Siirry sisältöön

Verkkourkinta

Wikipediasta
Nordean nimissä lähetetty tietojenkalasteluviesti.

Verkkourkinta eli tietojenkalastelu (myös engl. phishing, suomeksi käytössä termi kalastelu) on tietotekniikassa rikollista toimintaa, jolla pyritään saamaan haltuun luottamuksellisia tietoja, kuten henkilö- tai tilitietoja, esiintymällä tiedon saantiin oikeutettuna tahona. Haluttua tietoa ovat erityisesti salasana- tai luottokorttitiedot, joita käyttämällä hyökkääjä voi päästä huomattaviin taloudellisiin voittoihin; jo muutama huijaukseen langennut uhri voi tehdä rikollisesta toiminnasta kannattavaa. Urkinta tapahtuu yleensä sähköpostin tai pikaviestimen avulla. Huijausviesti pyrkii näyttämään mahdollisimman aidolta ja luotettavan tahon lähettämältä.

Huijarit käyttävät hyväksi ihmisten luottamusta ja voivat tekeytyä esimerkiksi poliisiksi tai pankin virkailijaksi. Rikolliset kertovat henkilön rahojen olevan uhattuna ja pyytävät sillä verukkeella huijattua lähettämään verkkopankkitunnuksensa, tilitietonsa tai luottokortin numeronsa. Tämän jälkeen rikolliset tyhjentävät uhrin pankkitilin kokonaan. Huijarit voivat myös tekeytyä pankin virkailijoiksi ja pyytää tietoja jotta voivat korjata virheellisen laskun tililtä. Oikeasti pankki ja poliisi ei koskaan kysy näitä tietoja.[1]

Monesti myös huijarit lähettävät viestin, jossa on valmis linkki aidolta näyttävälle valesivulle, josta pankkitunnukset varastetaan.[1]

Tietämättömiä auttaa huijaamaan sähköpostiviestien aukkoisuus ulkomuodoltaan. Viesti, jonka lähettäjäksi ilmoitetaan support@yritys.fi, ei ole välttämättä millään tavalla sidoksissa yritys.fi-palvelimeen. Otsikkotiedoista yleensä on nähtävissä se miltä palvelimelta viesti on peräisin.[2] Eräät sähköpostipalvelut, kuten Gmailin selainversio, huomauttavat asiakkaalle viestin tullessa eri palvelimelta kuin lähettäjäosoitteessa on ilmoitettu.

Historia

[muokkaa | muokkaa wikitekstiä]

Verkkourkinta on ollut olemassa 1990-luvulta asti, jolloin mustahattuhakkerit ja warez-käyttäjät varastivat AOL-palvelun kautta luottokorttitietoja. Termi ”phishing” esiintyi ensimmäisen kerran vuonna 1994 AOHel-työkalussa,[3] joka antoi hyökkääjille mahdollisuuden esiintyä AOL:n työntekijöinä ja hankkia käyttäjien salasanoja.[4][5] AOL lisäsi myöhemmin suojausmenetelmiä ja lopetti warez-ryhmien toiminnan alustallaan.[6][7]

2000-luvulla verkkourkinta kehittyi ammattimaisemmaksi. Ensimmäinen E-gold-maksujärjestelmään kohdistunut hyökkäys tapahtui vuonna 2001 ja ensimmäinen pankkiin kohdistunut urkintahyökkäys vuonna 2003.[8][9] Vuosien 2004–2005 aikana noin 1,2 miljoonaa yhdysvaltalaista menetti arviolta 929 miljoonaa dollaria verkkourkinnan vuoksi.[10] Näihin aikoihin syntyi myös kehittyneitä urkintatyökaluja kauppaava musta markkina.[11][12]

2010-luvulla verkkourkinta yleistyi entisestään. Tunnettuja esimerkkejä ovat vuonna 2011 tapahtunut RSA SecurID-avainten varkaus[13][14] sekä suuret hyökkäykset yrityksiin ja organisaatioihin, kuten Target ja ICANN.[15][16][17][18] Tunnettu Fancy Bear -ryhmä on yhdistetty useisiin verkkourkintakampanjoihin,[19][20][21] kuten iskuihin Pentagonia,[22][23] Natoa[24] ja Yhdysvaltain demokraattista kansalliskomiteaa vastaan.[25]

2020-luvulla verkkourkinta on kehittynyt entistä enemmän sosiaalista manipulointia hyödyntäväksi. Tunnettu esimerkki on vuoden 2020 Twitter-hakkerointi, jossa hyökkääjät saivat haltuunsa työntekijöiden tunnukset väärennetyn VPN-sivuston avulla ja käyttivät julkisuuden henkilöiden tilejä Bitcoin-huijaukseen.[26][27] Lisäksi markkinoille on ilmestynyt verkkourkintaa palveluna (PhaaS) tarjoavia alustoja, kuten Darcula, jotka helpottavat väärennettyjen verkkosivujen luomista.[28]

