Huijauspuhelut eli vishing ovat tapa, jolla huijarit ja verkkorikolliset pääsevät käsiksi henkilökohtaisiin tietoihisi, vievät rahasi tai saavat sinut asentamaan haittaohjelmia laitteellesi. Opi tunnistamaan uhat ja välttämään huijauspuhelut.
Mitä on vishing?
Huijauspuhelut ovat petoksia, joiden tavoitteena on päästä käsiksi luottamuksellisiin tietoihin, kuten käyttäjätunnuksiin, salasanoihin sekä pankki- ja henkilötietoihin. Kyberhyökkääjät voivat muun muassa kohdistaa puheluita tiettyyn maanosaan sanoakseen edustavansa paikallista pankkia tai muuta luotettavaa tahoa.
Huijauspuhelut tunnetaan myös termillä vishing, joka tulee englanninkielisistä sanoista voice
ja phishing
. Suomen kielessä phishing tunnetaan myös tietojenkalasteluna. Lankapuhelimet ja kiinteät laajakaistat ovat perinteisesti olleet turvallisia. Nykypäivän tekniikoilla sekä uhrejaan huiputtamalla kyberhyökkääjät pääsevät helposti käsiksi uhrien luottamuksellisiin tietoihin.
Yleisiin huijausmenetelmiin kuuluvat muun muassa automaattiset IVR-menetelmät (Interactive Voice Response) ja VoIP (Voice over Internet Protocol). VoIP:n avulla hakkerit pystyvät helposti väärentämään puhelinnumeron tai soittajan tunnuksen. Tuntemattomia puhelinnumeroita voi olla vaikea jäljittää, minkä vuoksi huijauksen uhriksi voi päätyä helposti.
Huijarit voivat saada haltuunsa uhriensa puhelinnumeroita esimerkiksi etsimällä niitä tietomurron seurauksena vuodetuista tiedoista. Myös tietojenkalastelu on verkkorikollisten tapa saada haltuunsa ihmisten puhelinnumeroita. Jos tietojenkalastelun kohde suostuu luovuttamaan numeronsa ventovieraalle, hän on luultavasti myös helpommin huijattavissa puhelimitse.
Vaikka huijauspuheluiden estäminen kokonaan ei ole helppoa, niiden ehkäisemiseksi on joitain keinoja. Ensiksi voit asettaa puhelinnumerosi salaiseksi, jolloin sitä ei löydy numeropalveluista. Vishing-huijauksia on mahdollista ehkäistä myös harkitsemalla tarkkaan, kenelle ja mihin tarkoitukseen numerosi luovutat. Jotta hallussasi olevat muiden puhelinnumerot eivät joutuisi vääriin käsiin, anna puhelimesi sovelluksille pääsy yhteystietoihisi vain välttämättömissä tapauksissa.
4 tapaa tunnistaa huijauspuhelut
Huijauspuhelu on mahdollista tunnistaa ennen kuin vahinkoa on ehtinyt tapahtua. Olemme koonneet neljä huijauspuheluiden yleistä ominaisuutta, jotka auttavat tunnistamaan huijauksen.
1. Sinua kehotetaan kertomaan yksityistä tietoa. Kyse voi olla pankkitunnuksista, osoitteista, syntymäajasta, käyttäjätunnuksista tai sosiaaliturvatunnuksesta. Jos epäilet antaneesi taloudellisia tietoja, kuten pankkitunnuksesi tai maksukortin numeron, huijareille, ole välittömästi yhteydessä pankkiisi ja raportoi huijauksesta Liikenne- ja viestintävirasto Traficomiin.
2. Epätoivoinen kiire. Huijarit pelaavat tunteillasi ja haluavat saada sinut toimimaan nopeasti ilman seurausten harkitsemista. Soittaja saattaa uhata käyttäjätilin sulkemisella, vaikka sellaista tapahtuu käytännössä hyvin harvoin. Aina tällaisen puhelun tai viestin saadessasi pysähdy ja mieti, onko kyseessä todellinen hätä.
3. Soitto viranomaisilta. Verohallinnon, Kansaneläkelaitoksen tai hoitolaitosten kaltaiset viralliset tahot soittavat sinulle harvoin pyytämättä, joten kyse on usein huijauspuhelusta.
