Mitä ovat huijaus­puhelut?

Mitä on vishing?

Huijaus­puhelut ovat petoksia, joiden tavoitteena on päästä käsiksi luottamuksellisiin tietoihin, kuten käyttäjä­tunnuksiin, sala­sanoihin sekä pankki- ja henkilö­tietoihin. Kyber­hyökkääjät voivat muun muassa kohdistaa puheluita tiettyyn maan­osaan sanoakseen edustavansa paikallista pankkia tai muuta luotettavaa tahoa.

Huijaus­puhelut tunnetaan myös termillä vishing, joka tulee englannin­kielisistä sanoista voice ja phishing. Suomen kielessä phishing tunnetaan myös tietojen­kalasteluna. Lanka­puhelimet ja kiinteät laaja­kaistat ovat perinteisesti olleet turvallisia. Nyky­päivän tekniikoilla sekä uhrejaan huiputtamalla kyber­hyökkääjät pääsevät helposti käsiksi uhrien luottamuksellisiin tietoihin.

Yleisiin huijaus­menetelmiin kuuluvat muun muassa automaattiset IVR-menetelmät (Inter­active Voice Response) ja VoIP (Voice over Internet Protocol). VoIP:n avulla hakkerit pystyvät helposti väärentämään puhelin­numeron tai soittajan tunnuksen. Tuntemattomia puhelin­numeroita voi olla vaikea jäljittää, minkä vuoksi huijauksen uhriksi voi päätyä helposti.

Huijarit voivat saada haltuunsa uhriensa puhelin­numeroita esi­merkiksi etsimällä niitä tieto­murron seurauksena vuodetuista tiedoista. Myös tietojen­kalastelu on verkko­rikollisten tapa saada haltuunsa ihmisten puhelin­numeroita. Jos tietojen­kalastelun kohde suostuu luovuttamaan numeronsa vento­vieraalle, hän on luultavasti myös helpommin huijattavissa puhelimitse.

Vaikka huijaus­puheluiden estäminen kokonaan ei ole helppoa, niiden ehkäisemiseksi on joitain keinoja. Ensiksi voit asettaa puhelin­numerosi salaiseksi, jolloin sitä ei löydy numero­palveluista. Vishing-huijauksia on mahdollista ehkäistä myös harkitsemalla tarkkaan, kenelle ja mihin tarkoitukseen numerosi luovutat. Jotta hallussasi olevat muiden puhelin­numerot eivät joutuisi vääriin käsiin, anna puhelimesi sovelluksille pääsy yhteys­tietoihisi vain välttämättömissä tapauksissa.

4 tapaa tunnistaa huijaus­puhelut

Huijaus­puhelu on mahdollista tunnistaa ennen kuin vahinkoa on ehtinyt tapahtua. Olemme koonneet neljä huijaus­puheluiden yleistä ominaisuutta, jotka auttavat tunnistamaan huijauksen.

1. Sinua kehotetaan kertomaan yksityistä tietoa. Kyse voi olla pankki­tunnuksista, osoitteista, syntymä­ajasta, käyttäjä­tunnuksista tai henkilö­tunnuksesta. Jos epäilet antaneesi taloudellisia tietoja, kuten pankki­tunnuksesi tai maksu­kortin numeron, huijareille, ole välittömästi yhteydessä pankkiisi ja raportoi huijauksesta Liikenne- ja viestintä­virasto Traficomiin.

2. Epä­toivoinen kiire. Huijarit pelaavat tunteillasi ja haluavat saada sinut toimimaan nopeasti ilman seurausten harkitsemista. Soittaja saattaa uhata käyttäjä­tilin sulkemisella, vaikka sellaista tapahtuu käytännössä hyvin harvoin. Aina tällaisen puhelun tai viestin saadessasi pysähdy ja mieti, onko kyseessä todellinen hätä.

3. Soitto viran­omaisilta. Vero­hallinnon, Kansan­eläke­laitoksen tai hoito­laitosten kaltaiset viralliset tahot soittavat sinulle harvoin pyytämättä, joten kyse on usein huijaus­puhelusta.

4. Hiljaisuus. Puhelu kestää vain sekunteja, eikä soittaja sano mitään. Joskus soitto voi olla niin lyhyt, että et edes ehdi vastaamaan siihen. Tavoitteena saattaa olla saada uhri soittamaan takaisin, jolloin puhelu voi olla todella kallis. Jos soittajalla on jotain tärkeä asiaa, hän luultavasi soittaa pian takaisin.

