Kyberturvallisuuskeskuksen viikkokatsaus - 45/2025

Tietoturva Nyt!

Julkaistu 07.11.2025 8:37

Tällä viikolla kerromme viime aikojen eniten esillä olleista hyökkääjien tavoista huijata tavallisia kansalaisia. Hyökkääjiä kiinnostavat erityisesti rahat ja tiedot. Huijausten ja kalasteluviestien skaala on laaja, joten kaikkien tulee olla alati varuillaan ja tarkkana uusia viestejä tarkastellessaan. Viikolla järjestettiin myös Cyber Security Nordic -messut, joissa myös Kyberturvallisuuskeskus oli paikalla.

Tällä viikolla katsauksessa käsiteltäviä asioita

Viimeaikojen yleisimmät tavat huijata kansalaisia
Miten suojelemme digitaalista yhteiskuntaa? Tietoturva 2025 -seminaari Cyber Security Nordicissa
Haittaohjelmakatsaus: Ngioweb
Ajankohtaiset huijaukset

Viimeaikojen yleisimmät tavat huijata kansalaisia

Rikolliset pyrkivät varastamaan tietoja ja rahaa tavallisilta kansalaisilta verkon avulla entistä viekkaammin. Erilaiset huijausyritykset saapuvat eri alustoilta tai sovelluksista ja ovat vuosi vuodelta laadukkaampia. Tekniikan kehittyessä suomenkielinen teksti on aiempaa helpompaa tuottaa. Esimerkiksi tekoälyn avulla on helppoa tarkistaa käännetyn tekstin kieliasu vielä sopivampaan muotoon huijauksia varten.

Finanssialan mukaan viime vuonna suomalaiset menettivät 62,9 miljoonaa euroa huijareille. Todellinen luku on todennäköisesti vielä isompi, koska kaikki rahalliset menetykset eivät tule poliisin tai pankkien tietoon. On syytä ottaa huomioon, että mm. pankkien, operaattoreiden ja viranomaisten tekemä yhteistyö estää myös vuositasolla valtavan määrän rahanmenetyksiä. Vuonna 2024 pankit estivät toiminnallaan 44,3 miljoonan euron menetykset.

Finanssialan tilastografiikkaa huijauksista vuonna 2024. Rahaa on huijattu yhteensä 107,2 miljoonan euron edestä, mikä on 39 % enemmän kuin vuonna 2023. — Kuvalähde: Finanssiala

Lue lisää:

Finanssiala: Huijaukset rajussa kasvussa vuonna 2024 – pankit saivat pysäytettyä huijattuja maksuja yli 44 miljoonan euron arvosta (Ulkoinen linkki)

Kyberturvallisuuskeskus havaitsee ja vastaanottaa viikkotasolla valtavasti erilaisia kalasteluviestejä. Suurimmassa osassa vastassa on kalastelusivu, johon huijari pyrkii saada tavallisen käyttäjän syöttämään verkkopankkitietonsa. Organisaatioiden pahin vitsaus kalasteluviestien osalta on ollut M365-tietojenkalasteluun johtaneet tietomurrot, joista kerroimme viimeksi viime viikolla (Ulkoinen linkki).

Huijauspuhelut ja viestit Kyberturvallisuuskeskuksen nimissä

Traficomin tietoon on tullut syksyllä tapauksia, joissa rikolliset ovat soittaneet uhreille ja esiintyneet Kyberturvallisuuskeskuksen asiantuntijoina (Ulkoinen linkki). Huijauspuheluissa rikolliset ovat muun muassa väittäneet uhrien matkapuhelimien olevan virusten saastuttamat ja että kyberturvallisuuskeskuksen asiantuntijat tulevat noutamaan laitteet pois. Lisäksi puheluissa on myös pyydetty pankkitunnuksia ja maksukorttien tietoja. Rikolliset ovat lähettäneet myös EU:n kyberturvallisuusdirektiivi NIS2 -aiheisia Whatsapp-viestejä, joissa viitataan organisaation tekemään tietoturvailmoitukseen. Traficom julkaisi tuoreimmista pankkikalasteluun johtavista viesteistä tiedotteen verkkosivuillaan 6.11.2025 (Ulkoinen linkki).