4. Hiljaisuus. Puhelu kestää vain sekunteja, eikä soittaja sano mitään. Joskus soitto voi olla niin lyhyt, että et edes ehdi vastaamaan siihen. Tavoitteena saattaa olla saada uhri soittamaan takaisin, jolloin puhelu voi olla todella kallis. Jos soittajalla on jotain tärkeä asiaa, hän luultavasi soittaa pian takaisin.
Jos saat puhelun numerosta, jota et tunnista, voit hakea numeron tiedot esimerkiksi Googlen avulla. Suomessa toimii myös useita palveluita ja sovelluksia, joiden avulla on mahdollista selvittää kuka sinua on yrittänyt tavoitella.
Esimerkkejä huijauspuheluista
Sekä yritykset että yksityiset kuluttajat voivat altistua huijauspuheluille. Kyberhyökkääjä voi esimerkiksi päästä käsiksi tietyn yrityksen työntekijän yhteystietoihin ja ottaa häneen yhteyttä väittäen olevansa tämän esihenkilö. Pyydettyään työntekijää maksamaan lasku tai päivittämään ohjelmisto huijari pääsee helposti käsiksi salaisiin tietoihin.
Taitavat kyberhyökkääjät vaihtelevat lähestymistapojaan esimerkiksi vuodenaikojen tai uutisten perusteella. COVID-19-pandemian aikana puhelut, joilla tarjottiin rokotuksia tai virustestejä pankkitietoja vastaan, lisääntyivät huomattavasti. Ohessa seitsemän teemaa, joita huijauspuhelut usein koskettavat.
Viranomaiset
Soittaja vakuuttaa edustavansa valtiota, viranomaista tai muuta luotettavaa auktoriteettia. Kyse voi olla esimerkiksi Kansaneläkelaitoksesta tai Verohallinnosta. Varmistaakseen henkilöllisyytesi soittaja pyytää henkilötietojasi, joita voidaan käyttää identiteettivarkauteen.
Teknisen tuen apu
Huijarit väittävät soittavansa suuren yrityksen IT-osastolta, kuten Microsoftin, Amazonin tai muun paikallisen yrityksen teknisestä tuesta. IT-henkilö kertoo huomanneensa poikkeavaa toimintaa käyttäjätililläsi ja pyytää sähköpostiosoitetta, johon lähettää linkin ohjelmistopäivitykseen. Linkin klikkaaminen ei kuitenkaan kannata, sillä se voi sisältää haittaohjelmia ja viruksia. Yleistä on myös, että soittajat pyytävät etäyhteyttä laitteeseesi. Näin rikolliset saavat laitteesi hallintaansa.
Sijoitus- ja lainatarjoukset
Yksi huijauspuhelun tunnusmerkki on tarjous, joka on liian hyvä ollakseen totta. Sinulle kerrotaan, että pystyt tienaamaan tuhansia euroja uskomattoman helposti. Huijauksen juju on, että sinun täytyy toimia heti. Oikeat sijoittajat ja lainanantajat eivät kuitenkaan anna yllättäviä tarjouksia ventovieraille.
Pankki- tai luottokorttitilin maksuongelmat
Soittaja vakuuttaa olevansa esimerkiksi pankistasi ja kertoo pankkitiliäsi koskevasta ongelmasta tai maksusta, jossa on ilmennyt ongelmia. Puhelinnumero on yleensä salattu tai väärennetty, ja saadaksesi apua sinua kehotetaan kirjautumaan tilillesi. Muista, että pankki tai poliisi eivät kysy puhelimitse luottokorttisi numeroa tai varmistuslukua.
Vakuutus- tai hoitoapu
Jos saat yllättävän puhelun esimerkiksi hoitolaitoksesta tai vakuutusyhtiöstä, voi kyseessä olla huijauspuhelu. Tällaisen huijauksen uhrit ovat yleensä vanhempia ihmisiä, joilla on jonkinlaisia terveysongelmia. Tästä huolimatta myös nuoret ja täysin terveet ihmiset sopivat huijauksen kohteeksi. Kertomalla sosiaaliturvatunnuksesi huijari voi päästä käsiksi hoitoetuihisi tai jopa rahoihisi.
Puhelinmyynti tai kilpailun voitto
Tyypillisessä huijauspuhelussa soittaja kertoo sinun voittaneen kilpailun. Saadaksesi palkintosi digitaalisesti tai fyysisesti sinun täytyy kertoa esimerkiksi sähköposti- tai kotiosoitteesi.
