• Salasanan vaihto
• Suojautuminen phisinghyökkäyksiltä
• 5 tapaa torjua modeemikaappaus
• Sähköpostin liitetiedostosuodatin

SUOJAUTUMINEN PHISHING-HYÖKKÄYKSILTÄ

2.11.2004

Phishing on taloudellisesti hyödynnettävän tiedon, kuten
verkkopankkitunnusten, luottokorttinumeroiden tai
henkilötietojen laitonta hankkimista. Tyypillisesti käyttäjä
houkutellaan sähköpostiviestillä siirtymään www-sivustolle,
jossa pyydetään luovuttamaan taloudellista tietoa. Huijauksissa
käytetyt sähköpostiviestit ovat usein naamioitu näyttämään
esimerkiksi rahoituslaitoksen asiakaspalveluviesteiltä.

Www-sivustot, jonne taloudellista tietoa pyydetään luovuttamaan,
voivat olla ulkoisesti esimerkiksi rahoituslaitoksen sivujen näköiset.
Todellisuudessa nämä sivustot ovat kuitenkin phishing-hyökkääjän
haltuunottamaan tietojärjestelmään luomia huijaussivustoja, jonne
syötetyt tiedot päätyvät hyökkääjän käsiin.

Tässä ohjeessa annetaan ohjeita ainoastaan huijaustapauksiin, eikä
puututa taloudellisen tiedon keräämiseen esimerkiksi haittaohjelmalla
haltuunotetuista tietojärjestelmistä.

HUOMIOI ERITYISESTI

* Rahoituslaitokset eivät koskaan ota asiakkaisiin yhteyttä
sähköpostitse kysyäkseen asiakkaalta verkkopankkitunnuksia,
luottokorttinumeroita tai muuta luottamuksellista tietoa.

* Älä luota sähköpostissa olevaan lähettäjätietokentän (FROM-kentän)
sisältöön. Sähköpostin lähettäjätietokenttä voidaan helposti väärentää
vaikkapa muotoon asiakaspalvelu@omapankkisi.fi.

* Älä luota, että HTML-sähköpostissa tai www-sivustolla
olevat linkit johtavat sinne, mitä linkeissä lukee.

SUOJAUTUMINEN

* Älä avaa epäilyttäviä sähköpostiviestejä. Usein viestin
tunnistaa epäilyttäväksi jo viestin otsikkotiedoista.

* Älä koskaan siirry verkkopankin tms. sähköiseen asiointipalveluun
sivustolle sähköpostin linkkiä seuraamalla. Suhtaudu suurella
varauksella myös www-sivuilla oleviin linkkeihin. Turvallisin tapa
siirtyä sähköisen asiointipalvelun sivustolle on kirjoittaa itse
asiointipalvelun www-sivun osoite selainohjelman osoiteriville tai
käyttämällä selaimeen itse määrittelemää pikalinkkiä (bookmark tmv.).

* Tarkista aina ennen luottamuksellisten tietojen syöttämistä, että olet
oikean organisaation sivustoilla, ja että sivustolla käytettään
SSL-suojausta. Osoiterivillä olevan osoitteen pitää muodostua pankin
domain-nimestä. Sivustolla käytetään SSL-suojausta, jos selaimen
alareunassa oleva lukko on kiinni ja osoiterivillä oleva osoite alkaa
https-tekstillä.

* Suhtaudu aina riittävällä vakavuudella tilanteisiin, joissa
selainohjelmasi antaa varoituksen, ettei palvelimen varmenne täsmää
sivuston osoitteen kanssa. Selvitä ennen palvelun käyttöä mistä
selaimen varoitus johtuu.

* Ota epäilyttävissä tapauksissa yhteyttä organisaatioon, jonka
sähköisestä palvelusta on kyse.

LISÄTIETOA/TIETOLÄHTEET

https://www.antiphishing.org/

CERT-FI -YHTEYSTIEDOT

Viestintävirasto
CERT-FI
PL 313
00181 Helsinki
Sähköposti: cert@ficora.fi
PGP-avain: http://www.ficora.fi/suomi/tietoturva/CERT-FI.asc
Puhelin: (09) 6966 510
Faksi: (09) 6966 515