Suomalaisiin kohdistuu yhä voimakkaampaa tietojenkalastelua, ja ilmiö on havaittu myös yrityksissä. Sähköposteilla, tekstiviesteillä ja puhelinsoitoilla pyritään kalastelemaan pankkitunnuksia ja saamaan uhri vahvistamaan rikollisten käynnistämiä toimenpiteitä.
Vuonna 2024 suomalaisten menetykset tietojenkalastelutapauksissa kasvoivat pankeilta kerättyjen tietojen mukaan 161 prosenttia edellisvuodesta.[1] Tietojenkalastelu on tänä päivänä yleisin huijausmuoto, joka tapahtuu tyypillisesti luotettavan tahon kuten pankin, viranomaisen tai yhteistyökumppanin nimissä ja kalastelun kohde pyritään saada luovuttamaan tietoja, joita rikolliset voivat väärinkäyttää.
Tänä vuonna erityisesti huijauspuheluiden määrät ovat olleet Suomessa kasvussa, ja syksyn aikana yhä useammin huijauksen kohteena on ollut yksityishenkilön sijaan yritys. Tämä kehityssuunta ei ole uutta Pohjoismaissa, sillä ilmiö on havaittu aikaisemmin myös esimerkiksi Ruotsissa.
”Yritykset houkuttelevat rikollisia yksinkertaisesta syystä: rahaa on tyypillisesti enemmän vietävissä yrityksiltä kuin yksityishenkilöiltä”, kertoo Nordean petostorjunnan asiantuntija Sara Helin. ”Erilaiset huijaukset perustuvat käyttäjän manipulointiin, jossa uhri saadaan toimimaan rikollisen toivomalla tavalla luomalla esimerkiksi kiireen tuntua tai uhkaavaa ilmapiiriä”, Helin jatkaa.
Aina rikollisten tähtäimessä ei ole suora rahallinen hyöty. Pankkitunnusten lisäksi yrityksiltä kalastellaan käyttäjätunnuksia järjestelmiin: esimerkiksi Kyberturvallisuuskeskuksen mukaan lokakuussa tehtiin 120 ilmoitusta M365-tietomurroista.[2]Tietomurrot mahdollistavat rikollisen pääsyn esimerkiksi yrityksen sähköposteihin, altistaen luottamukselliset tiedot väärinkäytölle ja mahdollisille laajemmille hyökkäyksille.
Laskutus- ja toimitusjohtajahuijaukset yleistyvät
Yrityksiin kohdistuu runsaasti myös erilaisia laskutushuijauksia. Yksinkertaisimmillaan ne ovat yllättäviä ja aiheettomia laskuja tuntemattomalta lähettäjältä, mutta monimutkaisempien huijausten taustalla on sähköpostitilien kaappauksia, joissa rikolliset murtautuvat yrityksen sähköpostijärjestelmään.
Seurattuaan sähköpostiliikenteen kautta yrityksen liiketoimia ja laskutusta, rikolliset lähettävät valelaskuja tai ilmoittavat muutoksista maksutiedoissa. Huijaus on vaikeampi havaita, kun viesti tulee luotetusta sähköpostista ja tutulta yhteistyökumppanilta.
Toimitusjohtajahuijaukset ovat edelleen suomalaisten yritysten riesana. Toimitusjohtajan tai korkeassa asemassa olevan henkilön nimissä tulevat kiireelliset maksupyynnöt tulevat tyypillisesti sähköpostitse tai pikaviestisovellusten kautta, kun rikolliset pyrkivät ohittamaan muiden viestipalveluiden valvonnan. Huijarit ovat aktiivisia etenkin lomakausien aikana, kun kokeneet vastuuhenkilöt ovat poissa päivittäisistä työtehtävistä.
Kuka tahansa voi tulla huijatuksi – myös yritys
Huijaukset toteutetaan yhä taidokkaammin, ja ne kohdistuvat laajasti erilaisiin organisaatioihin ja yksityishenkilöihin. On tärkeää myös tiedostaa, että kun yritys on huijauksen kohteena, huijausyritys kohdistuu kuitenkin aina yrityksen työntekijöihin.
”Yritykseen kohdistuvat uhkat ovat paljon usein oletettua laajemmat – yksityishenkilönä saatu tietojenkalasteluviesti voi johtaa siihen, että yrityksen tiedot, verkkopankki tai maksuhallintajärjestelmä vaarantuvat. Monet samat lainalaisuudet huijauksilta suojautumiseen pätevätkin niin yksityiselämässä kuin työpaikalla”, Helin korostaa.
[1] Lähde: Finanssiala ry