Näin suojaudut huijauspuheluilta
Ei riitä että tiedät, mitä huijauspuhelut ovat ja miten ne toimivat. Sinun täytyy myös tietää, miten toimia puhelun aikana. Tässä listamme vinkeistä huijauspuheluiden käsittelyyn ja ennaltaehkäisemiseen.
Paina punaista luuria
Odottamattoman, epäolennaisen tai asiattoman puhelun tullessa sinulla ei ole velvollisuutta olla kohtelias. Katkaise puhelu ja tutki aihetta itse. Kyberturvallisuus on arvokkaampi kuin riskien ottaminen.
Älä vastaa
Ulkomaalainen, outo tai tuntematon numero voi olla väärennetty, jopa suomalaisella maakoodilla. Soittaja voi jättää ääniviestin vastaajaasi ja voit kuunnella sen myöhemmin, jos asia on tärkeä.
Älä paina numeroita tai vastaa kehotuksiin
Oletko törmännyt kehotuksiin kuten paina 1 tehdäksesi tilaus
tai sano kyllä puhuaksesi hoitajan kanssa
? Älä paina tai sano mitään varsinkaan, jos puhelu tulee tuntemattomasta numerosta. Huijarit voivat käyttää ääntäsi mahdollisiin äänellä ohjattuihin toimintoihin käyttäjätileilläsi.
Varmista henkilöllisyys
Jos jokin suuri yritys on sinuun yhteydessä, voit aina soittaa heidän yleiseen numeroon saadaksesi apua. Sinun ei ikinä tulisi soittaa takaisin tuntemattomiin numeroihin.
Esitä kysymyksiä
Jos soittaja kieltäytyy vastaamasta kysymyksiin, välttelee niitä tai muotoilee vastauksensa oudosti, katkaise puhelu. Koska et ole fyysisessä kontaktissa kyseiseen ihmiseen, sinun on vaikea arvioida tilannetta.
Miten vishing, smishing ja phishing eroavat?
Huijauspuhelu, eli vishing, kuuluu laajemman tietojenkalasteluun liittyvän termin phishing
alle. Tietojenkalastelulla tarkoitetaan tilannetta, jossa huijari yrittää päästä käsiksi luottamuksellisiin tietoihin esimerkiksi sähköpostin tai haitallisten linkin avulla. Huijauspuhelut viittavat puhelimitse tehtyihin huijausyrityksiin ja niitä käytetään yleensä myös laajempien huijauksien yhteydessä.
Myös smishing on eräs yleinen tietojenkalastelun muoto. Smishing tapahtuu tekstiviestien välityksellä, ja tavoitteena on saada uhri vastaamaan tai painamaan viestissä olevaa haitallista linkkiä. Tämän seurauksena uhrin laitteeseen tartutetaan virus tai muu haittaohjelma, kuten troijalainen tai kiristysohjelma.
Kaikilla kolmella yllä mainituilla menetelmillä on yksi yhteinen motiivi: huijari haluaa päästä käsiksi henkilötietoihin, rahaan tai kirjautumistunnuksiin. Huijaukset leikkivät monesti uhrien tunteilla, sillä tavoitteena on saada vastaanottaja reagoimaan äkillisesti.
Huijauspuheluita Suomessa
2020-luvun alussa suomalaiseen kyberturvallisuuskeskukseen raportoitiin lyhyellä aikavälillä useita Microsoftin teknisen tuen huijauspuheluita. Kyseisissä tapauksissa huonoa englantia, usein intialaisella aksentilla, puhuva henkilö soitti ulkomailta väittäen vastaanottajan tarvitsevan Microsoft-päivitystä tai käyttöjärjestelmälisenssin uusimista. Soittaja tarjosi apua asennukseen tai latauksiin esimerkiksi etäkäyttöohjelman kautta. Kyseisen soittokampanjan avulla huijarit pääsivät käsiksi monien suomalaisten tileihin, pankkitietoihin ja muihin luottamuksellisiin tietoihin.
Microsoft ei ole ainoa yritys, jonka nimissä tehdään tai on tehty vastaavanlaisia huijauksia. Jokaisen etätyöläisen olisikin hyvä olla valmistautunut huijauspuheluihin ja muihin huijauksiin, joita tehdään teknisen tuen nimissä. Lue lisää kyberturvallisuudesta ja opi suojaamaan kaikki laitteesi F‑Securen kahdeksalla vinkillä turvalliseen etätyöskentelyyn.
LÄHDE: F-secure.com/artikkelit 11/2022