Tietojenkalastelu (phishing) – määritelmä, riskit ja suojautuminen

Tietojenkalastelu (phishing): opi tunnistamaan huijaussähköpostit, ymmärrä riskit ja tehokkaat suojautumiskeinot — suojaa tilisi ja henkilötietosi nyt.

Tekijä: Leandro Alegsa

08-02-2026 15:01

Phishing on tapa, jolla rikolliset hankkivat arkaluonteisia tietoja (kuten käyttäjätunnuksia tai salasanoja). Se on sosiaalisen manipuloinnin menetelmä. Phishing tapahtuu hyvin usein sähköpostitse. Posti näyttää tulevan pankilta tai muulta palveluntarjoajalta. Siinä sanotaan yleensä, että koska järjestelmässä on tapahtunut muutos, käyttäjien on vahvistettava käyttäjätunnuksensa tai salasanansa uudelleen. Sähköpostissa on yleensä linkki sivulle, joka näyttää lähes oikean pankin sivulta.

Miten phishing toimii?

Phishing-kampanjat perustuvat yleensä luottamuksen ja kiireen tunteen hyödyntämiseen. Viesti saattaa väittää, että tilillä on epäilyttävää toimintaa, lasku on erääntynyt tai tilin vahvistus on tarpeen. Lähettäjä voi käyttää oikeaa yrityksen nimeä, logoa ja huoliteltua muotoilua. Linkki ohjaa käyttäjän kopiosivustolle, joka kerää sisäänkirjautumistiedot tai lataa haittaohjelman laitteelle.

Phishingin eri muotoja ovat muun muassa:

Spear-phishing – kohdennettu huijaus tiettyä henkilöä tai organisaatiota vastaan.
Whaling – kohdistettu yrityksen johtoon tai päätöksentekijöihin.
Clone phishing – aiemmin lähetetyn oikean viestin kopio, mutta liitteet tai linkit on vaihdettu haitallisiksi.
Vishing – huijaus puhelimitse (voice phishing).
Smishing – huijaus tekstiviestillä (SMS).
Pharming – liikenteen ohjaaminen väärälle palvelimelle esimerkiksi DNS-manipulaation tai haittaohjelman avulla.

Riskit

Phishingin avulla rikolliset pääsevät käsiksi pankkitileihin tai muihin tileihin, kuten ostos-, huutokauppa- tai pelitileihin. Sitä voidaan käyttää myös identiteettivarkauksiin. Muut riskit:

Rahan menettäminen ja luvattomat tilisiirrot.
Henkilötietojen varastaminen ja myyminen pimeillä markkinoilla.
Yrityksen sisäisten järjestelmien ja luottamuksellisten tietojen vuotaminen.
Kiristysohjelmien tai muiden haittaohjelmien asentaminen järjestelmään.
Mainehaitta ja liiketoiminnan keskeytykset.

Tunnistusmerkit

Viesti painostaa toimimaan välittömästi tai uhkaa tilin sulkemisella.
Osoittajana epätavallinen tai epäjohdonmukainen sähköpostiosoite (näkyvä nimi voi olla oikea, mutta osoite eri).
Yleiset tervehdykset kuten "Hyvä asiakas" sen sijaan, että käytettäisiin nimeä.
Kielioppi- tai kirjoitusvirheet ja outo kielioppi.
Linkit, jotka osoittavat eri domainiin kuin viestin väitetty lähettäjä (vie hiiri linkin päälle nähdäksesi todellisen osoitteen).
HTTPS ja lukko-ikoni eivät takaa sivun aitoutta – kuka tahansa voi hankkia sertifikaatin.
Yllättävät liitteet, erityisesti .exe-, .zip- tai makroja sisältävät .doc(x)-tiedostot.

Suojautuminen yksityishenkilöille

Älä klikkaa epäilyttäviä linkkejä. Mene palvelun verkkosivulle kirjoittamalla osoite suoraan selaimeen tai käytä tallennettua kirjanmerkkiä.
Käytä kaksivaiheista tunnistautumista (2FA) aina kun mahdollista – mieluiten sovelluspohjaista (TOTP) tai fyysistä avainta, ei pelkkää SMS-koodia.
Käytä eri salasanoja eri palveluissa ja harkitse salasanahallintaa.
Pidä käyttöjärjestelmä, selain ja ohjelmistot päivitettyinä ja käytä virustorjuntaa.
Aktivoi sähköpostin roskapostisuodattimet ja käytä selaimen suojatoimintoja.
Tarkista tilitapahtumat säännöllisesti ja ilmoita heti pankille epäilyttävistä tapahtumista.
Ole varovainen julkisissa Wi‑Fi-verkoissa; käytä VPN-yhteyttä tarvittaessa.

Mitä tehdä, jos epäilet tulleesi uhriksi?

Katkaise yhteys epäilyttävään sivuun ja sulje selain välittömästi.
Vaihda salasanat välittömästi niissä palveluissa, joissa käytit samaa salasanaa.
Ota yhteys pankkiisi ja ilmoita mahdollisista luvattomista tapahtumista.
Ilmoita asiasta poliisille ja Kyberturvallisuuskeskukselle (CERT-FI). Myös pankit ja suuret palveluntarjoajat vastaanottavat yleensä ilmoituksia huijausviesteistä.
Seuraa pankkitiliäsi, luottokortteja ja luottoilmoituksia; harkitse luottoriskin estoa tai ilmoitusta luottotieto-organisaatioille, jos henkilöllisyyttäsi on vaarannettu.

