Phishing-viestit


Phishing-huijauksessa uhri erehdytetään antamaan tunnuslukuja ja henkilötietoja, joiden avulla tekijät pääsevät itse käsiksi uhrin varoihin tai sellaisiin tietoihin, jotka mahdollistavat tekijöiden esiintymisen uhrin henkilöllisyydellä.

Termi "phishing" on peräisin Internet huijareiden slangista, jossa puhutaan käyttäjien salasanojen kalastelemisesta "password fishing" --> Phishing. Phishing termiä käytetään rikollisten tekemille hyökkäyksille, jossa käytetään väärennettyjä sähköposteja ja verkkosivuja erehdyttämään vastaanottaja luovuttamaan henkilökohtaisia taloudellisesti arvokkaita tietoja. Näitä ovat esimerkiksi luottokortin numerot, käyttäjätunnukset, salasanat, tilinumerot tai henkilötunnukset. Viestit ja kotisivut on naamioitu näyttämään tunnettujen pankkien, verkkokauppojen, viranomaisten tai luottokorttiyritysten sivuilta. Viesteissä vastaanottajaa kehotetaan välittömästi kirjautumaan tunnuksillaan palveluun tilin sulkemisen uhalla. Vastaanottajaa houkutellaan usein myös palkinnolla, jonka saamiseksi viestin vastaanottajan tulee kirjautua salasanaa käyttäen palveluun sisään. Tutkimusten mukaan viesteihin vastaa keskimäärin jopa kaksikymmentäviisi prosenttia niiden vastaanottajista. Vastausprosentti on näinkin korkea, koska viestit, verkkosivut ja osoitteet näyttävät aidoilta, ja vastaanottajat luottavat tunnettujen yritysten tuotemerkkeihin. Käyttäjien antamia tietoja käytetään rikollisiin tarkoituksiin, kuten henkilöllisyyden varastamiseen tai petoksiin.

Verkkosivujen ja osoitteiden väärentäminen on helppoa

Verkkosivujen ulkoasun kopioiminen on helppoa. Phishing-viestit käyttävät verkko-osoitteen naamioimiseksi Internet Explorer-selaimesta löydettyä tietoturva-aukkoa. Koska sivut näyttävät virallisilta sivustoilta ja niiden osoite näyttää selaimessa samalta kuin yrityksen virallinen verkko-osoite, on erehtymisen vaara suuri. Suurin osa phishing-viesteistä lähetetään roskapostin tavoin massapostituksina. Lähettäjät eivät välitä, vaikka kaikki vastaanottajat eivät olisi väärennettyjen yritysten asiakkaita. Suuri lähetysvolyymi takaa joukon hyväuskoisia vastaanottajia, jotka luovuttavat tietoja lähettäjien haltuun.

Suojautuminen

Vastaanottajat voivat suojautua phishingiltä päivittämällä selaimensa sekä varmistamalla epäilyttävät yhteydenotot puhelimitse suoraan yritykseltä. On syytä suhtautua epäillen kaikkiin sellaisiin sähköposteihin, joissa pyydetään luottamuksellista tai arkaluonteista tietoa kuten salasanaa, henkilötunnusta, pankkitilin numeroa tms. Viesteissä olevia linkkejä ei kannata klikata. Viestissä olevat linkit on mahdollista naamioida näyttämään asiallisilta. Todellisuudessa käyttäjä saatetaan ohjata rikollisten hallussa oleville sivuille, jotka ainoastaan näyttävät oikeanlaisilta, verkko-osoitetta myöten. Väärille raiteille ohjauksen voi välttää kirjoittamalla osoitteen käsin selaimen osoitekenttään.

Eri puolella maailmaa viranomaiset ovat onnistuneet sulkemaan lukuisia imitaatiosivuja käyttäjiltä saamiensa ilmoitusten perusteella. Tämän vuoksi on tärkeää, että erityisesti kaikki suomalaiset phishing-viestit raportoidaan viranomaisille.

Phishing-viestien tunnistaminen:

  • Viestissä vastaanottajaa kehoitetaan kirjautumaan salasanalla suojattuun palveluun.
  • Viestissä uhataan palvelun sulkemisella, ellei käyttäjä kirjaudu palveluun. Phishing-huijareiden tarkoitus on säikäyttää uhri toimimaan nopeasti.
  • Viestissä on linkki sivuille, jossa kirjautumisen voi tehdä.
  • Viesti on usein HTML muodossa ja se näyttää graafisesti aidolta
  • Viestiä ei ole personoitu. Sama viesti lähetetään suurelle joukolle ihmisiä.
  • Viestissä on kirjoitusvirheitä.

