Mitä tietojenkalastelu on? 7 Vinkkiä suojautumiseen vuonna 2020

Mitä tietojenkalastelu on? 7 Vinkkiä suojautumiseen vuonna 2020
Evan Porter
TEKIJÄ: Evan Porter
Julkaistu 28. joulukuuta 2019

Jotkut hakkerit käyttävät salamyhkäisiä keinoja, kuten käyttäjän tietokoneen saastuttamista haittaohjelmilla, jotta he pystyvät varastamaan arvokkaita tietoja ja toiset taas pyytävät niitä suoraan. Tätä käytäntöä kutsutaan “tietojenkalasteluksi”, ja se on yksi tehokkaimpia keinoja huijata pahaa-aavistamattomia uhreja.

Tietojenkalastelu on tietoturvarikos, jonka avulla hakkerit pystyvät esiintymään viranomaisina, asiakaspalvelun edustajina tai muina tavallisesti luotettuina lähteinä. Tarkoituksena on varastaa käyttäjän arvokkaimmat henkilökohtaiset tiedot.

Tietojenkalasteluhyökkäykset tapahtuvat yleensä sähköpostin välityksellä, mutta niitä pystyy tekemään myös tekstiviesteillä tai jopa puhelinsoitoilla. Joten miten voi tietää, mikä on aitoa ja mikä huijausta?

Tässä kattava oppaamme tietojenkalasteluhyökkäysten tunnistamisesta, niiltä puolustautumisesta ja siitä mitä pitäisi tehdä, jos on päätynyt kyberrikollisen uhriksi.

Mitä tietojenkalastelu on? 7 Vinkkiä suojautumiseen vuonna 2020

Unsplash

Miten tietojenkalasteluhyökkäykset toimivat?

Vaikka ne voivat esiintyä eri muodoissa, tavallisesti tietojenkalastelun lähtökohtana on se, että rikollinen yrittää huijata käyttäjän tietoisesti antamaan henkilökohtaisia tietoja, kuten luottokorttien numeroita, salasanoja, eri tilien numeroita ja muuta.

Se saattaa vaikuttaa tällaiselta:

Kuvittele, että saat kiireellisen viestin luottokorttiyhtiöltäsi. Tilissä vaikuttaa olevan ongelma, ja se on lukittu turvallisuussyistä.

Sähköposti saattaa kehottaa siirtymään kirjautumissivulle, jossa voi vahvistaa henkilöllisyyden ja poistaa kortin tai tilin lukituksen.

Saattaa olla, että suoritat koko prosessin ymmärtämättä, että sähköposti ja kirjautumissivu ovat epäaitoja ja että olet joutunut tietojenkalasteluhyökkäyksen uhriksi.

Joitakin yleisimpiä kehotuksia tietojenkalastelun sähköpostiviesteissä:

  • Avaa luottokortin tai pankkitilin lukitus
  • Päivitä viralliset yhteystiedot
  • Aloita uudelleen tili tai jäsenyys
  • Vahvista paketin toimituksen vastaanotto
  • Lunasta hyvitys tai maksu
  • Lähetä oma tai jonkun muun veroilmoitus
  • Suorita tilisiirto

Nämä sähköpostit saattavat näyttää siltä että ne olisivat peräisin mistä tahansa aidosta lähteestä; Internet-palveluntarjoajalta, Yhdysvaltojen hallitukselta tai jopa työpaikan pomolta.

Useimmiten viestien sisältämät pyynnöt ovat kiireellisiä (luottokortin tili on lukittu) tai erittäin houkuttelevia (lunasta hyvitys).

Yleensä tietojenkalasteluhyökkäyksiä suoritetaan suurina määrinä, käyttämällä “tietojenkalastelun tarvikesettejä”, tai käyttämällä aidoilta näyttäviä sähköposteja ja verkkosivuja. Rikollinen saattaa esimerkiksi kopioida suositun verkkopankin kirjautumissivun ja muokata sen koodia sellaiseksi, että se lähettää tekijälle käyttäjän kirjautumistiedot niiden syöttämisen jälkeen.