Katso myös

[muokkaa | muokkaa wikitekstiä]

Lähteet

[muokkaa | muokkaa wikitekstiä]
  1. a b Poliisi - Huijaukset www.poliisi.fi. Viitattu 27.9.2020.
  2. Kirjeen rakenne
  3. EarthLink wins $25 million lawsuit against junk e-mailer www.bizjournals.com. Arkistoitu 22.3.2019. Viitattu 24.6.2025.
  4. Early Phishing arxiv.org. 23.6.2011. Cornell University. Viitattu 24.6.2025.
  5. Mercury Center Archive Search Results San Jose Mercury News. Viitattu 24.6.2025.
  6. Paul McFedries: Phishing Word Spy. Arkistoitu 15.10.2014. Viitattu 24.6.2025.
  7. History of AOL Warez www.rajuabju.com. Arkistoitu 15.6.2011. Viitattu 24.6.2025.
  8. Battle against identity theft The Banker. Viitattu 24.6.2025. (englanniksi)
  9. Financial Cryptography: GP4.3 - Growth and Fraud - Case #3 - Phishing Financial Cryptography. 30.12.2015. Arkistoitu 4.11.2013. Viitattu 24.6.2025.
  10. How Can We Stop Phishing and Pharming Scams? CSO Talk Back. Arkistoitu 24.3.2008. Viitattu 24.6.2025.
  11. In 2005, Organized Crime Will Back Phishers IT Management. 23.12.2004. Arkistoitu 12.7.2012. Viitattu 23.6.2025.
  12. Christopher Abad: The economy of phishing: A survey of the operations of the phishing market First Monday. 1.9.2005. Arkistoitu 9.7.2012. Viitattu 24.6.2025.
  13. Anatomy of an Attack RSA Blog. Arkistoitu 6.10.2014. Viitattu 23.6.2025.
  14. Christopher Drew, John Markoff: SecurID Breach Suggested in Hacking Attempt at Lockheed The New York Times. 27.5.2011. Arkistoitu 9.7.2019. Viitattu 24.6.2025. (englanniksi)
  15. Syrian Hackers Use Outbrain to Target The Washington Post, Time, and CNN The Atlantic Wire. Arkistoitu 19.10.2013. Viitattu 24.6.2025. (englanniksi)
  16. Report: Email phishing scam led to Target breach Rick Kupchella's - BringMeTheNews.com. 12.2.2014. Arkistoitu 15.9.2014. Viitattu 24.6.2025. (englanniksi)
  17. Target CEO Sacked 247wallst.com. Arkistoitu 15.9.2014. Viitattu 24.6.2025. (englanniksi)
  18. ICANN Targeted in Spear Phishing Attack | Enhanced Security Measures Implemented www.icann.org. Arkistoitu 7.8.2019. Viitattu 24.6.2025. (englanniksi)
  19. Bear on bear The Economist. Arkistoitu 20.5.2017. Viitattu 24.6.2025. (englanniksi)
  20. Hyacinth Mascarenhas: Russian hackers 'Fancy Bear' likely breached Olympic drug-testing agency and DNC, experts say International Business Times UK. 23.8.2016. Viitattu 24.6.2025. (englanniksi)
  21. What we know about Fancy Bears hack team bbc.co.uk. Arkistoitu 22.3.2019. Viitattu 24.6.2025. (englanniksi)
  22. Courtney Kube and Jim Miklaszewski: Russia hacks Pentagon computers: NBC, citing sources CNBC. 6.8.2015. Arkistoitu 8.8.2019. Viitattu 24.6.2025. (englanniksi)
  23. Barbara Starr: Official: Russia eyed in Joint Chiefs email intrusion - CNNPolitics CNN. Arkistoitu 8.8.2019. Viitattu 24.6.2025.
  24. Cooper Quintin: New Spear Phishing Campaign Pretends to be EFF Electronic Frontier Foundation. 27.8.2015. Arkistoitu 7.8.2019. Viitattu 24.6.2025. (englanniksi)
  25. D.N.C. Says Russian Hackers Penetrated Its Files, Including Dossier on Donald Trump nytimes.com. Arkistoitu 25.7.2019. Viitattu 24.6.2025. (englanniksi)
  26. Twitter Investigation Report New York Department of Financial Services. Viitattu 24.6.2025.
  27. Three Individuals Charged For Alleged Roles In Twitter Hack justice.gov. 30.7.2020. Viitattu 24.6.2025.
  28. Davey Winder: New Darcula iMessage Attack Targets iPhone Users In 100 Countries Forbes. Viitattu 24.6.2025. (englanniksi)

Aiheesta muualla

[muokkaa | muokkaa wikitekstiä]
Tämä tietotekniikkaan liittyvä artikkeli on tynkä. Voit auttaa Wikipediaa laajentamalla artikkelia.
Noudettu kohteesta ”https://fi.wikipedia.org/w/index.php?title=Verkkourkinta&oldid=23449733