Viranomaisien nimissä esiintyminen on yleistä

Rikolliset eivät kaihda keinoja mahdollisten kalasteluteemojen osalta. Rikolliset levittivät syksyllä aktiivisesti (Ulkoinen linkki) huijaustekstiviestejä, joissa he esiintyivät esimerkiksi sosiaalityöntekijöinä tai poliiseina ja viittasivat lastensuojeluun. Huijauksen uhreiksi on joutunut muun muassa yksittäisiä organisaatioita ja rahalliset menetykset syksyllä 2025 ovat vaihdelleet tuhansista euroista jopa sataan tuhanteen euroon saakka. Vastaavaa toimintaa on tapahtunut myös marraskuussa ja rahallisista menetyksistä on raportoitu Kyberturvallisuuskeskukselle viime päivien aikana.

Erilaisten suosittujen alustojen hyödyntäminen huijauksissa

Rikolliset ovat jo aikoja sitten siirtyneet sosiaalisen median alustoille huijaamaan tavallisia ihmisiä. Viime aikoina Kyberturvallisuuskeskus on saanut enenevissä määrin ilmoituksia erilaisista huijausyrityksistä esimerkiksi Teamsissa tai pikaviestimissä kuten WhatsAppissa. Huijausyrityksiä on saapunut myös työpuhelimiin ja sähköposteihin.

Kirjoitimme aiemmin syksyllä artikkelin Teams-alustan huijauksista (Ulkoinen linkki).

Rikolliset esiintyvät myös organisaatioiden nimissä

Syksyllä havaittiin useita huijausyrityksiä, joissa rikolliset esiintyivät eläkeyhtiöinä (Ulkoinen linkki). Huijauksissa asiakkaita houkuteltiin avaamaan linkkejä sekä syöttämään henkilö- tai pankkitietoja väärennetyille sivuille. Tällaiset viestit voivat tulla sähköpostiin tai tekstiviestinä, ja ne muistuttavat ulkoasultaan oikeita eläkeyhtiöiden yhteydenottoja.

Huijausyrityksissä väitettiin, että eläketulon maksaminen on keskeytetty tai että uhrin tulisi päivittää tiedot linkin kautta, jotta maksamista voidaan jatkaa. Viestissä oleva linkki oli kuitenkin johtanut tietojenkalastelusivustolle.

Kiristysviestikampanjoita esiintyy tasaisin väliajoin

Erilaisia kiristysviestejä saapuu vuosittain erilaisilla teemoilla. Tänä kesänä (Ulkoinen linkki) Kyberturvallisuuskeskus vastaanotti runsaasti havaintoja kiristysviesteistä, joissa huijari väitti saaneensa pääsyn uhrin laitteisiin ja kuvanneensa uhria salaa tämän vieraillessa aikuisviihdesivuilla. Viestissä huijari ehdotti uhrille sopimusta ja yritti kiristää uhrin lähettämään rahaa annettuun Bitcoin-osoitteeseen. Viestit olivat kirjoitettu suomeksi ja viestin lähetysosoite naamioitu siten, että viesti näytti tulleen vastaanottajan omasta sähköpostiosoitteesta. Vastaavankaltainen kampanja saapunee jossain vaiheessa taas uudelleen aaltomaisena kampanjana sähköposteihin.

Kyseiset viestit ovat huijausta, eikä vaadittuja rahasummia pidä missään nimessä maksaa. Viesti kannattaa jättää huomiotta ja poistaa.

Toimitusjohtajahuijauksista tulee ilmoituksia viikoittain

Syksyn aikana Kyberturvallisuuskeskus on vastaanottanut useita ilmoituksia toimitusjohtajahuijauksista. Rikolliset hyödyntävät sosiaalista manipulointia, heikkoja prosesseja ja ajankohtaisia tapahtumia saadakseen taloudellista hyötyä: rikolliset pyytävät esimerkiksi kiireellisiä tilisiirtoja, lahjakorttiostoja tai tekaistujen laskujen maksamista. Toimitusjohtajahuijaukset koskevat etenkin organisaatioita. Voit lukea lisää artikkelistamme täältä (Ulkoinen linkki).

Kryptovaluuttasijoitukset kiinnostavat huijareita

Kryptovaluuttasijoituspalvelut ovat viime aikoina kiinnittäneet myös huijareiden huomion. Erilaisiin kryptovaluuttoihin on sidottu huomattavia rahamääriä, joita rikolliset yrittävät saada huijattua haltuunsa. Kryptosijoituspalveluiden käyttäjien tilejä on murrettu ja niiltä on varastettu suuria summia.

