Verkossa tapahtuvat huijaukset ja niihin varautuminen ovat monelle internetissä liikkuvalle jo arkipäivää. Täten useimmat meistä osaavat jo varautua erilaisiin verkossa liikkumisen ja internetin käytön mukanaan tuomiin vaaroihin. Vaikka iso osa identiteettivarkauksista, huijausviesteistä sekä muista samankaltaisista uhkista tapahtuvat verkossa, esimerkiksi sähköpostin välityksellä, voi huijauksen kohteeksi joutua muutakin kautta.
Smishing on tietojenkalastelua puhelimella
Tästä yhtenä uusimmista esimerkeistä toimii smishing
eli puhelimen ja erityisesti tekstiviestin välityksellä tapahtuva tietojenkalastelu. Smishing tulee sanoista SMS
(short message service) eli tuttavallisemmin tekstiviesti sekä phishing
eli suomeksi tietojenkalastelu.
Niin sanottu perinteinen phishing eli tietojenkalastelu on verkkorikollisuuden muoto, jossa uhria lähestytään haitallisilla linkeillä ja sähköposteilla. Nämä on naamioitu näyttämään vaarattomilta ja mahdollisesti käyttäjää kiinnostavilta — tai ainakin yritetään naamioida, sillä huijausviestin voi yleensä tunnistaa huonosta kieliasusta kuten kirjoitusvirheistä ja huonolaatuisesta käännöksestä.
Kenen nimissä tietojenkalastelua tehdään?
Tietojenkalasteluviestien tökerö kieliasu ja kirjoitusvirheet ovat kuitenkin muuttuneet viime vuosina, sillä tietojenkalasteluun käytetyt huijausviestit voivat näyttää usein aidoilta ja ne on helppo sekoittaa aitoon, vaarattomaan viestiin. Tietojenkalastelu ja haittaohjelmia levittävien viestien lähettäminen ovatkin yleensä ammattimaista toimintaa.
Tietojenkalasteluviestejä lähetetään usein luotettavien tai tunnettujen tahojen nimissä ja heidän visuaalista tyyliään sekä kirjoitustapaansa mukaillen. Viesti voi olla esimerkiksi pankilta, postista, verkkokaupasta tai sosiaalisen median palvelusta. Viestissä on yleensä linkki, jota painamalla viestin vastaanottaja joutuu haitalliselle sivustolle tai hänen laitteelleen latautuu haittaohjelmia, kuten troijalaisia viruksia. Linkki voi myös ohjata aitoa sisäänkirjautumissivua muistuttavalle sivulle, johon viestin vastaanottaja yritetään saada syöttämään käyttäjätunnus ja salasana.
Halutessasi lisätietoa phishing-viesteistä ja tietojenkalastelulta suojautumisesta lue lisää artikkelistamme Mitä on phishing?
Miksi smishing-tietojenkalastelu on vaarallista?
Smishing-ilmiö on huolestuttava monesta syystä, ja siihen kannattaa varautua niin hyvin kuin mahdollista sekä asian vaatimalla vakavuudella. Olemalla tietoinen smishing-tietojenkalastelusta voit jo välttää joutumasta tietojenkalastelun uhriksi puhelimen välityksellä. Koska smishing on verkkorikollisuuden muotona vähemmän tunnettu kuin perinteinen
, esimerkiksi sähköpostilla tapahtuva tietojenkalastelu, eivät kaikki osaa varautua siihen.
Monet ovat voineet tottua siihen, että huijausviestejä tulee vain sähköpostin välityksellä. Kun huijaukseen käytetään sähköpostin sijaan tekstiviestejä, voivat tekstiviestiurkinnan uhriksi joutua myös vähemmän tietokonetta ja internetiä käyttävät, kuten vanhukset. Vaikka smishing-viesteissä on usein klikattava linkki, on nykyään jo lähes kaikkien puhelimessa verkkoyhteys, mikä mahdollistaa käyttäjän ohjaamisen haitallisille sivustoille tai haittaohjelmien lataamisen puhelimelle.