Organisaatioiden suojautuminen

Organisaatioiden tulee yhdistää tekniset ratkaisut ja käyttäjäkoulutus:

Ota käyttöön sähköpostin todennustekniikat: SPF, DKIM ja DMARC vähentämään lähettäjäidentiteetin väärentämistä.
Käytä sähköpostin suojausta, roskapostisuodatusta ja liitteiden skannausta/sandboxingia.
Rajoita käyttäjien järjestelmäoikeuksia ja segmentoi verkkoa haittaohjelman leviämisen estämiseksi.
Kouluta henkilöstöä säännöllisesti tunnistamaan phishing ja järjestä simuloituja testejä.
Laadi ja harjoittele haittaohjelma- ja tietomurtojen reagointisuunnitelmia sekä varmistus- ja palautusprosessit.
Seuraa lokitietoja ja käytä uhkien havaitsemisjärjestelmiä (SIEM) mahdollisten hyökkäysten löytämiseksi varhaisessa vaiheessa.

Ilmoittaminen ja apu Suomessa

Phishingistä kannattaa ilmoittaa heti pankille ja poliisille. Kyberturvallisuuskeskus (CERT-FI) vastaanottaa tietoja kyberturvallisuuspoikkeamista ja tarjoaa ohjeita tilanteen hoitoon. Jos henkilötietoja on paljastunut laajasti, voi myös Tietosuojavaltuutetun toimisto olla osapuoli, johon ilmoitetaan.

Phishing on edelleen yleinen ja kehittyvä uhka: hyökkääjät käyttävät yhä tarkempaa kohdentamista ja uskottavampia tekniikoita. Varovaisuus, ajantasaiset tietoturvakäytännöt ja nopea reagointi ovat parhaita keinoja suojautua.

Phishing kasvoi 42 prosenttia tammikuussa 2005: joulukuussa 2004 lähetettiin 8 829 phishing-sähköpostia, mutta tammikuun 2005 loppuun mennessä määrä kasvoi 12 845:een. Phishing-verkkosivujen määrä kasvoi samana aikana 1 740:stä 2 560:een.

Esimerkki phishing-sähköpostista, joka on naamioitu (kuvitteellisen) pankin viralliseksi sähköpostiksi. Lähettäjä yrittää huijata vastaanottajaa paljastamaan suojatut tiedot "vahvistamalla" ne phisherin verkkosivustolla.

Suodattimen kiertäminen

Jotkut näin toimivat ihmiset ovat alkaneet käyttää tekstin kuvia, jotta phishing-suodattimet eivät näkisi tekstiä niin helposti. Tämä toimii joskus, koska suodattimet etsivät sanoja, joita käytetään usein phishing-sähköposteissa/viesteissä. Ihmiset ovat kuitenkin keksineet parempia suodattimia, jotka pystyvät edelleen lukemaan tekstin OCR:n (optinen merkintunnistus) avulla.

Jotkin phishing-suodattimet lukevat jopa kaunokirjoitettua, käsin kirjoitettua, ylösalaisin olevaa, vääristynyttä (esimerkiksi aaltoilevaa tai venytettyä) tekstiä sekä värillisillä taustoilla olevaa kirjoitusta.

Kysymyksiä ja vastauksia

K: Mitä on phishing?

V: Phishing on tapa, jolla rikolliset hankkivat arkaluonteisia tietoja, kuten käyttäjätunnuksia ja salasanoja, käyttämällä sosiaalista manipulointia.

K: Miten phishing yleensä tehdään?

V: Phishing tapahtuu yleensä sähköpostin välityksellä. Sähköposti näyttää tulevan lailliselta palveluntarjoajalta ja pyytää käyttäjiä vahvistamaan käyttäjätunnuksensa ja salasanansa uudelleen.

K: Mitä tapahtuu, jos rikolliset onnistuvat phishingissä arkaluonteisten tietojen keräämisessä?

V: Jos rikolliset onnistuvat salakuuntelemaan arkaluonteisia tietoja, he pääsevät käsiksi pankkitileihin tai muihin tileihin, kuten ostos-, huutokauppa- tai pelitileihin, mikä voi lopulta johtaa identiteettivarkauteen.

K: Onko tietojenkalastelu muuttunut internetin elinkaaren aikana?

V: Phishing on muuttunut yllättävän vähän internetin olemassaolon aikana, vaikka tietyt phishing-taktiikat ovatkin kehittyneet huomattavasti.

K: Miten rikolliset käyttävät sähköpostia tietojenkalastelussa?

V: Rikolliset käyttävät väärennettyjä sähköpostiosoitteita luodakseen sähköpostiviestejä, jotka on suunniteltu näyttämään oikean yrityksen lähettämiltä sähköpostiviesteiltä.

K: Voidaanko tietojenkalastelussa käyttää muita viestintämuotoja?

V: Kyllä, phishing voidaan tehdä myös tekstiviestien, pikaviestisovellusten, kuten Facebook Messengerin tai WhatsAppin, ja jopa etanapostin välityksellä.

K: Miten voit tunnistaa mahdollisen phishing-linkin tekstin kautta?

V: Jos saat tuntemattomasta numerosta tekstiviestin, jossa sinua kehotetaan jostain syystä vierailemaan tietyllä verkkosivustolla, kyseessä voi olla phishing-linkki.

Etsiä