Huijarit ovat lähettäneet viestejä, jotka on väärennetty näyttämään palvelun virallisilta ylläpitoviesteiltä. Huijausviesteissä väitetään, että uhrin tiliä käytetään hyväksi, tai sille yritetään tunkeutua tai poistaa tiliin kytketty monivaiheinen tunnistautuminen. Esim. “We have received a request to unbind your 2FA. If this wasn’t you, call this number.” Kuten huijauksissa yleensä, huijari pyrkii luomaan kiireen tuntua ja säikyttämään uhrin varomattomaksi.

Rikollisten käyttämiä vetoamisen keinoja ja tapoja niihin varautumiseksi:

Pelolla vaikuttaminen: Huijausviesteissä uhataan tilin sulkemisella, jäädyttämisellä tai esimerkiksi rikosepäillyn kohteeksi joutumisella.
Myötätunnon hyväksikäyttö: Vedotaan hätätilanteeseen ja pyydetään rahaa. Älä siirrä rahaa ennen kuin olet varma, kuka sitä pyytää ja miksi.
Auktoriteetteihin vetoaminen: Viestit voivat näyttää tulevan viranomaisilta. Lähettäjän tiedot saattavat nopeasti katsottuna vaikuttaa oikealta.
Liian hyvä ollakseen totta: Viestit esimerkiksi arvonnan voittamisesta ja ilmaiset lahjakortit voivat olla huijauksia. Mieti, oletko edes osallistunut arvontaan.
Luottamuksen rakentaminen: Pitkäjänteiset huijaukset, kuten romanssi- tai sijoituspetokset, perustuvat luottamuksen rakentamiseen ennen rahan pyytämistä. Suhtaudu rahanpyyntöihin harkitsevasti.
Muista: pysähdy, arvioi viestin motiiveja ja kiirellisyyden tai uhkaavan sävyn syytä. Varmista viestin oikeellisuus virallisista lähteistä. Jos sinulta pyydetään rahaa, pyri varmistumaan siitä, kuka rahaa pyytää ja onko viesti aito.

Huijausten vuosikello. Rikolliset seuraavat muun yhteiskunnan rytmejä. Laskutuspetokset yleistyvät loma-aikoina, loppuvuodesta huijataan myös veronpalautusten varjolla. Black Friday ja joulu tuovat mukanaan pakettiteemaisia huijauksia ja valeverkkokauppoja. — Rikolliset seuraavat yhteiskunnan tapahtumia ja käyttävät huijauksissaan ajankohtaisia aiheita.

Miten suojelemme digitaalista yhteiskuntaa? Tietoturva 2025 -seminaari Cyber Security Nordicissa

Tietoturva 2025 -seminaari kokosi yhteen kyberturvallisuuden asiantuntijat ja viranomaiset Helsingin Messukeskuksessa 5.11. osana Cyber Security Nordic -tapahtumaa. Traficomin ja Huoltovarmuuskeskuksen järjestämässä tilaisuudessa pohdittiin, miten suojaamme yhä riippuvaisemmaksi digitaalisista rakenteista käyvää yhteiskuntaa.

Traficomin pääjohtaja Jarkko Saarimäki muistutti avauspuheessaan viranomaisen roolista kestävän, sujuvan ja turvallisen digitaalisen arjen mahdollistajana. Traficomin Kyberturvallisuuskeskus tukee tätä tehtävää tarjoamalla ajankohtaista tilannetietoa uhkista ja varautumisesta. “Viranomaisten, yksityisen sektorin ja kansalaisten yhteistyö on Suomen vahvuus kyberuhkien torjunnassa,” Saarimäki totesi.

Kyberturvallisuuskeskuksen ylijohtaja Anssi Kärkkäinen loi katsauksen kuluneeseen vuoteen ja korosti, että kyberuhkien taso on pysynyt kohonneena. Kyberturvallisuuskeskuksella on ollut selvitettävänään vakavia ja kriittisiä tapauksia aiempaa enemmän. Suomen vahvuutena on ennakoiva varautuminen, mutta jatkuva valppaana pysyminen on olennaista. Avainasemassa ovat yhteistyö, kriittisen infrastruktuurin suojaaminen, riippuvuuksien tunnistaminen ja monipuolinen harjoittelu.

Seminaarin pääpuhujana oli Deputy Head of Division Viktor Vorobei (The State Special Communications Service and Information Protection of Ukraine). Puheessaan hän jakoi kokemuksiaan Ukrainan kyberturvallisuudesta sodan aikana. Haasteiksi hän nosti rajalliset resurssit, luottamuksen ja tiedonjaon sekä vanhentuneen sääntelykehyksen. Ratkaisuina Vorobei esitteli muun muassa tietoisuuden lisäämistä, viranomaisten ja käyttäjien parempaa viestintää sekä osaamisen kehittämistä.