Älä luovuta henkilökohtaisia tietojasi
Smishing-urkinnan uhriksi joutuminen ei edellytä epäilyttävän linkin painamista tai haittaohjelmien lataamista puhelimelle. Tekstiviestihuijauksien tavoitteena voi olla myös henkilökohtaisten tietojen pyytäminen urkinnan kohteelta. Kun henkilökohtaisia tietoja luovutetaan tekstiviestin välityksellä, voidaan niitä käyttää identiteettivarkauksiin tai uhrin nimissä voidaan tehdä ostoksia verkkokaupoissa.
Välttääksesi tällaisen huijauksen uhriksi joutumista kannattaa muistaa, että esimerkiksi pankki tai jokin muu vastaava taho ei koskaan pyydä henkilökohtaisia tietoja tekstiviestillä, kuten ei myöskään sähköpostitse tai soittamalla.
Valitettavasti smishing-viestejä voidaan ujuttaa jo aiemmin aloitettuihin viestiketjuihin. Tällöin samassa viestiketjussa ovat sekaisin sekä oikean lähettäjän tekstiviestit että huijaukseen käytetyt smishing-viestit. Rikolliset voivat esimerkiksi lähettää huijausviestin osaksi ketjua, joka sisältää Postin tai lähettipalvelun aiemmin lähettämiä viestejä. Viestin tunnistamisesta tekee entistä vaikeampaa se, jos huijausviesti on tehty jäljittelemään lähettäjän aitoa viestiä vakuuttavasti.
Smishing on vaaraksi myös pikaviestipalveluissa
Tekstiviestien lisäksi nykyään moni käyttää jotain useista pikaviestipalveluista viestittelyyn ja yhteydenpitoon. Näihin kuuluvat muun muassa WhatsApp, Facebook Messenger, Signal ja Telegram.
Aivan kuten tavalliset tekstiviestit, eivät pikaviestipalveluiden ja ‑sovellusten kautta lähetettävät viestit ole turvassa tietojenkalastelulta ja urkintayrityksiltä. Täten esimerkiksi WhatsAppin kautta saapuvaan epäilyttävään viestiin tulee suhtautua yhtä lailla varauksella ja varovaisuudella kuin outoon tekstiviestiin.
Kuinka tunnistaa smishing-viesti?
Kun tunnet hakkereiden ja muiden verkossa liikkuvien rikollisten tavat toteuttaa huijauksia, olet jo hyvässä turvassa tietojenkalastelulta, tapahtuipa se sähköpostin, tekstiviestien tai pikaviestipalvelun välityksellä. Tunnistaaksesi smishing-viestin kiinnitä huomiota ainakin seuraaviin seikkoihin ensi kerralla, kun vastaanotat epäilyttävän viestin.
Vedotaanko viestissä kiireeseen ja pyydetäänkö sinua tekemään jotain välittömästi? Huijausviestissä voidaan muun muassa väittää, että sinun tulee vahvistaa tietosi, kuten luottokorttisi numero, puhelinnumero tai salasana. Vaihtoehtoisesti viestin mukaan sinua odottaa jokin voitto tai yllätys, joka on lunastettavissa vain rajoitetun ajan.
Kerrotaanko viestissä, että olet voittanut jotain? Onneksi olkoon! Sinun tarvitsee vain painaa viestissä olevaa linkkiä. Varo näitä yrityksiä vedota ihmisten haluun saada ilmaisia tavaroita tai rahapalkintoja. Tällainen huijaus on kuitenkin helppo tunnistaa, mikäli et edes ole itse osallistunut viestissä mainittuun kilpailuun tai arvontaan.
Kerrotaanko viestissä paketin saapumisesta? Pakettien tilaaminen sekä verkko-ostosten tekeminen ovat yleisempää kuin koskaan aiemmin, joten huijarit ovat keksineet tavan hyödyntää sitä. Huijausviesti on naamioitu tavalliseksi ilmoituksesi, joita lähetetään paketin saapumisen yhteydessä. Lähettipalvelun sijaan näissä huijauksissa onkin taustalla henkilö- tai pankkitietojasi havitteleva rikollinen. Pakettiviestin tunnistaa helposti huijaukseksi silloin, kun et ole itse tilannut mitään.
