Kalastelu 2025: Ei enää helppoja maaleja, vaan taitavia ansoja

Voiko tietoturva-asiantuntija joutua kalastelun uhriksi ja klikata linkkiä mitä ei pitäisi? Lyhyesti vastattuna, kyllä voi.

Useita vuosia sitten tein töitä erään yhteiskumppanin kanssa ja odotin sähköpostiini luottamuksellista viestiä. Eli sellaista viestiä missä kerrotaan, että olet saanut salatun sähköpostin. Lukeakseni viestin minun täytyy klikata saapumisilmoituksessa ollutta linkkiä. Eli tavallaan hieman kuten postipakettien saapumisilmoitus. Paketti noudettavissa lähimmältä postitoimistolta. Tässä oli kuitenkin kyse luottamuksellisen viestin saapumisilmoiutksesta ja varsinainen viesti on luettavissa toisessa järjestelmässä.

Saapumisilmoitus lopulta kilahtikin sähköpostiini. Viesti ei vaan ollut odottamaltani yhteistyökumppaniltani, eikä viestissä ollut linkki johtanut salattuun sanomaan....

Asiantuntija kalastelun kohteena

Tietoturva-asiantuntija on usein se henkilö joka kouluttaa muita sähköpostin vaaroista. Sama asiantuntija rakentaa tietoturvasuojauksia ja valvoo näiden toimivuutta. Tuntuu hieman ristiriitaiselta, että asiantuntija voisi päätyä kalastelun kohteeksi ja klikkailla linkkejä ja avata haitallisia liitteitä.

Asia ei kuitenkaan ole niin ihmeellinen kuin aluksi ehkä vaikuttaa. Tietoturva-asiantuntijalla on toki koulutusta ja käytännön kokemusta aiheesta. Tietoturvan näkökulma on ehkäpä paremmin muistissa mitä “tavallisella käyttäjällä” viestejä käsiteltäessä.

Kalastelu ja sellaiseen lankeaminen ei ole kuitenkaan huolimattomuuden merkki. Kyse on taitavasta manipuloinnista. Tietoturva-asiantuntijat tekevät inhimillisiä virheitä siinä missä muutkin oman alansa asiantuntijat. Huijaukset ovat nykyisin kirjoitettu hyvin, myös kotimaisella kielellä. Kiitos kehittyneiden käännösohjelmistojen sekä tekoälyn.

Kalastelun evoluutio

Reilut parikymmentä vuotta sitten kalasteluviestit olivat melko kehnoja. Kyllä näitä “vanhan ajan” viestejä edelleen tapaa ja ilmeisesti menevät myös osin läpi, kun niitä edelleen kerran lähetellään mutta nykyaikaiset kalasteluyritykset ovat huomattavan paljon taidokkaammin tehtyjä.

Esimerkiksi kohdennetut kalasteluviestit (spear phishing) ovat tästä hyvä esimerkki. Viestiä ei massalähetetä isolle joukolle, välittämättä kuka sen vastaanottaa (opportunistic phishing), vaan kohdennetaan se tietylle joukolle. Rikolliset ovat tehneet pohjatyön selvittämällä kohteiden taustat esimerkiksi Linkedinin kautta. Tällä tavoin viesteistä saadaan huomattavan paljon uskottavampia.

Hyökkäykset eivät myöskään rajoitu sähköpostiin. Ne voivat alkaa LinkedIn-viestistä, jatkua WhatsAppissa ja päättyä puheluun.

Siinä missä perinteinen tietoturva nojaa palomuureihin ja virustorjuntaan, moderni kalastelu ohittaa tekniset esteet ja suuntautuu suoraan ihmiseen – jopa siihen, joka tietää uhat parhaiten.

