Criipto on nyt Idura. Lue täältä, miksi →

Mikä on identiteettivarkaus ja kuinka niiltä voi suojautua

Kirjoittanut Natalia Moskaleva päivänä 1. joulukuuta 2024

3 min lukuaika

Identity Theft: How It Works and How to Protect Yourself

Yhä useamman palvelun siirtyessä verkkoon myös henkilötietoja tallennetaan entistä enemmän eri järjestelmiin. Käytännössä tietosi voivat olla sadoilla tai jopa tuhansilla palvelimilla. Samalla kasvaa myös yksi keskeinen riski: identiteettivarkaus.

Tässä artikkelissa selvitämme, mitä identiteettivarkaus tarkoittaa, millaisia keinoja rikolliset käyttävät ja miten niiltä voi suojautua.

Mitä identiteettivarkaus tarkoittaa?

Identiteettivarkaus tarkoittaa, että joku hankkii ja käyttää toisen henkilön arkaluontoisia tietoja luvatta. Tällaisia tietoja voivat olla esimerkiksi henkilötunnus, pankin tilitiedot tai verkkopalvelun käyttäjätunnukset.

Tavoitteena on yleensä taloudellinen hyöty tai palveluiden väärinkäyttö toisen nimissä. Käytännössä tämä voi tarkoittaa esimerkiksi:

  • Ostosten tekemistä toisen henkilön laskuun
  • Lainan tai luottokortin hakemista
  • Puhelinliittymän avaamista
  • Tilien käyttöä luvatta

Identiteettivarkauksien uhrit eivät ainoastaan kärsi taloudellista vahinkoa, vaan uhriksi joutumisella voi olla myös vakavia seurauksia henkiselle ja psykologiselle hyvinvoinnille.

Kokonaiskuva: henkilötietoihin kohdistuvat uhat ovat kasvussa

Kyberrikollisuus kasvaa jatkuvasti. Myös rikollisten käyttämät hyökkäysmenetelmät kehittyvät ja monipuolistuvat vuosi vuodelta.

Esimerkiksi vuonna 2023 Euroopassa tehtiin enemmän kyberhyökkäyksiä kuin muualla maailmassa, ja verkkohuijaukset ovat edelleen merkittävä uhka koko mantereen alueella. Vaikka esimerkiksi kiristyshaittaohjelmat (ransomware) ja niin sanotut romanssihuijaukset saavat paljon huomiota, identiteettivarkaus on usein nopeampi ja helpompi tapa saada rikollista hyötyä. Henkilötunnuksia, maksukorttitietoja ja muita henkilötietoja voidaan kalastella tai varastaa ja myydä eteenpäin pimeässä verkossa tai käyttää suoraan nopeaan taloudelliseen hyötyyn.

Henkilötietoihin kohdistuvat kyberuhat kasvoivat huomattavasti vuonna 2023. Huomionarvoista on, että monissa tapauksissa hyökkääjät eivät enää murtaudu järjestelmiin, vaan kirjautuvat sisään varastetuilla tunnuksilla.

Tämä johtuu siitä, että pimeässä verkossa on runsaasti vuotaneita käyttäjätietoja. Rikollisten on usein helpompi hankkia olemassa olevia käyttäjätunnuksia kuin etsiä haavoittuvuuksia järjestelmistä tai ryhtyä kalastelemaan tietoja uusilta uhreilta.

Tämä huolestuttava muutos näkyy myös tilastoissa. Hyökkäykset, joissa käytetään varastettuja tunnuksia, kasvoivat 71 % ja ovat nyt yksi yleisimmistä tavoista murtautua järjestelmiin tietojenkalastelun rinnalla. Samalla tietoja varastavien haittaohjelmien käyttö kasvoi peräti 266 %.

Eräs entinen identiteettivaras luonnehti tilannetta The New York Timesille:
 “Syynä siihen, että kaikki eivät joudu uhriksi, on yksinkertaisesti se, ettei rikollisia ole tarpeeksi hyödyntämään kaikkea saatavilla olevaa tietoa.”

Pohjoismainen konteksti

Pohjoismaat ovat monella tapaa erityisen houkutteleva kohde verkkohuijauksille.

Ensinnäkin, luottamus on Pohjoismaissa korkealla tasolla. Tämä pätee sekä ihmisten väliseen kanssakäymiseen että suhteessa viranomaisiin. Luottamus sujuvoittaa arkea ja liiketoimintaa, mutta liiallinen hyväuskoisuus voi altistaa huijauksille.

Toiseksi, Pohjoismaat kuuluvat henkeä kohden mitattuna maailman vauraimpiin alueisiin. Verrattain korkea tulotaso ja mahdollisuus nostaa suuria lainoja tekevät yksilöistä houkuttelevia kohteita rikollisille. Lisäksi avoin ja kansainvälinen talous altistaa ihmisiä ja organisaatioita erilaisille huijausyrityksille.

Kolmanneksi, digitaalinen infrastruktuuri on pitkälle kehittynyt ja tiiviisti kytköksissä julkisiin palveluihin. Sähköinen tunnistautuminen on keskeinen osa arkea ja pankkitunnusten ja Mobiilivarmenteen kaltaiset järjestelmät ovat laajasti käytössä viranomaisasioinnissa, pankkipalveluissa ja terveydenhuollossa.
Tämä tekee arjesta sujuvaa, mutta samalla yksilön digitaalisesta identiteetistä tulee kriittinen osa jokapäiväistä elämää.

