Tietojenkalastelu (phishing): tunnista ja suojaudu
Phishing = huijausviesti joka yrittää saada sinut luovuttamaan salasanan, luottokorttitiedot tai muita arkaluontoisia tietoja. Tulee sähköpostina, tekstiviestinä tai puhelimitse. Suojautuminen: tarkista lähettäjä, älä klikkaa linkkejä suoraan, käytä MFA:ta, kouluta henkilöstö.
Mitä on phishing?
Tietojenkalastelu (phishing) on huijausmuoto, jossa hyökkääjä esiintyy luotettavana tahona (pankki, Microsoft, posti, työnantaja) ja yrittää saada uhrin:
- Syöttämään salasanan väärennötylle sivustolle
- Avaamaan haittaohjelmaa sisältävän liitteen
- Luovuttamaan henkilö- tai maksutietoja
- Siirtämään rahaa huijarin tilille
Phishing-tyypit
| Tyyppi | Kuvaus |
|---|---|
| Email phishing | Massasähköpostit, yleisin muoto |
| Spear phishing | Kohdennettu tiettyyn henkilöön/yritykseen, tutkittu etukäteen |
| Smishing | SMS-viestillä (tekstiviesti) |
| Vishing | Puhelimitse (voice phishing) |
| Whaling | Kohdistettu johtajiin ja päättäjiin |
Miten phishing-hyökkäys toimii?
- Houkutin: Sähköposti joka näyttää aidolta (pankki, Microsoft, toimittaja)
- Kiireellisyys: "Tilisi suljetaan", "Vahvista tiedot heti"
- Linkki: Vie sivustolle joka näyttää aidolta mutta on väärennös
- Tietojen keräys: Uhri syöttää salasanan/tiedot
- Hyväksikäyttö: Hyökkääjä käyttää tietoja – kirjautuu tilille, varastaa rahaa, asentaa haittaohjelman
Esimerkki: Microsoft 365 -kalastelu
Lähettäjä: Microsoft Security <security@microsoft-account.xyz>
Unusual sign-in activity detected on your account.
Click here to verify your identity: [login.microsoftonline.com.fake-domain.xyz]
Varoitusmerkit: Väärä domain (microsoft-account.xyz, ei microsoft.com). Linkki vie osoitteeseen joka vain näyttää Microsoftilta.
Suojautuminen
Tekninen suojaus
- MFA (monivaiheinen tunnistautuminen): Vaikka salasana vuotaisi, tili pysyy suojattuna
- Sähköpostin suodatus: SPF, DKIM, DMARC, roskapostisuodatus
- Linkki- ja liitesuojaus: Microsoft Defender, Proofpoint
- Salasanojen hallinta: Salasanamanageri tunnistaa väärennökset
Ihmisten koulutus
- Säännöllinen tietoturvakoulutus
- Phishing-simulaatiot (harjoituskalastelut)
- Selkeä ilmoitusprosessi epäilyttäville viesteille
- Kulttuuri jossa on ok kysyä ja ilmoittaa
Prosessit
- Älä koskaan lähetä salasanoja sähköpostilla
- Vahvista maksupyynnöt puhelimitse
- Käytä kirjanmerkkejä tärkeille sivustoille (älä klikkaa linkeistä)
Jos epäilet phishingiä
- Älä klikkaa, älä vastaa
- Tarkista lähettäjän osoite (koko osoite, ei vain nimi)
- Vie hiiri linkin päälle – katso minne vie
- Mene palveluun suoraan (kirjoita osoite itse tai käytä kirjanmerkkiä)
- Ilmoita IT-osastolle tai phishing-ilmoitusosoitteeseen
Jos annoit tiedot
- Vaihda salasana heti – kyseisessä palvelussa ja kaikissa joissa käytät samaa
- Aktivoi MFA jos ei ole päällä
- Tarkista tili: kirjautumishistoria, ohjatut sähköpostit, muutetut asetukset
- Ilmoita IT:lle ja mahdollisesti poliisille
- Jos kyse rahasta: Ota yhteyttä pankkiin välittömästi
Usein kysytyt kysymykset
Miksi saan phishing-viestejä?
Sähköpostiosoitteesi on päätynyt huijareiden listalle (tietovuodot, julkiset lähteet, arvaukset). Phishing on massahyökkäys – hyökkääjä lähettää tuhansia viestejä toivoen, että joku klikkaa.
Auttaako virustorjunta?
Osittain. Moderni virustorjunta voi varoittaa tunnetuista phishing-sivuista. Mutta uudet sivut eivät ole vielä tunnetulla listalla. Ihmisen valppautta ei voi korvata täysin.
Miten koulutan henkilöstöni?
Säännölliset koulutukset + phishing-simulaatiot. Simulaatiot näyttävät kuka klikkaa ja mahdollistavat kohdennetun koulutuksen.
Lue myös
- Tunnista huijausviestit
- Toimitusjohtajahuijaus (BEC)
- Tietoturvakoulutus henkilöstölle
- Apu huijauksiin palveluna →
Haluatko kouluttaa henkilöstösi?
Järjestämme tietoturvakoulutuksia ja phishing-simulaatioita. 70 €/h.
Kysy lisää