Harvinaisemmissa tapauksissa käyttäjät saattavat joutua mukautettujen tietojenkalasteluhyökkäysten uhreiksi. Tätä kutsutaan “keihäskalastukseksi” ja ne koostuvat yleensä personoiduista sähköposteista, jotka sisältävät tietoja uhrista tai hänen tuntemistaan henkilöistä. Käyttäjä saattaa esimerkiksi saada kiireellisen sähköpostin, joka vaikuttaa tulleen hänen pomoltaan, pyytäen lähettämään kaikkien osaston työntekijöiden veroilmoitukset.

“Valaanpyydystys” on erityisen henkilökohtaista ja kehittynyttä tietojenkalastelua, joka suunnataan erittäin arvokkaisiin kohteisiin, kuten suuryrityksen toimitusjohtajaan.

Miten voi havaita ja ehkäistä tietojenkalasteluhyökkäykset vuonna 2020

Miten voi havaita ja ehkäistä tietojenkalasteluhyökkäykset vuonna 2020

Pixabay

Tietojenkalasteluhyökkäykset voivat olla erittäin pelottavia, erityisesti sen takia koska ne on mahdollista kohdistaa keneen tahansa, ja koska ne on suunniteltu jäljittelemään tavanomaisia päivittäisiä toimia.

Tietojenkalasteluhyökkäyksen uhriksi joutumiseen ei tarvita käyntejä hämärillä verkkosivuilla tai
tiedostojen jakamista torrenttisivustojen välityksellä. Huijaussähköposteja voi helposti löytää omasta sähköpostikansiostaan, ja ne näyttävät tulleen esimerkiksi Amazon:ilta, Netflix:iltä tai verkkopankilta, kehottaen välittömään toimintaan.

Siitä huolimatta, tietojenkalasteluhyökkäyksiä ei ole vaikea tunnistaa, ja ehkäistä, jos tietää mitä etsiä.

Tässä on muutama vinkki suojautumiseen sähköposteja ja muita viestejä läpikäydessä

1. Varo “liian hyvää ollakseen totta” diilejä

Kannattaa kehittää tervettä epäluuloa vastaanotettujen viestien suhteen, erityisesti jos ei henkilökohtaisesti tunne lähettäjää tai viesti on saapunut ennen aikojaan.

Pankissa on tapahtunut virhe sinun eduksesi? Massiivinen hyvitys odottaa Amazon:issa? Odottamaton veronpalautus tulossa?

Nämä ovat isoja varoitusmerkkejä, joihin kannattaa suhtautua varauksella.

Varo myös hyvin kiireellisiä viestejä, jotka vaikuttavat vaativan välitöntä toimintaa ilman suurempia selityksiä.

2. Tarkista URL- ja sähköpostiosoitteet huolellisesti

Eli sait sähköpostin Amazon:ilta, joka kehottaa välittömästi lunastamaan hyvityksen väärästä veloituksesta. Vaikuttaa liian hyvältä ollakseen totta, mutta mitä sille pitäisi tehdä?

Katso tarkasti sähköpostin lähettäjän osoitetta. Vaikuttaako se aidolta?

Jos joku väittää olevansa Amazon:in edustaja sähköpostin välityksellä, sähköpostiosoitteen pitäisi näyttää tältä “[email protected]” tai sisältää aliverkkotunnuksen muunnelma, kuten esimerkiksi asiakaspalvelu.amazon.com

Jos sähköposti tulee verkkotunnuksesta, jossa on pieni kirjoitusvirhe (kuten amazonn.com) tai jos se on lähetetty edelleen verkkotunnuksesta, jonka nimi kuulostaa tunnistamattomalta tai siansaksalta, se on hyvä merkki siitä että kyseessä on tietojenkalastelusähköposti.

Varmista, että siirrät kohdistimen minkä tahansa linkin päälle sähköpostissa, tämän pitäisi paljastaa linkin kohteena oleva URL-osoite. Näiden pitäisi olla tunnistettavia ja sovellettavissa myös lähettäjään.

Älä vieraile verkkosivuilla, joiden URL-osoitetta ei pysty tunnistamaan, äläkä vastaa viesteihin, jotka on lähetetty edelleen verkkotunnuksista, joiden nimet kuulostavat siansaksalta.

3. Vahvista aitous ennen tärkeiden tietojen antamista

On harvinaista, että aito asiakaspalvelu kysyisi täyttä tilinumeroa, täyttä luottokortin numeroa tai muita täydellisiä henkilötietoja. Useimmiten he käyttävät henkilöllisyyden tunnistamiseen osittaisia tietoja (tilin neljää viimeistä numeroa tai katuosoitetta).

