Työelämä

Varo tiedon urkkijaa netissä

Tietoturvahyökkäyksiltä on kohtuullisen helppoa suojautua, kun muistaa joitakin perusasioita ja käyttää harkintakykyä linkkien klikkailussa ja tietojensa luovuttamisessa.

| Teksti: Kirsi Väisänen | Kuva: Petri Mast

Tavallinen tietohuijaus etenee niin, että rikollinen lähettää sähköpostitse tietojenkalasteluviestin. Vastaanottaja klikkaa viestin linkkiä, jonka päässä kysytään käyttäjätunnusta ja salasanaa. Haltuunsa saamillaan tunnuksilla rikollinen pääsee seuraamaan esimerkiksi yrityksen laskutusliikennettä ja vaihtamaan asiakkaille meneviä viestejä tilitietoineen.

Edellinen esimerkki on Kyberturvallisuuskeskuksen sivuilta. Kyseinen taho on vastikään varoittanut myös tekstiviestihuijauksista, joilla houkutellaan niin sanottuun tilausansaan eli tilaamaan viestin pohjalta jotain, mitä ei ymmärtänyt tilaavansa. Usein kyse on ollut kuukausimaksullisesta palvelusta.

Viestit näyttävät, että ne tulisivat joltakin tunnetulta, kuluttajapalveluita tarjoavalta yritykseltä, mutta viestin linkki johtaa huijaussivustolle. Viestejä on lähetetty viime aikoina esimerkiksi Postin, Gigantin, Finnkinon ja Sokoksen nimissä.

Mieti ennen kuin klikkaat

Suomalaiset ovat tunnetusti melko sinisilmäistä väkeä ja saattavat liikaakin luottaa kanssaihmisiin, mutta meillä on yksi etu, joka on auttanut tunnistamaan kansainväliset rikolliset.

– Suomen kielen harvinaisuus suojaa meitä tietojen kalastelulta. Kun nettisivun kieliasussa tai sähköpostiviestissä on tökeröjä virheitä, lukijan on helppo tunnistaa huijausyritys.

Näin toteaa tietoturva-asiantuntija Iiro Uusitalo Solita Oy:stä. Valkohattuhakkeriksikin nimitetty mies testaa työkseen yritysten tietoturvan vahvuutta, mutta tuntee myös kansalaisten tietoturvahaasteet internetin käyttäjinä.

– Maalaisjärjellä pärjää tietoturva-asioissa pitkälle, sanoo Uusitalo. Ei pidä luottaa sellaisiin viesteihin, että olet voittanut IPhone-kännykän eurolla tai että komea jenkkisotilas on rakastunut palavasti sinuun Facebookissa. Silti ihmiset haksahtavat tällaisiin viesteihin.

Urkintaa tehdään massaviestein

Harvoin yksittäisiin ihmisiin kohdistuu suoraan tietoturvahyökkäyksiä. Yleensä sähköpostiosoitteita ja tunnuksia kalastellaan massaviesteinä. Näin tavoitellaan rahaa tai tietoja. Identiteettivarkaudetkaan eivät ole harvinaisia. Huonossa tapauksessa rikollinen käyttää nettiyhteyttäsi tai identiteettiäsi haitantekoon ja rikolliseen toimintaan.

Kansalaiset töppäilevät luovuttamalla tietoja, mutta myös yritykset saattavat vahingossa vuotaa listoja, joissa on ihmisten tietoja. Tietoja rikolliset voivat sitten käyttää hyväkseen.

Pornokiristysviestit ovat tyypillinen esimerkki tavasta lypsää rahaa yksittäiseltä netin käyttäjältä. Kiristys vaikuttaa uskottavalta esimerkiksi siksi, että kiristäjä on voinut saada käyttäjän salasanan tiedokseen aiemmin tapahtuneessa tietovuodossa ja tuo kyseisen käyttäjälle tutun salasanan esille kiristysviestissään, Uusitalo kertoo.

”Salasanaa ei tulekaan muistaa”

Hyvä tapa suojautua tietomurroilta on päivittää koneen tietoturvaa. Tietoturvapäivityksiä tehdään siksi, että järjestelmistä on mahdollisesti löytynyt jokin tietoturvaongelma. Päivityksessä ongelma on ratkaistu, ja siksi päivitys suojaa havaitulta uhkalta.

