Riskinä tietojenkalastelu ja toimitusjohtajahuijaus

Ensisilmäyksellä

Tietojenkalastelu ja toimitusjohtajahuijaukset ovat muuttuneet entistä uskottavammiksi ja vaikeammin tunnistettaviksi. Tässä blogissa kerromme, miten huijaukset toimivat, mistä ne tunnistaa ja miten niitä vastaan voi suojautua. Samalla saat vinkkejä siihen, miten oma organisaatiosi voi testata ja kehittää tietoturvavalmiuksiaan käytännössä.

Viimevuosien uutisointi huijaus- ja kalasteluviestien aiheuttamista taloudellisista menetyksistä on surullista luettavaa. Huijausviestiin haksahtaminen ei suinkaan ole yksinomaan pk-yritysten ongelma, vaan samankaltaiset huijaukset ovat menneet täydestä jopa valtiotasolla ja pankkimaailmassa.

Huijauksen uhriksi joutuminen on aina nöyryyttävä kokemus – niin yritykselle kuin työntekijällekin. Mitä tietojenkalastelusta ja toimitusjohtajahuijauksista tulisi tietää, jotta ne osaisi välttää?

Tietojenkalastelu on aidon näköisiä viestejä tutuissa viestimissä

Tietojenkalastelulla tarkoitetaan aidolta näyttäviä viestejä, joilla koetetaan saada luottamuksellista tietoa, kuten pankkitunnuksia ja tunnuslukuja tai erilaisia tietojärjestelmien tunnuksia selville myöhempää käyttöä tai jopa yritysvakoilua varten.

Tyypillisesti viestejä lähetetään sähköpostilla, mutta niitä voidaan levittää myös sosiaalisessa mediassa, internet-sivustoilla, tekstiviesteillä ja pikaviestimien kautta.

Kohdennetun viestin lähettäjä voi olla tuttu lähettäjä

Tietojenkalastelua voidaan tehdä massana eli lähettää viesti isolle joukolle vastaanottajia ja odottaa, kuinka moni jää haaviin. Astetta edistyneempi tapa on tehdä kohdennettua kalastelua. Kohdennettu tietojenkalasteluviesti näyttää tulevan pankilta, työkaverilta tai esimieheltä eli tutulta ja luotettavalta taholta. Tämä madaltaa riskiä lähettää luottamuksellista tietoa rikolliselle.

Ikävintä kohdennetussa tietojenkalastelussa on, että viesti saattaa oikeasti tulla tutun henkilön tai yrityksen sähköpostilaatikosta, sillä rikollinen on voinut aiemmin murtaa kyseisen sähköpostitilin.

Toimitusjohtajahuijaus on tyypillinen esimerkki huijausviesteistä

Huijausviestit ovat tyypillisesti ns. toimitusjohtajahuijauksia, joissa pyritään saamaan työntekijä tekemään kiireellinen valelasku, tilisiirto tai palkanmaksu, joka päätyykin huijarin näppeihin. Useimmiten huijausviestissä on väärennetty lähettäjätiedot niin, että rahansiirtopyyntö näyttäisi tulevan yrityksen sisältä, esimerkiksi toimitusjohtajalta.

Haittaohjelmat riesana

Myös haittaohjelmien levittäminen on helppoa kalastelun avulla. Jopa 67 % haittaohjelmista leviää kalastelun kautta. Tutkimusten mukaan puolet käyttäjistä klikkaa tuntematonta linkkiä, vaikka olisivatkin tietoisia tietoturvauhkista!

Miten tietojenkalastelulta ja huijauksilta suojaudutaan?

Teknisessä mielessä parhaita keinoja ovat suojata sähköpostin suurimmalta osalta kalastelu- ja huijausviestejä sekä käyttämällä DNS-suodatusta, joka estää päätymästä tunnetuille haittasivustoille.

Myös tieto lisää turvaa ja kouluttautuminen onkin yksi tärkeimmistä tietoturvariskien hallinnan keinoista. Frendy tarjoaa kattavat tietoturvapalvelut suomalaisten yritysten tarpeisiin.

Yhteenveto – tietojenkalastelu ja toimitusjohtajahuijaus:

• Tietojenkalasteluviestit ja huijaukset ovat yleistyneet ja muuttuneet vaikeammin tunnistettaviksi.
• Kohdennetut huijaukset voivat näyttää tulevan tutulta lähettäjältä – jopa oikeasta sähköpostiosoitteesta.
• Tyypillinen huijaus on toimitusjohtajahuijaus, jossa pyritään rahansiirtoon kiireellä.
• Jopa 67 % haittaohjelmista leviää kalastelun kautta, usein huomaamatta.
• Suojauskeinot: sähköpostin ja DNS-liikenteen suodatus sekä henkilöstön koulutus.
• Frendy tarjoaa tietoturvapalveluiden lisäksi Phishing-kilpailun, jolla testataan ja kehitetään yrityksen tietoturvatietoisuutta käytännössä.