Tietojen kalastelu on eräs ilmentymämuoto käyttäjän manipuloinnista (social engineering) jossa käyttäjä huijataan uskomaan että viestin lähettäjä tai vastaava taho edustaa jotain entuudestaan luotettavan statuksen saanutta yhteisöä tai yritystä ja käyttäen tätä luottamusta yrittää urkkia tietoonsa käyttäjätunnuksia, salasanoja sekä muita henkilökohtaisia tietoja. Näitä tietoja voidaan sitten käyttää myöhemmin väärin muissa yhteyksissä.
Käytännössä tämä on helpoiten esitetty esimerkin kautta. Tietojen kalastelija lähettää Elisan nimissä Elisan asiakkaan kolumbus.fi-päätteiseen sähköpostiin seuraavanlaisen viestin:
code:
Lähettäjä: aspahemmo@ellsa.fi
Vastaanottaja: asiakas.esimerkki@kolumbus.fi
Aihe: Kiireellinen yhteydenotto
Hei Elisan sähköpostikäyttäjäasikas,
tietosi voivat olla vaarantuneet ja osaksi turvallisuutemme haluamme sinä vaihtaa
sähköpostisalasanaasi. Voit joko vastata tietosi tähän viesti tai käyttää seuraavaa
linkitystä
Salasana vaihto
code:
Vastaamalla tämä viestiin kerro seuraavat tietosi:
Nimi:
Sähköposti:
Salasana:
Sosiaaliturvatunnus:
Luottokortin numero:
Luottokortin turvaluku:
Luottokorttitietoja käytetään vain tunnistamiseksi.
Terveisin Elisan Saunalahti Kolumbus-sähköposti tietoturvatiimi
Esimerkki on tökerö tarkoituksella, mutta käytetään sitä esimerkkinä tarkempaa analysointia varten.
- Kirjoitusvirheet sekä huono suomenkieli. Vaikka meillä asiakaspalvelussa ja Elisalla yleisestikin joskus voi joku kirjoitusvirhe päästä vahingossa läpi, ei kuitenkaan esimerkin kuvaamissa määrin, huijaus viesteissä tämä on itseasiassa varsin yleistä
- Lähettäjän osoite. Lähettäjä on koittanut peitellä todellista lähettäjää varaamalla itselleen jotenkuten nopealla vilkaisulla oikealle näyttävän osoitteen ja lähettää siitä viestiä, kuitenkaan tuossa ei kaikki täsmää kun tarkemmin katsoo
- Salasana. Elisa ei ikinä pyydä sinulta salasanaasi vastauksena sähköpostiin emmekä ohjaa sinua muutenkaan muualle kuin OmaElisaan vaihtamaan salasanaasi. Jos viet hiiren tuon "Salasana vaihto" linkin päälle (tai mobiililaitteella painat sitä sormella pitkään), näet mihin tuo linkki on ohjaamassa, yleensä näiden takana
- Maksukorttitiedot. Luottokortin tietoja tai verkkopankkitunnuksia tai muitakaan vastaavia henkilökohtaisia tietoja ei tule ikinä luovuttaa kenellekään ulkopuoliselle
- Sanavalinnat. Sosiaaliturvatunnus esimerkiksi jäi historiaan jo 1971 vuonna kun alettiin käyttää henkilötunnusta, vaikkakin tuo sana yhä puhekielessä on säilynyt henkilötunnuksesta puhuttaessa
- Allekirjoituksessa koitetaan luoda turvallisuuden tunnetta mahdollisimman hienolla tittelillä tai muulla vastaavalla (kuten tietoturvatiimi)
- Kiireellisyyden tuntu. Viestissä luodaan uhkakuvaa ja kiireellisyyden tuntua joilla koitetaan huijata asiakas tekemään hätiköity päätös ilman tarkempaa sisällön tarkistelua
Muut tietojenkalastelut
Sähköpostin ja pikaviestimien ohella tietoja voidaan koittaa kalastella myös muita reittejä pitkin.
Moni on varmasti netissä kohdannut esimerkiksi "arvontoja" joissa sinut on valittu IP-osoitteesi perusteella mahdollisesti voittamaan tuliterä uutuuspuhelin vain yhden euron hinnalla. Näissä on monesti kyseessä tilausnansa sekä tietojen kalastelu yhdistettynä. Sen ohella että epäselvät ehdot ja pikkupräntit sitovat sinut maksulliseen kuukausitilaukseen määräaikaisella sopimuksella, saadaan sinun tiedot kalasteltua rekisteriin.
Ulkomaisesta puhelinnumerosta saattaa tulla puhelu jossa toinen osapuoli ei kuule sinua kovin hyvin ja koittaa saada sinut kertomaan nimesi sekä vastaamaan johonkin kysymykseen myöntävästi, tämän myötä puhelutallenne voidaan muokata sellaiseksi että oletkin hyvinkin tietoisen oloisena tehnyt kalliin tilauksen tuotteesta tai palvelusta mistä et ole kuullutkaan tai mitä et halua. Toinen vaihtoehto näissä on että puhelu onkin lyhyt johon et kerkiä vastaamaan ja takaisinsoittamalla puhelun veloitus onkin huomattavan suuri.
Valelaskuja lähetellään myös aika-ajoin. Näissä on joko jo olemassaolevan mahdollisen laskuttajan nimi mutta rikollisen maksutiedot tai vaihtoehtoisesti sinulle vain tulee lasku palvelusta mitä et ole edes tilannut ja rikollinen toivoo sinun vain maksavan laskun sen suuremmin ihmettelemättä. Aina kannattaakin tarkistaa laskun aitous ja lähettäjä ennen kuin laskua lähtee maksamaan.
Yhtenä vaihtoehtona on myös kiristys. Rikollinen voi saada ujutettua haittaohjelman laitteellesi jonka avulla esimerkiksi tietokone saadaan lukittua pois käytöstä ellet suostu ehtoihin, tai vaihtoehtoisesti sinusta esitetään olevan arkaluontoista materiaalia (esimerkiksi videota siitä kun olet vieraillut aikuisviihdesivustolla) ja tämä uhataan levittää mikäli et suostu maksamaan kiristettyä summaa. Missään näistä tapauksista ei tuota tule maksaa, sillä maksaminen ei anna mitään takeita laitteen lukituksen poistosta tai mahdollisen materiaalin hävittämisestä. Mikäli rikos on tapahtunut tai on oletettavaa että sellainen olisi tapahtunut, kannattaakin ennemmin kääntyä poliisin puoleen.
Suojautuminen
Miten siis suojautua tietojen kalastelulta? Valitettavasti mitään sataprosenttisen varmaa konstia ei ole tarjota, ainoa tapa millä tietojen kalastelulta voi suojautua on valveutuneisuus. Tietoturvaohjelmistot eivät pysty estämään käyttäjää luovuttamasta tietojaan epämääräisiin paikkoihin ja nimenomaan tähän koko käyttäjän manipulointi perustuu eli luotetaan siihen että ihmisiä saa huijattua. Tästä syystä ainoa tapa varmistaa suojaa huijauksilta on levittää ymmärrystä huijauksista. Tee siis sinä samoin ja kerro vinkkejä jakoon sekä tänne että lähipiirillesi, mitä enemmän ihmiset kuulevat vinkkejä ja esimerkkitapauksia, sitä paremmin he oppivat varomaan huijauksia!