Entä mitä on vishing?
Valitettavasti puhelimitse tapahtuva tietojenkalastelu ei rajoitu ainoastaan tekstiviesteihin ja pikaviestisovellusten viesteihin. Eräs tietojenkalastelun muoto tunnetaan englanniksi nimellä vishing
, joka tulee sanoista phishing
ja voice
. Kuten arvata saattaa, vishing on tietojenkalastelua, joka kirjoitettujen viestien sijaan tapahtuu äänen eli puhelujen kautta. Suomeksi käännettynä kyse on siis huijauspuheluista.
Puhelun kautta tapahtuva huijaus voi huijausviestin tavoin olla naamioitu luotettavalta taholta tulevaksi puheluksi. Soittaja voi väittää olevansa esimerkiksi uhrin pankista, terveydenhuollosta tai työpaikan tukikeskuksesta. Esimerkiksi Microsoftin nimissä on tehty paljon tämänkaltaisia huijaussoittoja. Vaikka vishing-huijaus hyödyntää tavallisia puheluita, tämä ei tarkoita, että rikollinen ei voisi päästä käsiksi uhrin tietokoneeseen. Puhelinhuijauksen uhri voidaan esimerkiksi saada asentamaan etähallintaohjelma tietokoneelleen jollain verukkeella.
Mitä tehdä smishing-huijauksen sattuessa?
Ensinnäkin: älä koskaan paina epäilyttäviä linkkejä, olipa kyseessä tekstiviesti tai sähköposti. Jos sinulla herää pienintäkään epäilystä vastaanottamasi viestin aitoudesta tai sen lähettäjän tarkoituksista, karta viestin sisältämiä linkkejä ja liitetiedostoja. Jos satut painamaan viestin linkkiä ja sen takaa paljastuukin luotettavan näköinen sivu, älä siltikään syötä sivulle esimerkiksi kirjautumistietojasi.
Älä myöskään luovuta henkilökohtaisia tietoja tai pankkitunnuksiasi, vaikka niitä pyytäisi luotettavalta vaikuttava taho kuten oma pankkisi. Pankki, sosiaalisen median palvelu tai luotettava viranomainen ei koskaan kysy salasanoja tai tunnuksia. Jos vastaanotat epäilyttävän viestin, joka näyttää tulleen esimerkiksi pankiltasi tai käyttämältäsi some-alustalta, voit halutessasi varmistaa viestin aitouden heiltä itseltään, vaikkapa lähettämällä kuvankaappauksen viestistä. Näin myös taho, jonka nimissä lähetetään smishing-viestjä on tietoinen huijauksesta ja osaa varautua. Muista kuitenkin lähestyä oletettua viestin lähettäjää oikeita reittejä, ei vastaanottamasi viestin kautta. Oikeita tapoja lähestyä lähettäjää ovat esimerkiksi asiakaspalvelun kanavat, lähettäjän chat-palvelu sekä sosiaalisen median kanavat, kuten Facebook.
Jos vaikkapa pankkitunnuksesi on sattunut päätymään vääriin käsiin, ole välittömästi yhteydessä pankkiisi. Tarkkailemalla verkkopankkiasi tai maksukorttisi tapahtumia voit havaita, mikäli kortillasi tai pankkitilillä ilmenee epäilyttäviä tapahtumia.
Jos epäilet johonkin palveluun käyttämäsi salasanan levinneen smishing-huijauksen seurauksena, vaihda salasanasi välittömästi. Suosituksena on käyttää vain yhtä salasanaa per palvelu. Jos varastettu salasana on kuitenkin käytössä myös muualla, vaihda lisäksi muiden palvelujen salasanat. Yksi tapa pitää huolta salasanoistasi on ottaa käyttöön salasanojen hallintaan tarkoitettua palvelu tai työkalu.
Koska smishing on lisäksi tapa levittää viruksia, kannattaa varautua hankkimalla laitteellesi luotettava ja toimiva tietoturva. Moni on varautunut viruksia ja muita uhkia vastaan tietokoneellaan, mutta monilta jää huomioimatta kokonaan puhelin ja muut mobiililaitteet.