät viestit ole turvassa tietojen­kalastelulta ja urkinta­yrityksiltä. Täten esi­merkiksi Whats­Appin kautta saapuvaan epäilyttävään viestiin tulee suhtautua yhtä lailla varauksella ja varovaisuudella kuin outoon teksti­viestiin.

Kuinka tunnistaa smishing-viesti?

Kun tunnet hakkereiden ja muiden verkossa liikkuvien rikollisten tavat toteuttaa huijauksia, olet jo hyvässä turvassa tietojen­kalastelulta, tapahtuipa se sähkö­postin, teksti­viestien tai pika­viesti­palvelun välityksellä. Tunnistaaksesi smishing-viestin kiinnitä huomiota ainakin seuraaviin seikkoihin ensi kerralla, kun vastaan­otat epäilyttävän viestin.

• Vedotaanko viestissä kiireeseen ja pyydetäänkö sinua tekemään jotain välittömästi? Huijaus­viestissä voidaan muun muassa väittää, että sinun tulee vahvistaa tietosi, kuten luotto­korttisi numero, puhelin­numero tai sala­sana. Vaihto­ehtoisesti viestin mukaan sinua odottaa jokin voitto tai yllätys, joka on lunastettavissa vain rajoitetun ajan.
• Kerrotaanko viestissä, että olet voittanut jotain? Onneksi olkoon! Sinun tarvitsee vain painaa viestissä olevaa linkkiä. Varo näitä yrityksiä vedota ihmisten haluun saada ilmaisia tavaroita tai raha­palkintoja. Tällainen huijaus on kuitenkin helppo tunnistaa, mikäli et edes ole itse osallistunut viestissä mainittuun kilpailuun tai arvontaan.
• Kerrotaanko viestissä paketin saapumisesta? Pakettien tilaaminen sekä verkko-ostosten tekeminen ovat yleisempää kuin koskaan aiemmin, joten huijarit ovat keksineet tavan hyödyntää sitä. Huijaus­viesti on naamioitu tavalliseksi ilmoituksesi, joita lähetetään paketin saapumisen yhteydessä. Lähetti­palvelun sijaan näissä huijauksissa onkin taustalla henkilö- tai pankki­tietojasi havitteleva rikollinen. Paketti­viestin tunnistaa helposti huijaukseksi silloin, kun et ole itse tilannut mitään.

Entä mitä on vishing?

Valitettavasti puhelimitse tapahtuva tietojen­kalastelu ei rajoitu ainoastaan teksti­viesteihin ja pika­viesti­sovellusten viesteihin. Eräs tietojen­kalastelun muoto tunnetaan englanniksi nimellä vishing, joka tulee sanoista phishing ja voice. Kuten arvata saattaa, vishing on tietojen­kalastelua, joka kirjoitettujen viestien sijaan tapahtuu äänen eli puhelujen kautta. Suomeksi käännettynä kyse on siis huijaus­puheluista.

Puhelun kautta tapahtuva huijaus voi huijaus­viestin tavoin olla naamioitu luotettavalta taholta tulevaksi puheluksi. Soittaja voi väittää olevansa esi­merkiksi uhrin pankista, terveyden­huollosta tai työ­paikan tuki­keskuksesta. Esi­merkiksi Micro­softin nimissä on tehty paljon tämän­kaltaisia huijaus­soittoja. Vaikka vishing-huijaus hyödyntää tavallisia puheluita, tämä ei tarkoita, että rikollinen ei voisi päästä käsiksi uhrin tieto­koneeseen. Puhelin­huijauksen uhri voidaan esi­merkiksi saada asentamaan etä­hallinta­ohjelma tieto­koneelleen jollain verukkeella.

Mitä tehdä smishing-huijauksen sattuessa?

Ensinnäkin: älä koskaan paina epäilyttäviä linkkejä, olipa kyseessä teksti­viesti tai sähkö­posti. Jos sinulla herää pienintäkään epäilystä vastaan­ottamasi viestin aitoudesta tai sen lähettäjän tarkoituksista, karta viestin sisältämiä linkkejä ja liite­tiedostoja. Jos satut painamaan viestin linkkiä ja sen takaa paljastuukin luotettavan näköinen sivu, älä siltikään syötä sivulle esi­merkiksi kirjautumis­tietojasi.

Älä myöskään luovuta henkilö­kohtaisia tietoja tai pankki­tunnuksiasi, vaikka niitä pyytäisi luotettavalta vaikuttava taho kuten oma pankkisi. Pankki, sosiaalisen median palvelu tai luotettava viran­omainen ei koskaan kysy sala­sanoja tai tunnuksia. Jos vastaan­otat epäilyttävän viestin, joka näyttää tulleen esi­merkiksi pankiltasi tai käyttämältäsi some-alustalta, voit halutessasi varmistaa viestin aitouden heiltä itseltään, vaikkapa lähettämällä kuvan­kaappauksen viestistä. Näin myös taho, jonka nimissä lähetetään smishing-viestjä on tietoinen huijauksesta ja osaa varautua. Muista kuitenkin lähestyä oletettua viestin lähettäjää oikeita reittejä, ei vastaan­ottamasi viestin kautta. Oikeita tapoja lähestyä lähettäjää ovat esi­merkiksi asiakas­palvelun kanavat, lähettäjän chat-palvelu sekä sosiaalisen median kanavat, kuten Facebook.

Jos vaikkapa pankki­tunnuksesi on sattunut päätymään vääriin käsiin, ole välittömästi yhteydessä pankkiisi. Tarkkailemalla verkko­pankkiasi tai maksu­korttisi tapahtumia voit havaita, mikäli kortillasi tai pankki­tilillä ilmenee epäilyttäviä tapahtumia.

Jos epäilet johonkin palveluun käyttämäsi sala­sanan levinneen smishing-huijauksen seurauksena, vaihda sala­sanasi välittömästi. Suosituksena on käyttää vain yhtä sala­sanaa per palvelu. Jos varastettu sala­sana on kuitenkin käytössä myös muualla, vaihda lisäksi muiden palvelujen sala­sanat. Yksi tapa pitää huolta sala­sanoistasi on ottaa käyttöön sala­sanojen hallintaan tarkoitettua palvelu tai työ­kalu.

Koska smishing on lisäksi tapa levittää viruksia, kannattaa varautua hankkimalla laitteellesi luotettava ja toimiva tieto­turva. Moni on varautunut viruksia ja muita uhkia vastaan tieto­koneellaan, mutta monilta jää huomioimatta kokonaan puhelin ja muut mobiili­laitteet.