Monimutkainen salasana turvaa palvelun käyttäjää hyvin, mutta jokaisessa palvelussa tulisi käyttää eri salasanaa. Silloin vuotanutta salasanaa ei voi käyttää ristiin esimerkiksi työpaikan sähköpostissa ja Facebookissa.

Monesti käyttäjiä ohjataan luomaan pitkiä ja erilaisia merkkejä sisältäviä salasanoja. Eikö useita vahvoja salasanoja ole ihan mahdotonta muistaa?

– Ei salasanaa tulekaan muistaa, itse en muista yhtäkään salasanaa. On suositeltavaa käyttää salasanan hallintajärjestelmää, jossa salasana tuotetaan salasanageneraattorin avulla, neuvoo Uusitalo.

Tarjolla on sekä maksuttomia että maksullisia salasanajärjestelmiä, jotka ladataan kännykkään tai tietokoneelle. Muistettavia salasanoja on tällöin vain yksi. Esimerkiksi maksuttomaan F-Securen salasanaohjelmaan voi tallentaa salasanat, kirjautumistunnukset, sähköpostiosoitteet, PIN-koodit ja luottokortti- ja verkkopankkitunnukset.

Käytä turvallista yhteyttä

Monella on tarve työskennellä muualla kuin varsinaisessa työpaikassa. Yritykset käyttävät tällöin yhteyden suojaamiseen yleensä VPN-yhteyttä.

Myös puhelinoperaattorin mobiiliyhteyden käyttäminen on Uusitalon mukaan turvallista. Sen sijaan tuntemattomia wifi-verkkoja ei tulisi käyttää. Näitä ovat muun muassa lentoasemien ja VR:n verkot. Suomessa yleensä mobiiliyhteydet ovat niin hyvät, että tarvetta wifi-verkkojen käyttämiseen ei olekaan.

– Myös kotona työskentely suljetun wifi-verkon kautta on turvallista, kun käytetään salasanaa wifi-verkossa. Työpaikan sääntönä voi olla käyttää VPN-yhteyttä kotityöskentelyssäkin. It-tuki osaa arvioida, voivatko työntekijät tehdä etätöitä ja millä yhteydellä.

Uusitalo muistuttaa turvallisen salasanan käyttämisestä myös kotona.

– Oletussalasana on syytä vaihtaa kaikista reitittimistä ja wifi-verkoista. Oletuksena voi olla esimerkiksi 1234 tai admin/admin. Nämä salasanat voidaan murtaa helposti kokeilemalla. Palveluntarjoajat antavat nykyisin yleensä valmiin monimutkaisemman salasanan, joka lukee wifi-laitteen kyljessä. Päästäkseen murtautumaan yhteyteen rikollisen pitäisi siis murtautua ensi kotiin nähdäkseen laitteen salasanan.

Viestin voi salata

Organisaatioiden viestiliikenteessä kulkee usein salattavaa tietoa: henkilörekistereitä, taloustietoja, asiakastietoja ja erilaisia tunnuksia. Helppo tapa suojata viestejä on käyttää salaavaa pakkaustyökalua ja käyttää viestin osien lähettämisessä eri työkaluja. Varsinaisen tiedoston voi lähettää sähköpostissa ja tiedoston avaamisen tarvittavan salasanan eri reittiä tekstiviestillä tai WhatsAppilla.

Noudata huolellisuutta tietojen käsittelyssä

Työpaikalla on yleensä arkaluontoisen tiedon käsittelystä säännöt, joilla estetään ulkopuolisten pääsy tietoihin. Sääntöjä on hyvä kerrata työntekijöiden kanssa.

Tietojen urkinnan lisäksi yritysten koneita voidaan kaapata. Jos kiristys- tai muu haittaohjelma lukitsee tiedostosi tai ne korruptoituvat, tiedot voidaan palauttaa käyttöön varmuuskopioiden avulla. Muista siis ottaa säännöllisesti varmuuskopioita tiedostoistasi.

 

Kuvassa on tietoturva-asiantuntija Iiro Uusitalo.

Huijarit kuriin -sivusto, Kyberturvallisuuskeskus: Näin suojaudut nettihuijaukselta

Kilpailu- ja kuluttajavirasto: Jos tulit huijatuksi

 

Mitä mieltä? Kommentoi!

Täytä kaikki kentät. Sähköpostiosoitettasi ei julkaista.

Tilaa uutiskirje