Blogit

Toimittaja

Sähköpostihuijaaminen – helppoa, halpaa ja erittäin yleistä

Sähköpostihuijaus-kuva
#JAMK #JYVSECTEC #Käyttäjänmanipulointi #Kyberturvallisuus #OleTietoinen #POLAMK #Sähköpostihuijaus #SocialEngineering

Maailmalla lähetetään ja vastaanotetaan joka hetki valtava määrä sähköpostia, sillä sähköposti on edullinen ja tehokas viestintätyökalu. Kaiken asiallisen sähköpostiviestinnän joukkoon ovat löytäneet tiensä myös rikolliset harhautus- ja huijausviestiensä kera.

Sähköpostihuijauksissa rikollisen tavoitteena on harhauttaa viestin vastaanottajaa tekemään toimenpiteitä omia rikollisia tarkoitusperiään varten. Sinnikkäimmät huijarit ovat taitavia käyttämään hyväksi uhreilta eri lähteistä onkimiaan tietoja ja kehittelemään erilaisia uskottavia tarinoita keräämänsä taustatiedon varaan. Osa huijauksista on taidokkaasti tehtyjä ja aidolta viestiltä vaikuttavia, osa taas niin huonoja ja tökerösti laadittuja, että vastaanottajaa suorastaan huvittaa.

Hakuammunnalla toteutettuja jättijakeluita ja tarkoin kohdennettuja viestejä.

Tökeröimmät sähköpostihuijaukset lähetetään määrällisesti suurina massaposteina. Niiden lähettäjä on vastaanottajalle entuudestaan tuntematon. Nämä viestit tunnistaa useimmiten siitä, että ne sisältävät silmiinpistäviä kirjoitusvirheitä ja ovat kieliopillisesti kankeita. Massapostien kehnosta laadusta huolimatta aina löytyy joku, joka reagoi ja menee lankaan.

Edistyneimmille ja tarkemmin personoiduille huijaussähköposteille on puolestaan ominaista, että viestin lähettäjä näyttäytyy vastaanottajalle tuttuna osapuolena kuten esimerkiksi työtoverina, toimitusjohtajana tai palveluntarjoajana. Viestissä käytetty otsikointi on vastaanottajaan vetoavaa ja ajankohtaista. Lisäksi viestin sanoma vaikuttaa luontevalta ja uskottavalta aina allekirjoitusta myöten.

Kun pomo kerran käskee, silloin on paras toimia viipymättä.

Painostus, stressin aiheuttaminen, tunteisiin vetoaminen – muun muassa näillä keinoilla rikolliset voivat saada uhrinsa käyttäytymään irrationaalisesti. Avulias, paineistunut tai jopa hätääntynyt ihminen ei toimi aina järkevästi ja voi sokeutua selkeillekin huijauksen merkeille. Huolellisesti laaditun huijaussähköpostin ansaan kapsahtaminen ei ole tyhmyyttä, vaan inhimillistä.

Vaikka itsellä hallussa olevat tiedot eivät tuntuisikaan arvokkailta, kannattaa pysähtyä pohtimaan mitä tavoittelemisen arvoista kauttasi voisi olla. Entä jos varsinaisen huijauksen kohde onkin edustamasi organisaatio tai hyvä ystäväsi – et juuri sinä? Sähköpostitilejä itselleen kaappaamalla huijarit voivat rauhassa seurata tapahtuvaa kirjeenvaihtoa, perehtyä kohteensa viestintä- ja toimintatapoihin sekä mallintaa ne uskottaviksi rikoksenteon välineiksi. Postien sisältöjen lisäksi väärennetään liitteenä kulkevia laskuja ja muutetaan aidoilta näyttävien laskujen tilinumeroita. Huijaussivustoille johtavia linkkejä ja haittaohjelmia sisältäviä liitteitä esiintyy tämän tästä huijauspostien yhteydessä.

Paras tapa suojautua huijauksilta, on tunnistaa minkälaisia taktiikoita huijarit oman etunsa saavuttamiseksi käyttävät.

Huijauspostit voivat sisältää  ”vain sinä voit auttaa” -pyyntöjä, jotka liittyvä rahan siirtoihin tai lähettämiseen. Tavallisia, ”jos et heti toimi niin käy huonosti” -aikapaineen sisältämiä huijaussähköpostien toimenpidekehotuksia ovat esimerkiksi järjestelmän ja salasanan päivityskehotukset. Viestissä voi olla uhkaus, että jokin käyttämäsi palvelu lakkaa toimimasta, mikäli viestissä olevia toimenpiteitä ei suoriteta. Yleinen huijausyritys on myös ilmoittaa, että jonkin käyttämäsi palvelun palveluehdot ovat muuttuneet ja vaativat pikaisia toimenpiteitä.

Keinoja joilla vaikeuttaa rikollisten työtä ja suojautua sähköpostihuijausyrityksiltä

  1. Älä levitä tai julkista esim. somessa organisaatiostasi, itsestäsi tai läheisistäsi sellaisia tietoja, joista rikolliset voivat hyötyä
  2. Tee uskottavilta vaikuttavien, mutta normaalista toiminnasta poikkeavien sähköpostipyyntöjen varmistus puhelimitse
  3. Tuntuuko, että jokin viestissä epäilyttää? Lähettäjä, vastaanottajajoukon kokoonpano, sisältö, liite tai linkki – pysähdy hetkeksi pohtimaan, eikö jokin tekijä sovi normaaliin viestintäkuvioon
  4. Älä tee kiireessä klikkauksia tai päätöksiä joita et voi perua, jos jokin vaikuttaa tai tuntuu epäilyttävältä – luota sisäisten hälytyskellojen ääneen, sillä kyseessä voi todella olla huijausyritys

Yllä mainittujen seikkojen lisäksi ole varovainen käyttäessäsi julkisia tietokoneita ja verkkoja. Huolehdi langattomien verkkojen suojaamisesta, ja että laitteellasi on palomuuri ja ajantasainen viruksentorjuntaohjelma. Käytä palveluihin kirjautuessasi vahvoja salasanoja ja/tai kaksiosaista tunnistautumista. Pidä myös järjestelmien ja ohjelmien päivitykset ajan tasalla.

Lue seikkaperäiset sähköpostihuijauksen tunnusmerkit Sähköpostihuijaus-infokortista. Tutustu myös muuhun CYBERDI.FI-sivujen antiin – digimaailmassa on helppoa toimia turvallisemmin omaa tietoturvaosaamista  kasvattamalla.

– Kirsi Heiskanen, asiantuntija, Jyväskylän ammattikorkeakoulu, IT-instituutti/CYBERDI-projektin projektipäällikkö

—————–

Teksti on laadittu osana #OleTietoinen-tietoisuuskampanjaa. Kampanjoinnin toteutuksesta vastaavat Jyväskylän ammattikorkeakoulun ja Poliisiammattikorkeakoulun CYBERDI-projektin asiantuntijat. Digitaalisen maailman turvallisuuden kasvattamiseen tähtäävä #OleTietoinen-kampanjointi jatkuu aina vuoden 2021 lopulle saakka.

Takaisin ylös Siirry takaisin sivun alkuun