Verkkohuijareiden suosioon on noussut jälleen uusi tapa lypsää rahaa suomalaisilta: sosiaalisen median tilien sieppaus lunnaiden vaatimista varten.
Tilejä on kyllä kaapattu aiemminkin, mutta lunnaiden vaatiminen ei ole ollut yleistä, sanoo tietoturva-asiantuntija Juho Jauhiainen Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksesta.
– Yleensähän sosiaalisen median tilit, jotka on kaapattu, ovat olleet sellaisia, joilla on useita tykkääjiä. Ne on sitten myyty eteenpäin tai ne ovat kaappaajan itsensä käytössä.
Jauhiaisen mukaan some-tilien lunnasvaatimuksia tehdään tällä hetkellä varsin paljon. Vaaditut lunnassummat ovat vaihdelleet muutamista kymmenistä euroista joihinkin satoihin euroihin.
– Meidän lähtökohtamme on tietysti se, että hyökkääjille ei pidä mitään maksaa. Meillä ei ole tiedossa, kuinka paljon rahaa tilikaappauksista on hyökkääjille maksettu, mutta tiedossamme on useita tapauksia, joissa tällaista toimintaa on ollut.
Some-tili kaapataan Jauhiaisen mukaan yleensä joko huijaamalla käyttäjä luovuttamaan salasanansa tai ottamalla tili haltuun vaikkapa salasanan palautuksen kautta.
Salasanoja kalastellaan esimerkiksi lähettämällä käyttäjälle viesti palveluntarjoajan nimissä. Käyttäjä saattaa saada viestin, jossa hänen sanotaan syyllistyneen rekisteröidyn tuotemerkin luvattomaan käyttöön ja pyydetään muokkaamaan tilin asetuksia viestissä olevan linkin kautta.
– Viesteissä olevia linkkejä ei kannata klikata, vaan mennä aina palvelun kautta katsomaan asetuksia. Esimerkiksi Instagramin asetuksista löytyy osio, josta voi tarkistaa kaikki Instagramin lähettämät turvallisuuteen liittyvät viestit (Asetukset / Turvallisuus / Sähköpostit Instagramilta), Jauhiainen muistuttaa.
Tilin kaappaukselta voi Juho Jauhiaisen mukaan välttyä salasanahygienialla eli käyttämällä jokaiseen palveluun aivan erilaista salasanaa.
Jauhiainen suosittelee myös ottamaan käyttöön kaksivaiheisen tunnistuksen. Kaksivaiheisessa tunnistuksessa palveluun kirjautuminen vaatii oikean salasanan lisäksi esimerkiksi tekstiviestillä lähetettyä vahvistuskoodia.
