Tietojenkalastelu (engl. Phishing) on huijausmenetelmä, jossa rikollinen esiintyy luotettavana tahona, kuten pankkina tai viranomaisena, ja yrittää saada uhrin luovuttamaan arkaluonteisia tietoja. Tämä tapahtuu usein sähköpostitse, tekstiviestillä (smishing) tai puhelimitse (vishing) lähetettyjen viestien kautta, jotka ohjaavat väärennetylle verkkosivulle. Se on yksi yleisimmistä kyberuhista, aiheuttaen Suomessa vuosittain kymmenien miljoonien eurojen vahingot.
Tarkempi kuvaus
Tietojenkalastelu (engl. Phishing) on kyberhyökkäyksen muoto, jossa rikollinen yrittää huijata uhria luovuttamaan arkaluonteisia tietoja, kuten käyttäjätunnuksia, salasanoja, luottokorttinumeroita tai verkkopankkitunnuksia. Hyökkäys perustuu tekeytymiseen; huijari esiintyy luotettavana tahona, kuten pankkina, viranomaisena, postipalveluna tai tunnettuna yrityksenä, ja lähettää uhrille viestin, joka näyttää aidolta.
Ominaisuudet ja menetelmät
Tietojenkalastelun ytimessä on luottamuksen väärinkäyttö ja kiireen tunnun luominen. Viestissä voidaan esimerkiksi väittää, että uhrin tili on lukittu, paketti on jäänyt tulliin tai hänellä on maksamaton lasku, joka vaatii välitöntä toimenpidettä. Viestin tavoitteena on saada uhri klikkaamaan linkkiä tai avaamaan liitetiedosto.
Yleisimmät tietojenkalastelun kanavat ovat:
- Sähköposti (Phishing): Perinteisin muoto, jossa lähetetään massoittain sähköposteja, jotka näyttävät tulevan luotettavasta lähteestä.
- Tekstiviesti (Smishing): Tietojenkalastelua tekstiviestitse. Viestit voivat olla erityisen tehokkaita, koska ihmiset luottavat tekstiviesteihin usein sähköposteja enemmän.
- Puhelu (Vishing): Huijari soittaa uhrille ja esiintyy esimerkiksi pankin turvallisuusosaston työntekijänä tai poliisina.
- Hakukoneet: Rikolliset voivat optimoida huijaussivustojaan niin, että ne nousevat hakukonetulosten kärkeen. Uhri luulee menevänsä esimerkiksi verkkopankkinsa sivuille, mutta päätyykin huijaussivustolle.
Linkki johtaa tyypillisesti väärennetylle verkkosivulle, joka on ulkoasultaan identtinen aidon sivuston kanssa. Kun uhri syöttää tunnuksensa tälle sivulle, tiedot päätyvät suoraan rikollisten haltuun.
Sovellusalueet ja edut (hyökkääjälle)
Tietojenkalastelu on tehokas tapa päästä käsiksi arvokkaisiin tietoihin. Varastetuilla verkkopankkitunnuksilla voidaan tyhjentää uhrin tilit. Sähköpostitunnuksilla voidaan päästä käsiksi uhrin muihin palveluihin salasanan palautustoiminnon kautta tai lähettää huijausviestejä uhrin nimissä hänen yhteystiedoilleen. Yritysten työntekijöihin kohdistetuilla hyökkäyksillä voidaan saada jalansija yrityksen sisäverkkoon, mikä voi johtaa laajempaan tietomurtoon tai kiristyshaittaohjelman levittämiseen.
Haasteet ja nykytila
Tietojenkalastelu on yksi yleisimmistä ja taloudellisesti vahingollisimmista kyberuhista Suomessa. Vuonna 2024 tietojenkalasteluhuijausten määrä kasvoi 161 % ja ne aiheuttivat 31,9 miljoonan euron menetykset.
Tekoäly on tehnyt huijausviestien tunnistamisesta vaikeampaa. Siinä missä aiemmin kielivirheet paljastivat usein huijauksen, nykyään generatiivinen tekoäly tuottaa kieliopillisesti virheetöntä ja luontevaa tekstiä, mikä tekee viesteistä entistä uskottavampia. Myös huijaussivustot ovat usein pikselintarkkoja kopioita aidoista sivuista, ja ainoa ero voi olla pieni muutos verkkosivun osoitteessa.
Tulevaisuuden näkymät
Tulevaisuudessa tietojenkalastelu muuttuu yhä kohdennetummaksi. Niin sanotussa keihäänkalastelussa (spear phishing) hyökkäys räätälöidään yksittäiselle henkilölle tai pienelle ryhmälle hyödyntäen heistä kerättyä tietoa. Tekoäly voi automatisoida tämän prosessin, analysoimalla sosiaalisen median profiileja ja muuta julkista tietoa luodakseen äärimmäisen vakuuttavia ja henkilökohtaisia huijausviestejä. Tämän vuoksi on entistä tärkeämpää noudattaa perussääntöä: älä koskaan kirjaudu palveluihin sähköpostissa tai tekstiviestissä tulleen linkin kautta, vaan kirjoita osoite aina itse selaimen osoiteriville tai käytä palvelun virallista mobiilisovellusta.