Telia.fi etusivulle Telia.fi etusivulle
Uutinen

Kuusi vinkkiä huijausviestien tunnistamiseen

  • 11 October 2023
  • 35 kommenttia
  • 2472 katselukertaa
Kuusi vinkkiä huijausviestien tunnistamiseen
Näytä ensimmäinen kirjoitus

35 kommenttia

Purnipsi
Arvonimi
Käyttäjätaso 7
Kunniamerkki +20

Nyt on puheluita ollut vähemmän, mutta enemmän on tullut kryptohuijareita esimerkiksi Telegramissa. Eräiden suosittujen keskustelukanavien kautta tuntuvat skannaavan käyttäjiä. Tuossa alustassa kun ei voi estää viestejä tuntemattomilta ennen kuin ovat viestin lähettäneet, sitten voi report spam ja block.

Yaria
Arvonimi
Käyttäjätaso 7
Kunniamerkki +13

Tämä huijaus leviää nyt Suomessa
https://www.is.fi/digitoday/tietoturva/art-2000010153890.html

"Turvapostin käyttäminen kalasteluviestin teemana on tehokkaampaa kuin esimerkiksi pankkien tai viranomaisten maineella ratsastaminen. Niistä poiketen aidoissakin turvaposteista kertovissa viesteissä on klikattava linkki. Aidossa viestissä linkki vie varsinaiseen turvapostiin, rikollisessa käytössä petolliselle tunnuksia kalastelevalle sivulle." 
"Kyberturvallisuuskeskus peräänkuuluttaa kaksivaiheista tunnistautumista. Se tarkoittaa, että tunnukset kaapannut rikollinen ei voi tehdä mitään pelkällä salasanalla, koska tili on suojattu ylimääräisellä varmistuksella, kuten puhelimeen tulevalla kirjautumiskoodilla."

"It’s not a bug; it’s an undocumented feature." – Anonymous
E
Arvonimi
Käyttäjätaso 6
Kunniamerkki +8

Liittyyköhän tuohon kun turvaposti.fi ei ole tavoitettavissa tällä hetkellä. Taitaa itänaapuri DDoSsata oikeaa, että ihmiset lankeaa helpommin huijausviesteihin. Pari kertaa olen itse saanut moisen ja tuntuu todella epäturvalliselta ja hankalalta idealta saada linkkejä viesteissä. 

Yaria
Arvonimi
Käyttäjätaso 7
Kunniamerkki +13

Liittyyköhän tuohon kun turvaposti.fi ei ole tavoitettavissa tällä hetkellä. Taitaa itänaapuri DDoSsata oikeaa, että ihmiset lankeaa helpommin huijausviesteihin.

Name resolution ei toimi tällä hetkellä, tai palvelin alhaalla. 🤔Jotain häikkää…

"It’s not a bug; it’s an undocumented feature." – Anonymous
E
Arvonimi
Käyttäjätaso 6
Kunniamerkki +8

Nyt toimii taas. Malliviestin lähettämisen perusteella tuo Turvaposti perustuu vain puhelinnumeroon lähetettävään viestiin eli ei tarjoa juurikaan lisäturvaa. Oikeaa lisäturvaa sähköpostiin toisi joko PGP tai realistisemmin vahvan tunnistautuminen vaatiminen itse viestiä lukiessa.Yleisempiä käyttötarkoituksia Turvaposti listaa mm. terveydenhuollon ja sosiaalihuollon, jota varten ainakin meillä on OmaKannan lisäksi https://www.hyvis.fi/ ja nämä vaativat vahvan tunnistatumisen tekstiviestipelleilyn sijaan. En ollutkaan itse saanut juuri tuon palvelun posteja vaan esim pankit lähettävät linkin omille sivuilleen.