Joissain tapauksissa voi kuitenkin todella joutua antamaan enemmän tietoja.

Jos vuorovaikutus vaikuttaa jollakin tavalla epäilyttävältä, yritä jollakin tavalla vahvistaa pyynnön aitous.

Eräs hyvä strategia on soittaa aitoon asiakaspalvelunumeroon, joka on listattu yhtiön verkkosivuilla ja keskustella sen kautta jollekin, tai löytää muita virallisia viestintätapoja, jotka ovat täysin erillään kyseisestä sähköpostiviestistä.

4. Käytä hyvämaineista sähköpostin palveluntarjoajaa

Suurin osa hyvistä sähköpostin palveluntarjoajista vuonna 2020 tarjoaa jonkintasoista suojausta tietojenkalasteluhyökkäyksiä ja muita roskaposteja vastaan.

Esimerkiksi Outlook ja Gmail käyttävät valtavaa datamäärää aikaisemmin raportoiduista huijauksista ja vihamielisistä viesteistä. Ne pystyvät usein pienempiä palveluntarjoajia paremmin suodattamaan pois haitalliset viestit, ennen kuin käyttäjä edes näkee niitä.

Mitä tahansa sähköpostitiliä sitten käytätkään, tutki sen roskapostiasetukset ja jos on tarpeen, kysy asiakaspalvelulta onko heillä suosituksia suojautumiseen tietojenkalastelulta.

5. Suhtaudu epäluuloisesti merkittäviin maailmanlaajuisiin tapahtumiin liittyviin hyväntekeväisyyksiin

Luonnonkatastrofin tai terrori-iskun tapahtuessa huijarit usein luovat valheellisia hyväntekeväisyysjärjestöjä hyötyäkseen hyväntekijöiden sympatioista.

Harjoita aina turvallista sähköpostikäyttäytymistä, mutta ole varuillasi erityisesti silloin kun tapahtuu paljon varainkeruuta, äläkä koskaan anna luottokortin numeroa ellet ole 100% varma että syy siihen on aito.

Jos haluaa lahjoittaa rahaa poliittiseen tai humanitaariseen tarkoitukseen, kannattaa ottaa suoraan yhteyttä luotettavaan organisaatioon.

6. Asenna virustorjuntaohjelma, jossa on suojaus tietojenkalastelulta

Parhaat virustorjuntaohjelmat sisältävät lisäominaisuuksia, jotka auttavat suojautumaan tietojenkalasteluhyökkäyksiltä.

Ne pystyvät täydentämään sähköpostin palveluntarjoajan myöntämää suojausta ja suodattamaan paremmin roskapostit pois käyttämällä laajaa aineistoa aikaisemmin raportuiduista tietojenkalastelutapauksista ja muista hyökkäyksistä.

7. Raportoi mahdolliset tietojenkalasteluhyökkäykset

Suorita kansalaisvelvollisuutesi ja kerro pankille, internet-palveluntarjoajalle ja muille yhtiöille jos heidän nimissään tehdään hyökkäyksiä.

He saattavat ryhtyä turvatoimiin, kuten lähettämään varoituksia tai muokkaamaan kirjautumissivujen suunnittelua, jotta useammat ihmiset pysyvät turvassa.

Päätelmä – Pysy turvassa, pysy epäluuloisena

Tietojenkalasteluhyökkäykset on suhteellisen helppo välttää, jos tietää miten ne toimivat.

Toisin kuin tietokonemato -hyökkäykset tai väsytyshyökkäykset, tietojenkalastelu luottaa siihen että käyttäjä ei ole varuillaan ja antaa tiedot.

Helpoin tapa pysytellä turvassa on olla koskaan antamatta arkaluonteisia tai tärkeitä tietoja verkossa kenellekään, ellei ole 100% varma siitä että he edustavat luotettua lähdettä.

Se on tietysti helpommin sanottu kuin tehty, nykyaikaisten tietojenkalastelijoiden täydellisesti kopioidessa verkkokauppojen maksusivuja, kirjautumissivuja ja muita tärkeitä verkkoportaaleja.

Mutta jos pitää tarkasti silmällä sähköpostien ja URL:ien osoitteita ennen kuin tekee mitään, hyökkäyksen pystyy yleensä tunnistamaan ennen kuin joutuu sen uhriksi.