Mitä jos olen antanut tietoni vääriin käsiin?

  • Ilmoita välittömästi palveluntarjoajalle tai pankille. Vastuusi varkaustapauksissa useimmiten lakkaa ilmoituksen tekemishetkeen.
  • Peruuta tilisi ja avaa uusi.
  • Mikäli henkilötietosi tai luottokorttisi tiedot on "varastettu", ilmoita poliisille ja luottokunnalle.

Phishing-huijauksilta suojautuminen:

  • Epäile kaikkia viestejä, joiden vastaanottajaa et tunne. Viestin ulkonäkö voi pettää.
  • Älä luota selaimessasi näkyvään osoitteeseen. Se voi olla väärennetty. Kirjoittamalla verkko-osoiteen itse voit varmistua sen oikeellisuudesta.
  • Käytä selainta, joka on turvallinen ja päivitetty. Explorerin turvallisuuspäivitykset. Vaihtoehtoina Explorerille ovat esimerkiksi ilmaiset Firefox tai Opera -selaimet.
  • Älä seuraa sähköpostissa olevia linkkejä. Jos haluat mennä viestissä olevaan osoitteeseen, kirjoita se itse selaimeen.
  • Jos epäilet viestin sisältöä, ota yhteyttä lähettäjään ja tarkista tiedot puhelimitse.
  • Asioi verkossa ainoastaan sellaisten yritysten kanssa, jotka tunnet ja tiedät luotettaviksi.
  • Mieti, kenelle annat henkilötietojasi verkossa. Älä anna henkilötietojasi verkossa suojaamattomiin verkkosivuille tai lähetä niitä salaamattomina sähköpostilla.
  • Varmista, että olet suojatulla verkkosivulla syöttäessäsi tunnuslukuja ja salasanoja. Katso, että alapalkissa on lukon kuva ennen kuin lähetät arkaluonteista tietoa. Tunnistat suojatut palvelut myös osoitteen alussa olevasta https tunnuksesta ("S" tarkoittaa yhteyden olevan suojattu). Älä lähetä arkaluontoisia henkilö- tai pankkitietoja muutoin kuin suojatulta verkkosivulta, jossa viestit salakirjoitetaan. Tavallinen sähköpostiviesti ei ole salakirjoitettu, vaan se vastaa ennemminkin postikortin lähettämistä.
  • Seuraa tili- ja korttitapahtumiasi. Tarkasta tilausvahvistuksesi, luottokorttilaskusi ja tiliotteesi heti, kun saat ne ja varmista, että sinua veloitetaan vain tapahtumista, jotka olet itse tehnyt. Jos huomaat virheitä tai epäilyttäviä tapahtumia tiedoissasi, ilmoita siitä heti palveluntarjoajalle.
  • Opasta ystäviäsi, jotta hekin osaavat olla varuillaan.

Luottolaitokset reagoivat ongelmaansa

Pankit, luottolaitokset ja suuret yritykset ovat perustaneet kansainvälisen antiphishing-verkoston tiedottamaan ja torjumaan ilmiötä. Verkoston julkistaman raportin mukaan yksin toukokuussa 2004 verkossa oli liikkeellä 1 197 erilaista phishing-viestiä. Kasvu tammikuusta 2004 on lähes 700 prosenttia. Suosituimpia imitaatiokohteita ovat Citybank, eBay, U.S. Bank sekä Paypal. Joulukuussa 2004 Nordea varoitti phishing-viestien kohdistumisesta myös pohjoismaisten yritysten verkkopalveluihin.

Linkkejä

Phishing-esimerkkiviesti

Suomen pankkiyhdistyksen julkaisema varoitus verkkohuijareista
Nordean ohjeet Phishing-huijausten välttämiseksi
Keskusrikospoliisi varoittaa luottokorttihuijareista

Testaa onko selaimesi haavoittuvainen aukolle
Testaa tunnistatko Phishing-viestit
Mail Frontier yrityksen tekemä tutkimus Phishing-viestien tunnistamisesta
Tietoturvayhtiö Netcraft julkaisi selaimeen lisäosan, jolla on mahdollista tutkia onko sivu aito vai phishing-sivu

Lisätietoa phishing-huijauksista: http://www.antiphishing.org/
Verkkohuijjauksia seuraava verkkosivu FraudWatch
Yhdysvalloissa 2004 puolenmiljardin vahingot erilaisista verkkohuijauksista
Elias Levy, Ivan Arce; Interface Illusions
Tietoturvuyhtiö NGS:n phishingiä käsittelevä opas

© Liikenne- ja viestintäministeriö 2005