Verkkourkinta

Verkkourkinta eli tietojenkalastelu (myös engl. phishing, suomeksi käytössä termi kalastelu) on tietotekniikassa rikollista toimintaa, jolla pyritään saamaan haltuun luottamuksellisia tietoja, kuten henkilö- tai tilitietoja, esiintymällä tiedon saantiin oikeutettuna tahona. Haluttua tietoa ovat erityisesti salasana- tai luottokorttitiedot, joita käyttämällä hyökkääjä voi päästä huomattaviin taloudellisiin voittoihin; jo muutama huijaukseen langennut uhri voi tehdä rikollisesta toiminnasta kannattavaa. Urkinta tapahtuu yleensä sähköpostin tai pikaviestimen avulla. Huijausviesti pyrkii näyttämään mahdollisimman aidolta ja luotettavan tahon lähettämältä.

Nordean nimissä lähetetty tietojenkalasteluviesti.

Huijarit käyttävät hyväksi ihmisten luottamusta ja voivat tekeytyä esimerkiksi poliisiksi tai pankin virkailijaksi. Rikolliset kertovat henkilön rahojen olevan uhattuna ja pyytävät sillä verukkeella huijattua lähettämään verkkopankkitunnuksensa, tilitietonsa tai luottokortin numeronsa. Tämän jälkeen rikolliset tyhjentävät uhrin pankkitilin kokonaan. Huijarit voivat myös tekeytyä pankin virkailijoiksi ja pyytää tietoja jotta voivat korjata virheellisen laskun tililtä. Oikeasti pankki ja poliisi ei koskaan kysy näitä tietoja.^[1]

Monesti myös huijarit lähettävät viestin, jossa on valmis linkki aidolta näyttävälle valesivulle, josta pankkitunnukset varastetaan.^[1]

Tietämättömiä auttaa huijaamaan sähköpostiviestien aukkoisuus ulkomuodoltaan. Viesti, jonka lähettäjäksi ilmoitetaan support@yritys.fi, ei ole välttämättä millään tavalla sidoksissa yritys.fi-palvelimeen. Otsikkotiedoista yleensä on nähtävissä se miltä palvelimelta viesti on peräisin.^[2] Eräät sähköpostipalvelut, kuten Gmailin selainversio, huomauttavat asiakkaalle viestin tullessa eri palvelimelta kuin lähettäjäosoitteessa on ilmoitettu.

Historia

Verkkourkinta on ollut olemassa 1990-luvulta asti, jolloin mustahattuhakkerit ja warez-käyttäjät varastivat AOL-palvelun kautta luottokorttitietoja. Termi ”phishing” esiintyi ensimmäisen kerran vuonna 1994 AOHel-työkalussa,^[3] joka antoi hyökkääjille mahdollisuuden esiintyä AOL:n työntekijöinä ja hankkia käyttäjien salasanoja.^[4][5] AOL lisäsi myöhemmin suojausmenetelmiä ja lopetti warez-ryhmien toiminnan alustallaan.^[6][7]

2000-luvulla verkkourkinta kehittyi ammattimaisemmaksi. Ensimmäinen E-gold-maksujärjestelmään kohdistunut hyökkäys tapahtui vuonna 2001 ja ensimmäinen pankkiin kohdistunut urkintahyökkäys vuonna 2003.^[8][9] Vuosien 2004–2005 aikana noin 1,2 miljoonaa yhdysvaltalaista menetti arviolta 929 miljoonaa dollaria verkkourkinnan vuoksi.^[10] Näihin aikoihin syntyi myös kehittyneitä urkintatyökaluja kauppaava musta markkina.^[11][12]

2010-luvulla verkkourkinta yleistyi entisestään. Tunnettuja esimerkkejä ovat vuonna 2011 tapahtunut RSA SecurID-avainten varkaus^[13][14] sekä suuret hyökkäykset yrityksiin ja organisaatioihin, kuten Target ja ICANN.^{[15][16][17][18]} Tunnettu Fancy Bear -ryhmä on yhdistetty useisiin verkkourkintakampanjoihin,^[19][20][21] kuten iskuihin Pentagonia,^[22][23] Natoa^[24] ja Yhdysvaltain demokraattista kansalliskomiteaa vastaan.^[25]

2020-luvulla verkkourkinta on kehittynyt entistä enemmän sosiaalista manipulointia hyödyntäväksi. Tunnettu esimerkki on vuoden 2020 Twitter-hakkerointi, jossa hyökkääjät saivat haltuunsa työntekijöiden tunnukset väärennetyn VPN-sivuston avulla ja käyttivät julkisuuden henkilöiden tilejä Bitcoin-huijaukseen.^[26][27] Lisäksi markkinoille on ilmestynyt verkkourkintaa palveluna (PhaaS) tarjoavia alustoja, kuten Darcula, jotka helpottavat väärennettyjen verkkosivujen luomista.^[28]

Katso myös

• Monivaiheisen todentamisen väsytyshyökkäys