Ei ne tekstiviestit ole yhtään sen salatumpia kuin selväkieliset sähköpostit. Puhelimet ovat vielä astetta helpompia kohteita hakkereillekin kuin tietokoneet ja silloin pääsee lukemaan yleensä sekä sähköposteja että kaikkia muitakin viestejä ja kaksivaihe onkin taas turvaton yksivaihe.

Noitahan on maailmalla tapahtunut vaikka kuinka, että rikolliset onnistuvat hankkimaan uuden SIM kortin liittymälle asiakaspalvelua huijaamalla ja pääsevät käsiksi kaikkiin kaksivaiheviesteihin. Joskus oli legendaa siitä, että vanhalla Nokialla sai jopa väärennettyä numeron niin, että pankkien viestit saapuivat myös rikollisille. Ainakin Saksassa kun nettipankeissa siihen aikaan maksut sun muut vahvistettiin tekstiviestillä eikä vahvalla tunnistaumisella niin vähän väliä sai lukea väärinkäytöksistä.

Yaria
Arvonimi
Käyttäjätaso 7
Kunniamerkki +13

Nyt toimii taas. Malliviestin lähettämisen perusteella tuo Turvaposti perustuu vain puhelinnumeroon lähetettävään viestiin eli ei tarjoa juurikaan lisäturvaa. Oikeaa lisäturvaa sähköpostiin toisi joko PGP tai realistisemmin vahvan tunnistautuminen vaatiminen itse viestiä lukiessa.Yleisempiä käyttötarkoituksia Turvaposti listaa mm. terveydenhuollon ja sosiaalihuollon, jota varten ainakin meillä on OmaKannan lisäksi https://www.hyvis.fi/ ja nämä vaativat vahvan tunnistatumisen tekstiviestipelleilyn sijaan. En ollutkaan itse saanut juuri tuon palvelun posteja vaan esim pankit lähettävät linkin omille sivuilleen.

Ei ne tekstiviestit ole yhtään sen salatumpia kuin selväkieliset sähköpostit. Puhelimet ovat vielä astetta helpompia kohteita hakkereillekin kuin tietokoneet ja silloin pääsee lukemaan yleensä sekä sähköposteja että kaikkia muitakin viestejä ja kaksivaihe onkin taas turvaton yksivaihe.

Noitahan on maailmalla tapahtunut vaikka kuinka, että rikolliset onnistuvat hankkimaan uuden SIM kortin liittymälle asiakaspalvelua huijaamalla ja pääsevät käsiksi kaikkiin kaksivaiheviesteihin. Joskus oli legendaa siitä, että vanhalla Nokialla sai jopa väärennettyä numeron niin, että pankkien viestit saapuivat myös rikollisille. Ainakin Saksassa kun nettipankeissa siihen aikaan maksut sun muut vahvistettiin tekstiviestillä eikä vahvalla tunnistaumisella niin vähän väliä sai lukea väärinkäytöksistä.

Täytyy korjata sen verran, että tuossa mainittu turvaposti ei ole yhtä kuin turvaposti.fi, vaan yleisesti eri turvapostit, joita toteutuksia on useita. Viesti voi olla naamioitu näyttämään joltain turvapostilta, mutta siinä ei luonnollisestikaan ole käytetty mitään tiettyä olemassa olevaa oikeaa turvapostia.

Kaksivaiheisen tunnistautumisen eri tavoista ja tuomasta lisäturvasta esim. tuolta: https://www.f-secure.com/fi/articles/what-is-two-factor-authentication. Samassa eri keinoja joita hyödynnetään myös sen ohittamiseksi. Social engineering tapauksissa tietoturvan heikoin lenkki saattaa olla käyttäjä itse, jota kaksivaiheinen tunnistautuminen ei välttämättä muuta. Mutta missään nimessä ei pidä väittää, ettei se toisi lisäturvaa pelkän salasanan käyttämisen lisäksi.