Inhimillisyys ei katoa osaamisen myötä

On houkuttelevaa ajatella, että tekninen asiantuntemus suojaa kalastelulta. Että asiantuntija, joka tunnistaa väärennetyt verkkotunnukset, tarkistaa viestin otsikot ja analysoi linkkien tiedot, ei koskaan lankea huijaukseen. Totuus on kuitenkin toinen: osaaminen ei tee kenestäkään immuunia inhimillisille reaktioille.

Moni kalasteluviesti ei iske tekniseen heikkouteen, vaan psykologiseen hetkeen:

• Kiire: Asiantuntijat ovat usein kiireisiä ja käsittelevät kymmeniä, ellei satoja viestejä päivittäin. Nopeus voi ohittaa tarkkuuden.

• Luottamus: Viesti voi tulla tutulta kollegalta, jonka sähköpostitili on kaapattu – ja sisältö näyttää täysin uskottavalta.

Asiantuntijan erehdys ei ole merkki osaamisen puutteesta. Se on muistutus siitä, että tietoturva ei ole vain tekniikkaa – se on ihmisten välistä vuorovaikutusta, käyttäytymistä ja psykologiaa.

Tekniikka auttaa mutta ei pelasta

Haittaohjelmia vastaan on monia eteviä teknisiä ratkaisuja. Mm. “virustorjuntaa”, usein nämä tuotteet kantavat hieman erilaista nimeä ja sisältävät paljon muutakin kuin perinteisen haitaohjelmien torjunnan. Lisäksi erilaiset palomuuriratkaisut pitävät sisällään haittaliikenteen estämiseen liittyviä toimintoja. Nämä esimerkkinä, muunlaista tekniikkaa löytyy lisäksi.

Tekniikka ei kuitenkaan pelkästään riitä. Tarvitaan ihmisiä ja heille koulutusta. Lisäksi tarvitaan ilmapiiri missä voi avoimesti ilmoittaa mikäli on joutunut kalastelun uhriksi. 

Mikäli epäilet toimineesi kalastelupostin perusteella syöttämällä esimerkiksi käyttäjätunnukset ja salasanan vieraalle sivustolle, tai avannut liitteitä, niin siitä kannattaa ilmoittaa omalle tietoturvasta vastaavalle taholle ripeästi. Oman organisaatiosi kannalta on merkittävää reagoida poikkeamiin nopeasti mahdollisten vahinkojen ja vaikutusten rajaamiseksi.

Erehdyin itsekin

Uutiskirjeen alussa kerroin odottamastani luottamuksellisesta viestistä, joka ei lopulta ollut peräisin lähettäjältä jolta sen kiireessä oletin tulleen. Kyse oli eräänlaisesta harjoitusviestistä eli simuloidusta kalasteluviestistä. Tekniikka tosin pelasti minut tällä kertaa sillä sähköpostiohjelma varmisti haluanko varmasti siirtyä linkin osoittamaan paikkaan, linkki vaikutti sähköpostiohjelmiston mielestä epäilyttävälle.

Tässä vaiheessa huomasin ettei kyseessä ollut viesti jota odotin. Kalasteluviesti oli henkilöstölle suunnattu harjoitusviesti. Tämän tyyppisiä palveluita on useitakin saatavilla eri palvelun toimittajilta ja palveluiden teho nähtävissä raporteista. Eli alkuvaiheessa niistä on nähtävillä mitenkä ahkerasti linkkejä klikkaillaan ja henkilöstön päätyessä koulutussivustoille sanoma alkaa tehoamaan. Linkkejä klikkaillaan jatkossa vähemmän. Toisaalta vaikka omasta esimerkistä on kulunut jo lähemmäs kymmenen vuotta, muistan asian vieläkin. 

Lopuksi

Vahvin tietoturvakulttuuri ei synny teknisestä ylivertaisuudesta, vaan avoimuudesta, empatiasta ja jatkuvasta oppimisesta. Kun nämä elementit yhdistyvät, voidaan rakentaa ympäristö, jossa virheitä ei pelätä – ja jossa kalastelun koukut eivät jää huomaamatta, vaikka ne joskus tarttuisivatkin.