Uudenlaisena uhkana ensi vuodelle ovat odotettavissa niin sanotut keihäskalasteluhuijaukset (engl. spear phishing), joissa huijari profiloi uhrinsa tekoälyn avulla ja pyrkii saamaan tämän henkilö- ja pankkitietoja haltuunsa. Asia kävi ilmi Elisan medialle järjestämässä kyberturvallisuustilaisuudessa.

– Keihäskalastelu on yritysmaailmassa tuttu. Tätä on kohdennettu usein talousjohtajiin ja toimitusjohtajiin. Nyt on huomattu, että samaa tekniikkaa kohdistetaan myös kansalaisiin, Elisan tietoturvajohtaja Teemu Mäkelä kertoo Iltalehdelle.

Kohdennettuun huijaukseen käytettävät tiedot kerätään verkosta ja muun muassa kohteen sosiaalisesta mediasta. Tekoälyn avulla uhrista saadaan kattava profiili ja huijaus voi koskea hyvinkin arkisia asioita. Huijauksia voidaan tehdä automatiikalla.

– Henkilöistä on laajasti tietoa verkossa, jonne ihmiset ovat vapaaehtoisesti sitä jakaneet. Tiedot voivat myös vuotaa joistain palveluista. Esimerkiksi kiinnostuksen kohteet ja varallisuustilanne yhdistettynä on keino kohdentaa hyökkäystä.

Liian hyviä tarjouksia

Huijauksen kohde voi saada viestin häntä kiinnostavasta tarjouksesta, joka on voimassa rajallisen ajan. Mäkelä huomauttaa, että tällöin on kuitenkin syytä olla tarkkana ja pitää mielessä vanha sääntö: ”Jos tarjous vaikuttaa liian hyvältä ollakseen totta, niin se todennäköisesti ei ole sitä.”

– [Todelliset] Tarjoukset ovat usein voimassa pidempään kuin tunnin. Kiireeseen vetoamiseen on hyvä pysähtyä.

Verkosta eristäytyminen ja sosiaalisen median liika varominen ei kuitenkaan ole Mäkelän mukaan realistinen keino varautua.

– Tällöin eristäytyisit verkosta kokonaan ja harvempi pystyy sitä edes tekemään. Pitää vain varautua siihen, että tietojasi voidaan käyttää sinua vastaan.

Älä tartu kiireeseen

Huijarit pyrkivät sosiaaliseen manipulointiin ja usein luomaan kiireen tunnetta. Kohdennetuissa tietojenkalasteluhyökkäyksissä ihminen voi olla henkisesti uupunut esimerkiksi työpäivästä, eikä kriittinen ajattelu välttämättä ole tällöin vahvimmillaan, erityisesti jos huijarin viesti onnistuu vetoamaan kiinnostuksiin.

Häpeää tästä ei kuitenkaan pidä kantaa.

– Heikko hetki voi koittaa kaikille, Keskusrikospoliisin rikoskomisario Jussi Larvanto totesi tilaisuudessa.

Kriittisintä on jatkossa keskittyä erityisesti kiireeseen vetoaviin viesteihin. Keskusrikospoliisi ohjeistaa varautumaan huijausviesteihin kolmen kohdan säännöllä.

Keskusrikospoliisin kolmen kohdan sääntö huijauksien varalle

  1. Mieti hetki ja epäile kiireen tunnetta
  2. Lue viesti vielä kertaalleen ja ymmärrä, mitä olet varmistamassa
  3. Jos vahinko tapahtuu, ota ensin yhteys pankkiisi ja tee sitten rikosilmoitus poliisille.