"It’s not a bug; it’s an undocumented feature." – Anonymous
E
Arvonimi
Käyttäjätaso 6
Kunniamerkki +8

Täytyy korjata sen verran, että tuossa mainittu turvaposti ei ole yhtä kuin turvaposti.fi, vaan yleisesti eri turvapostit, joita toteutuksia on useita. Viesti voi olla naamioitu näyttämään joltain turvapostilta, mutta siinä ei luonnollisestikaan ole käytetty mitään tiettyä olemassa olevaa oikeaa turvapostia.

Kaksivaiheisen tunnistautumisen eri tavoista ja tuomasta lisäturvasta esim. tuolta: https://www.f-secure.com/fi/articles/what-is-two-factor-authentication. Samassa eri keinoja joita hyödynnetään myös sen ohittamiseksi. Social engineering tapauksissa tietoturvan heikoin lenkki saattaa olla käyttäjä itse, jota kaksivaiheinen tunnistautuminen ei välttämättä muuta. Mutta missään nimessä ei pidä väittää, ettei se toisi lisäturvaa pelkän salasanan käyttämisen lisäksi.

Aivan, muistelinkin että olivat nimettyjä turvaposteiksi, vaikka lähettävä taho ja toteutus oli eri. Hölmö käytäntö silti verrattuna siihen, että sähköpostista kerrotaan vaan uudesta lukemattomasta viestistä ja ihan itse pitää mennä sovellukseen tai sivulle lukemaan se vahvan tunnistautumisen jälkeen.

Tiedän kyllä varsin hyvin miten erilaiset tunnistautumiset toimivat ettei tarvitse lukea yhtään mitään lisää aiheesta. Itse olisin pärjännyt varsin hyvin ilman sitä kun en ole vielä kertaakaan onnistunut antamaan edes niitä ensimmäisiä tunnuksia yhtään kenellekään muulle. Toki käytän esim sähköposteissa kunhan sen saa myös olemaan kyselemättä sen perään joka kerta vaan kerta per laite riittää. 

Samoin minulle antivirukset sun muut eivät ole ikinä tuoneet mitään lisäturvaa, kun yksikään niistä muutamasta positiivisesta vuosikymmenten aikana ei ole ollut oikea. Maalaisjärki ja kyynisyys ovat parhaita turvia ihan kaikkia uhkia vastaan kun taas kaksivaiheinen tunnistautuminen ei suojaa siinä vaiheessa kun ihan itse olet antamassa sekä tunnukset että varmistuskoodit rikolliselle. Pikemminkin se voi luoda joillekin valheellisen turvallisuuden tunteen ettei tarvitse enää huolehtia niin tarkkaan. 

Nämä ovat puhtaasti siis omia mielipiteitäni omaan tekniseen tietämykseeni pohjaten. Monelle vähemmän osaavalle siitä taas voi olla paljonkin hyötyä jos käyttää esim samaa 8 merkin salasanaa joka palvelussa ja yhden vuotaessa on jokainen muukin vaarassa. Tai jos klikkaa jokaista Nigerian prinssin lähettämää linkkiä, itse en edes lue roskapostia vaan poistan suoraan koko kansiollisen kerralla, joten en sen tarkemmin tiedä edes mitä ne sisältävät muuten kuin lehtijuttuja lukemalla. Siellä niitä on yleensä kymmenittäin ja jo otsikosta ja lähettäjästä näkee suoraan, ettei ole mitään oikeaa mennyt vahingossa roskiin. 

Yaria
Arvonimi
Käyttäjätaso 7
Kunniamerkki +13

Täytyy korjata sen verran, että tuossa mainittu turvaposti ei ole yhtä kuin turvaposti.fi, vaan yleisesti eri turvapostit, joita toteutuksia on useita. Viesti voi olla naamioitu näyttämään joltain turvapostilta, mutta siinä ei luonnollisestikaan ole käytetty mitään tiettyä olemassa olevaa oikeaa turvapostia.