Yhteenvetona voidaan todeta, että korkea luottamus ja digitalisaation taso sekä taloudellinen hyvinvointi luovat kyberrikollisille houkuttelevat puitteet. Vuonna 2023 Pohjoismaissa ilmoitettiin poliisille lähes 260 000 verkkohuijausta, ja määrän odotetaan kasvavan edelleen. Todellinen määrä on todennäköisesti paljon suurempi.

Miten identiteettivarkaus tapahtuu

Henkilöllisyys voidaan varastaa lukuisin eri tavoin:

  • Tietojenkalastelu eli “phishing”
    Rikolliset lähettävät viestejä, jotka näyttävät tulevan luotettavilta tahoilta, kuten pankeilta tai viranomaisilta. Viestit sisältävät usein linkkejä haittaohjelmiin tai väärennetyille sivuille, joiden tarkoitus on kerätä kirjautumistietoja. Hyökkäyksiä tehdään sähköpostin lisäksi tekstiviesteillä (smishing) ja puheluilla (vishing).
  • Puhelinhuijaukset
    Huijari soittaa ja esiintyy esimerkiksi pankin tai kuljetusyrityksen edustajana. Soittajan numero voidaan väärentää näyttämään aidolta.
  • Tietomurrot
    Yritysten järjestelmistä varastetaan henkilötietoja, kuten henkilötunnuksia ja salasanoja, joita käytetään tai myydään eteenpäin. Tästä viime vuosien tunnetuimpana esimerkkinä lienee Vastaamon tietomurto, jossa yli 33 000 ihmisen arkaluontoisia henkilö- ja potilastietoja varastettiin.
  • WiFi-hyökkäykset
    Suojaamattomissa verkoissa liikennettä voidaan seurata. Rikolliset voivat myös luoda väärennettyjä verkkoja aitojen rinnalle (“evil twin”).
  • Postivarkaudet ja fyysiset asiakirjat
    Paperinen posti tai dokumentit voivat päätyä vääriin käsiin.
  • Korttitietojen kopiointi
    Maksukorttitietoja varastetaan esimerkiksi automaateilla tai verkkokaupoissa. Perinteinen skimming on vähentynyt, mutta uudemmat hyökkäykset, kuten sirupohjaiset relay-hyökkäykset (shimming), ovat yleistymässä.
  • Pimeä verkko (dark web)
    Varastettuja tietoja ostetaan ja myydään pimeässä verkossa.
  • Haittaohjelmat
    Haittaohjelmat voivat varastaa tietoja, kirjautumistunnuksia ja levittää muita haittaohjelmia. Esimerkiksi Qakbot-troijalainen saastutti yli 700 000 tietokonetta ja aiheutti vähintään 54 miljoonan euron vahingot.

Kuinka voit suojautua identiteettivarkauksilta

Koska käytämme usein sähköisiä tunnistusvälineitä ja saamme viestejä aidosti luotettavilta tahoilta, myös ammattimaisesti toteutetut huijaukset voivat näyttää aidolta. Siksi valppaus on keskeistä identiteettivarkauksilta suojautumisessa:

  • Tunnista tietojenkalastelu: Älä klikkaa linkkejä tai anna henkilökohtaisia tietoja sähköpostin tai tekstiviestin kautta.
  • Ole varovainen verkossa: Älä jaa henkilötietoja suojaamattomilla sivustoilla tai pyytämättä lähetettyjen viestien tai puheluiden kautta. Huomioi, että HTTPS ei takaa sivuston aitoutta – itse asiassa yli puolet tietojenkalastelusivustoista käyttää nykyisin HTTPS-yhteyttä.
  • Älä luovuta tietoja puhelimessa: Älä anna henkilökohtaisia tietoja puhelun aikana. Älä myöskään anna kiireen tunteen painostaa sinua. Jos olet epävarma, ota itse yhteyttä yritykseen tai viranomaiseen virallisten kanavien kautta.
  • Seuraa tilejäsi: Tarkista pankki- ja luottokorttitapahtumat säännöllisesti. Jos huomaat tuntemattomia tapahtumia, ota heti yhteys pankkiin.
  • Ota käyttöön kaksi- tai monivaiheinen tunnistautuminen: Tämä lisää ylimääräisen turvakerroksen ja vaikeuttaa rikollisten pääsyä tileillesi.
  • Käytä vahvoja salasanoja: Luo yksilölliset ja riittävän monimutkaiset salasanat eri palveluihin äläkä käytä samaa salasanaa useassa palvelussa.
  • Suojaa laitteesi: Pidä puhelin ja sovellukset ajan tasalla. Voit myös käyttää salasananhallintaohjelmaa kirjautumistietojen säilyttämiseen.
  • Hävitä arkaluontoiset asiakirjat: Tuhoa (esim. silppurilla) henkilötietoja sisältävät dokumentit ennen niiden poisheittämistä.
  • Vältä julkisia WiFi-verkkoja: Tarkista verkon nimi huolellisesti ennen yhdistämistä. Jos joudut käyttämään julkista WiFiä, käytä aina VPN-yhteyttä.
  • Ole varovainen sosiaalisessa mediassa: Rajoita jakamasi henkilökohtaisen tiedon määrää, sillä rikolliset voivat hyödyntää sitä identiteettivarkauksissa.

Näiden yleisluontoisten ohjeiden lisäksi eri maat tarjoavat omia suosituksiaan sekä toimintaohjeita identiteettivarkauksien uhreille. Esimerkiksi Suomessa identiteettivarkauksien uhreja kehoitetaan tekemään rikosilmoitus. Uhrit voivat myös ottaa yhteyttä rikosuhripäivystykseen.

 
Table of contents

Näytä kaikki