Jos saat puhelun numerosta, jota et tunnista, voit hakea numeron tiedot esi­merkiksi Googlen avulla. Suomessa toimii myös useita palveluita ja sovelluksia, joiden avulla on mahdollista selvittää kuka sinua on yrittänyt tavoitella.

Esi­merkkejä huijaus­puheluista

Sekä yritykset että yksityiset kuluttajat voivat altistua huijaus­puheluille. Kyber­hyökkääjä voi esi­merkiksi päästä käsiksi tietyn yrityksen työn­tekijän yhteys­tietoihin ja ottaa häneen yhteyttä väittäen olevansa tämän esi­henkilö. Pyydettyään työn­tekijää maksamaan lasku tai päivittämään ohjelmisto huijari pääsee helposti käsiksi salaisiin tietoihin.

Taitavat kyber­hyökkääjät vaihtelevat lähestymis­tapojaan esi­merkiksi vuoden­aikojen tai uutisten perusteella. COVID-19-pandemian aikana puhelut, joilla tarjottiin rokotuksia tai virus­testejä pankki­tietoja vastaan, lisääntyivät huomattavasti. Ohessa seitsemän teemaa, joita huijaus­puhelut usein koskettavat.

Viran­omaiset

Soittaja vakuuttaa edustavansa valtiota, viran­omaista tai muuta luotettavaa auktoriteettia. Kyse voi olla esi­merkiksi Kansan­eläke­laitoksesta tai Vero­hallinnosta. Varmistaakseen henkilöllisyytesi soittaja pyytää henkilö­tietojasi, joita voidaan käyttää identiteetti­varkauteen.

Teknisen tuen apu

Huijarit väittävät soittavansa suuren yrityksen IT-osastolta, kuten Micro­softin, Amazonin tai muun paikallisen yrityksen teknisestä tuesta. IT-henkilö kertoo huomanneensa poikkeavaa toimintaa käyttäjä­tililläsi ja pyytää sähkö­posti­osoitetta, johon lähettää linkin ohjelmisto­päivitykseen. Linkin klikkaaminen ei kuitenkaan kannata, sillä se voi sisältää haitta­ohjelmia ja viruksia. Yleistä on myös, että soittajat pyytävät etä­yhteyttä laitteeseesi. Näin rikolliset saavat laitteesi hallintaansa.

Sijoitus- ja laina­tarjoukset

Yksi huijaus­puhelun tunnus­merkki on tarjous, joka on liian hyvä ollakseen totta. Sinulle kerrotaan, että pystyt tienaamaan tuhansia euroja uskomattoman helposti. Huijauksen juju on, että sinun täytyy toimia heti. Oikeat sijoittajat ja lainan­antajat eivät kuitenkaan anna yllättäviä tarjouksia vento­vieraille.

Pankki- tai luotto­kortti­tilin maksu­ongelmat

Soittaja vakuuttaa olevansa esi­merkiksi pankistasi ja kertoo pankki­tiliäsi koskevasta ongelmasta tai maksusta, jossa on ilmennyt ongelmia. Puhelin­numero on yleensä salattu tai väärennetty, ja saadaksesi apua sinua kehotetaan kirjautumaan tilillesi. Muista, että pankki tai poliisi eivät kysy puhelimitse luotto­korttisi numeroa tai varmistus­lukua.

Vakuutus- tai hoito­apu

Jos saat yllättävän puhelun esi­merkiksi hoito­laitoksesta tai vakuutus­yhtiöstä, voi kyseessä olla huijaus­puhelu. Tällaisen huijauksen uhrit ovat yleensä vanhempia ihmisiä, joilla on jonkin­laisia terveys­ongelmia. Tästä huolimatta myös nuoret ja täysin terveet ihmiset sopivat huijauksen kohteeksi. Kertomalla henkilö­tunnuksesi huijari voi päästä käsiksi hoito­etuihisi tai jopa rahoihisi.

Puhelin­myynti tai kilpailun voitto

Tyypillisessä huijaus­puhelussa soittaja kertoo sinun voittaneen kilpailun. Saadaksesi palkintosi digitaalisesti tai fyysisesti sinun täytyy kertoa esi­merkiksi sähkö­posti- tai koti­osoitteesi.