Kaksivaiheisen tunnistautumisen eri tavoista ja tuomasta lisäturvasta esim. tuolta: https://www.f-secure.com/fi/articles/what-is-two-factor-authentication. Samassa eri keinoja joita hyödynnetään myös sen ohittamiseksi. Social engineering tapauksissa tietoturvan heikoin lenkki saattaa olla käyttäjä itse, jota kaksivaiheinen tunnistautuminen ei välttämättä muuta. Mutta missään nimessä ei pidä väittää, ettei se toisi lisäturvaa pelkän salasanan käyttämisen lisäksi.

Aivan, muistelinkin että olivat nimettyjä turvaposteiksi, vaikka lähettävä taho ja toteutus oli eri. Hölmö käytäntö silti verrattuna siihen, että sähköpostista kerrotaan vaan uudesta lukemattomasta viestistä ja ihan itse pitää mennä sovellukseen tai sivulle lukemaan se vahvan tunnistautumisen jälkeen.

Tiedän kyllä varsin hyvin miten erilaiset tunnistautumiset toimivat ettei tarvitse lukea yhtään mitään lisää aiheesta. Itse olisin pärjännyt varsin hyvin ilman sitä kun en ole vielä kertaakaan onnistunut antamaan edes niitä ensimmäisiä tunnuksia yhtään kenellekään muulle. Toki käytän esim sähköposteissa kunhan sen saa myös olemaan kyselemättä sen perään joka kerta vaan kerta per laite riittää. 

Samoin minulle antivirukset sun muut eivät ole ikinä tuoneet mitään lisäturvaa, kun yksikään niistä muutamasta positiivisesta vuosikymmenten aikana ei ole ollut oikea. Maalaisjärki ja kyynisyys ovat parhaita turvia ihan kaikkia uhkia vastaan kun taas kaksivaiheinen tunnistautuminen ei suojaa siinä vaiheessa kun ihan itse olet antamassa sekä tunnukset että varmistuskoodit rikolliselle. Pikemminkin se voi luoda joillekin valheellisen turvallisuuden tunteen ettei tarvitse enää huolehtia niin tarkkaan. 

Nämä ovat puhtaasti siis omia mielipiteitäni omaan tekniseen tietämykseeni pohjaten. Monelle vähemmän osaavalle siitä taas voi olla paljonkin hyötyä jos käyttää esim samaa 8 merkin salasanaa joka palvelussa ja yhden vuotaessa on jokainen muukin vaarassa. Tai jos klikkaa jokaista Nigerian prinssin lähettämää linkkiä, itse en edes lue roskapostia vaan poistan suoraan koko kansiollisen kerralla, joten en sen tarkemmin tiedä edes mitä ne sisältävät muuten kuin lehtijuttuja lukemalla. Siellä niitä on yleensä kymmenittäin ja jo otsikosta ja lähettäjästä näkee suoraan, ettei ole mitään oikeaa mennyt vahingossa roskiin. 

En laittanut linkkiä kaksivaiheisesta tunnistautumisesta vain sinua varten vaan kaikille tätä ketjua mahdollisesti lukeville jos se ei ole täysin tuttua asiaa, tai jos he haluavat perehtyä enemmän asiaan.

Se mikä toimii tietotekniikkaan ja tietoturvaan perehtyneelle ei välttämättä toimi kaikille. Ketjun tarkoitus on valistaa ihmisiä tunnistamaan eri huijaustekniikoita. Mikään tietoturvatekniikka ei ole 100% varma. Yksittäinen käyttäjä voi itse olla se heikoin lenkki tietoturvassa riippumatta täysin siitä mitä tekniikoita käytetään. Mikään tekniikka yksinään ei suojaa käyttäjiä omalta tietämättömyydeltä, huolimattomuudelta tai välinpitämättömyydeltä. Siksi näitä asioita tuodaan esiin niin mediassa, kuin täällä Yhteisössäkin.