Paneelikeskustelussa kansainväliset asiantuntijat pohtivat, mitä kriittisen infrastruktuurin suojaaminen tarkoittaa käytännössä ja millaista teknologiaa, yhteistyötä ja varautumista se edellyttää tulevaisuudessa. Moderaattorina toimi General Manager Baiba Kaskina Latvian Kyberturvallisuuskeskuksesta.

moderaattori ja viisi paneelikeskustelijaa seminaarin lavalla — Paneelin moderaattorina toimi Baiba Kaskina (General Manager, National Cyber Security Centre of Latvia) (vasemmalla). Panelistit vasemmalta oikealle: Clémence Poirier (Senior Cyberdefence Researcher, ETH Zurich), Geri Revay (Principal Security Researcher, Fortinet), Harri Larsson (CEO, Cparta Cyber Defense) ja Heidi Kivekäs (osastopäällikkö, Kyberturvallisuuskeskus, Traficom).

SSH Communications Securityn Suvi Lampila kertoi osuudessaan kvanttiturvallisista algoritmeista. Agionin Mikko Alasaarela käsitteli puheenvuorossaan tekoälyagentteja. Kyberturvallisuuskeskuksen johtava asiantuntija Karoliina Kemppainen kävi läpi turvallisen koodin kriittistä merkitystä tietoturvallisessa ohjelmistokehityksessä. Kemppainen korosti, että asia koskettaa kaikkia: vaikkei yritys tekisi ohjelmistoja, se kuitenkin hankkii ja käyttää niitä.

Huoltovarmuuskeskuksen johtava varautumisasiantuntija Juha Ilkka summasi päivän yhteen ja toivotti kuulijat mukaan myös ensi vuoden seminaariin lokakuussa 2026.

Haittaohjelmakatsaus: Ngioweb

Ngioweb on Linux-pohjainen haittaohjelma, joka hyödyntää haavoittuvia IoT- ja SOHO-reitittimiä sekä muita laitteita yhdistääkseen nämä osaksi bottiverkkoa. Tämä mahdollistaa muun muassa haitallisen liikenteen välittämisen tartunnan saaneen laitteen kautta, palvelunestohyökkäysten tekemisen, ja laitteella olevien tietojen varastamisen.

Ngioweb käyttää automatisoituja loader-verkkoja ja hyödynnettävien laitteiden etsimiseen tarkoitettuja skriptejä. Osa haittaohjelman versioista toimii pääosin muistissa, mikä tekee havaitsemisesta ja palauttamisesta haastavaa. Tartunnan saaneita laitteita on havaittu laajalti eri maissa ja niitä käytetään laajasti kaupallisten ja rikollisten proxy-palvelujen tuottamiseen.

Kuinka suojautua Ngioweb-tyyppiseltä uhkalta:

Päivitä reitittimet ja IoT-laitteet säännöllisesti
Vaihda laitteiden oletussalasanat ja ota käyttöön vahvat, yksilölliset salasanat tai avainpohjainen autentikointi.
Poista käytöstä etähallinta ellei se ole välttämätöntä, ja rajoita hallintapääsyä vain luotettuihin verkkoihin.
Estä tarpeettomat portit ja epäilyttävät C2-yhteydet.
Tiedä mitä laitteita verkossasi on ja poista käytöstä vanhentuneet tai käyttämättömät laitteet.
Jos epäilet haittaohjelmatartuntaa, tee tehdasasetusten palautus, päivitä laite välittömästi ja vaihda salasanat. Lisäksi harkitse laitteen vaihtamista mikäli toimittaja ei enää tue päivityksiä

Ajankohtaiset huijaukset

Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.

Ota viipymättä yhteys pankkiisi, jos olet tehnyt huijauksen perusteella maksun, rikollinen on päässyt verkkopankkiisi tai saanut maksukorttitietosi käsiinsä.
Tee rikosilmoitus poliisille. Voit tehdä sähköisen rikosilmoituksen verkossa. (Ulkoinen linkki)
Voit ilmoittaa asiasta myös Kyberturvallisuuskeskukselle.
Ohjeet tietovuodon uhrille (Ulkoinen linkki)

Tutustu keinoihin tunnistaa ja suojautua nettihuijauksilta

Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 31.10. - 6.11.2025). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.