Näin suojaudut huijaus­puheluilta

Ei riitä että tiedät, mitä huijaus­puhelut ovat ja miten ne toimivat. Sinun täytyy myös tietää, miten toimia puhelun aikana. Tässä listamme vinkeistä huijaus­puheluiden käsittelyyn ja ennalta­ehkäisemiseen.

Paina punaista luuria

Odottamattoman, epä­olennaisen tai asiattoman puhelun tullessa sinulla ei ole velvollisuutta olla kohtelias. Katkaise puhelu ja tutki aihetta itse. Kyber­turvallisuus on arvokkaampi kuin riskien ottaminen.

Älä vastaa

Ulko­maalainen, outo tai tuntematon numero voi olla väärennetty, jopa suomalaisella maa­koodilla. Soittaja voi jättää ääni­viestin vastaajaasi ja voit kuunnella sen myöhemmin, jos asia on tärkeä.

Älä paina numeroita tai vastaa kehotuksiin

Oletko törmännyt kehotuksiin kuten paina 1 tehdäksesi tilaus tai sano kyllä puhuaksesi hoitajan kanssa? Älä paina tai sano mitään varsinkaan, jos puhelu tulee tuntemattomasta numerosta. Huijarit voivat käyttää ääntäsi mahdollisiin äänellä ohjattuihin toimintoihin käyttäjä­tileilläsi.

Varmista henkilöllisyys

Jos jokin suuri yritys on sinuun yhteydessä, voit aina soittaa heidän yleiseen numeroon saadaksesi apua. Sinun ei ikinä tulisi soittaa takaisin tuntemattomiin numeroihin.

Esitä kysymyksiä

Jos soittaja kieltäytyy vastaamasta kysymyksiin, välttelee niitä tai muotoilee vastauksensa oudosti, katkaise puhelu. Koska et ole fyysisessä kontaktissa kyseiseen ihmiseen, sinun on vaikea arvioida tilannetta.

Miten vishing, smishing ja phishing eroavat?

Huijauspuhelu, eli vishing, kuuluu laajemman tietojen­kalasteluun liittyvän termin phishing alle. Tietojen­kalastelulla tarkoitetaan tilannetta, jossa huijari yrittää päästä käsiksi luottamuksellisiin tietoihin esi­merkiksi sähkö­postin tai haitallisten linkin avulla. Huijaus­puhelut viittavat puhelimitse tehtyihin huijaus­yrityksiin ja niitä käytetään yleensä myös laajempien huijauksien yhteydessä.

Myös smishing on eräs yleinen tietojen­kalastelun muoto. Smishing tapahtuu teksti­viestien välityksellä, ja tavoitteena on saada uhri vastaamaan tai painamaan viestissä olevaa haitallista linkkiä. Tämän seurauksena uhrin laitteeseen tartutetaan virus tai muu haitta­ohjelma, kuten troijalainen tai kiristys­ohjelma.

Kaikilla kolmella yllä mainituilla menetelmillä on yksi yhteinen motiivi: huijari haluaa päästä käsiksi henkilö­tietoihin, rahaan tai kirjautumis­tunnuksiin. Huijaukset leikkivät monesti uhrien tunteilla, sillä tavoitteena on saada vastaan­ottaja reagoimaan äkillisesti.

Huijaus­puheluita Suomessa

2020-luvun alussa suomalaiseen kyber­turvallisuus­keskukseen raportoitiin lyhyellä aika­välillä useita Micro­softin teknisen tuen huijaus­puheluita. Kyseisissä tapauksissa huonoa englantia, usein intialaisella aksentilla, puhuva henkilö soitti ulko­mailta väittäen vastaan­ottajan tarvitsevan Microsoft-päivitystä tai käyttö­järjestelmä­lisenssin uusimista. Soittaja tarjosi apua asennukseen tai latauksiin esi­merkiksi etä­käyttö­ohjelman kautta. Kyseisen soitto­kampanjan avulla huijarit pääsivät käsiksi monien suomalaisten tileihin, pankki­tietoihin ja muihin luottamuksellisiin tietoihin.

Microsoft ei ole ainoa yritys, jonka nimissä tehdään tai on tehty vastaavan­laisia huijauksia. Jokaisen etä­työläisen olisikin hyvä olla valmistautunut huijaus­puheluihin ja muihin huijauksiin, joita tehdään teknisen tuen nimissä. Lue lisää kyber­turvallisuudesta ja opi suojaamaan kaikki laitteesi F‑Securen kahdeksalla vinkillä turvalliseen etä­työskentelyyn.