"It’s not a bug; it’s an undocumented feature." – Anonymous
E
Arvonimi
Käyttäjätaso 6
Kunniamerkki +8

Se mikä toimii tietotekniikkaan ja tietoturvaan perehtyneelle ei välttämättä toimi kaikille. Ketjun tarkoitus on valistaa ihmisiä tunnistamaan eri huijaustekniikoita. Mikään tietoturvatekniikka ei ole 100% varma. Yksittäinen käyttäjä voi itse olla se heikoin lenkki tietoturvassa riippumatta täysin siitä mitä tekniikoita käytetään. Mikään tekniikka yksinään ei suojaa käyttäjiä omalta tietämättömyydeltä, huolimattomuudelta tai välinpitämättömyydeltä. Siksi näitä asioita tuodaan esiin niin mediassa, kuin täällä Yhteisössäkin.

Ainoa lähes 100% varma tapa olla lankeamatta huijauksiin on pitää kaikkea oletuksena huijauksena ja oppia tunnistamaan ne harvat oikeat viestit. Huijaukset kun voivat olla uudenlaisia joka kerta, mutta oikeat viestit ovat aina samanlaisia. Harmi vaan, että usein näissä huijauksiin langenneista kertovissa jutuissa mainitaan miten “Olin lukenut näistä ja tiedän ettei pitäisi, mutta väsyneenä kiireessä annoin silti pankkitunnukseni” tai jotain vastaavaa. Valistuksen pitää olla mielessä joka hetki, mutta huijari tarvitsee vain 1 hetken herpaantumisen.

Yaria
Arvonimi
Käyttäjätaso 7
Kunniamerkki +13

Se mikä toimii tietotekniikkaan ja tietoturvaan perehtyneelle ei välttämättä toimi kaikille. Ketjun tarkoitus on valistaa ihmisiä tunnistamaan eri huijaustekniikoita. Mikään tietoturvatekniikka ei ole 100% varma. Yksittäinen käyttäjä voi itse olla se heikoin lenkki tietoturvassa riippumatta täysin siitä mitä tekniikoita käytetään. Mikään tekniikka yksinään ei suojaa käyttäjiä omalta tietämättömyydeltä, huolimattomuudelta tai välinpitämättömyydeltä. Siksi näitä asioita tuodaan esiin niin mediassa, kuin täällä Yhteisössäkin.

Ainoa lähes 100% varma tapa olla lankeamatta huijauksiin on pitää kaikkea oletuksena huijauksena ja oppia tunnistamaan ne harvat oikeat viestit. Huijaukset kun voivat olla uudenlaisia joka kerta, mutta oikeat viestit ovat aina samanlaisia. Harmi vaan, että usein näissä huijauksiin langenneista kertovissa jutuissa mainitaan miten “Olin lukenut näistä ja tiedän ettei pitäisi, mutta väsyneenä kiireessä annoin silti pankkitunnukseni” tai jotain vastaavaa. Valistuksen pitää olla mielessä joka hetki, mutta huijari tarvitsee vain 1 hetken herpaantumisen.

Nimenomaan juuri näin. Ns. Social engineering, eli sosiaalinen manipulointi, perustuu juurikin ihmisten psykologiseen ohjailuun. Yleisiä keinoja, joilla pyritään vaikuttamaan ihmisiin, ovat esimerkiksi auktoriteetin käyttö (pankki, viranomainen yms.), kiireen luominen ja pelon herättäminen. Esimerkiksi pankkitilin kaltaisessa tapauksessa hyökkääjä väittää, että tilisi olisi uhattuna, ellet toimi heti. Tällä tavalla ihmiset saadaan toimimaan harkitsematta ennen tarkemmin ajattelemista, tai/ja pelkäämään joitakin pahoja seurauksia jos eivät toimi.

"It’s not a bug; it’s an undocumented feature." – Anonymous

Vastaa


Käyttöehdot
Evästeasetukset