WhatsApp-tilien vahvistuskoodeja kalastellaan Suomessa

Tietoturva Nyt!

Rikolliset kalastelevat WhatsApp-tilien vahvistuskoodeja aktiivisesti. Onnistunut kalasteluyritys johtaa oman WhatsApp-tilin hallinnan menetykseen. WhatsAppin käyttäjien on tärkeää tunnistaa vahvistuskoodien kalasteluyritykset ja suojautua ottamalla kaksivaiheinen tunnistautuminen käyttöön. Omaa WhatsApp-vahvistuskoodia ei tule koskaan jakaa muiden kanssa.

WhatsApp-tili haltuun vahvistuskoodin kalastelulla

Rikollisten tavoitteena on saada kalastelun avulla haltuun erilaisia käyttäjätunnuksia ja käyttäjätilejä. Kalastelun avulla voidaan esimerkiksi levittää lisää kalastelua tai hankkia tietoa käyttäjän tililtä.

WhatsApp-vahvistuskoodin kalastelu voi johtaa WhatsApp-tilin kaappaukseen ja tilin käytön estymiseen. Hyökkääjä voi saada haltuunsa kaapatun WhatsApp-tilin yhteystiedot ja uusien viestien sisällön. Kaapatulla tilillä voidaan luoda yhteystietojen pohjalta uusia keskusteluryhmiä, joissa jaetaan lisää kalastelua ja roskapostia. 

Jos WhatsApp-tilillä ei käytetä kaksivaiheista tunnistautumista, tilin kaapannut rikollinen voi estää uhrin pääsyn tilille ottamalla tunnistautumisen käyttöön.

Jos tilisi on kaapattu, lue WhatsAppin ohjeet (Ulkoinen linkki) kaapatun tilin palauttamiseksi.

Tutulta henkilöltä tullut WhatsApp-viesti, jossa pyydetään välittämään tekstiviestinä saapunut vahvistuskoodi.
Vahvistuskoodeja on kalasteltu esimerkiksi tällaisilla viesteillä.

Vahvistuskoodeja kalastellaan eri tavoin

WhatsApp-vahvistuskoodeja kalastellaan erilaisilla verukkeilla. Sekä Suomessa että ulkomailla on havaittu vahvistuskoodien kalastelun eri muotoja. Pyyntö oman WhatsApp-vahvistuskoodin antamisesta voi tulla olemassa olevan yhteystiedon kautta tai WhatsApp-palvelun tukena esiintyvältä henkilöltä. Vahvistuskoodia voidaan kalastella myös käyttäjän puhelinvastaajan kautta.

"Tuttu" pyytää WhatsApp-vahvistuskoodia

WhatsApp Business -sovelluksen vahvistuskoodeja on kalasteltu olemassa olevien yhteystietojen kautta. WhatsApp-tilin käyttäjä voi saada yhteystiedoltaan viestin, jossa pyydetään välittämään tilin omistajalle "vahingossa" lähtenyt WhatsApp-vahvistuskoodi. Jos vahvistuskoodin luovuttaa, rikollinen yrittää käyttää vahvistuskoodia WhatsApp-tilin kaappaamiseen.

Vaikka meille ilmoitetut tapaukset koskivat WhatsApp Business -sovellusta, vastaava huijaus toimii myös WhatsAppin perusversiossa.

Ota kaksivaiheinen tunnistautuminen (Ulkoinen linkki) käyttöön WhatsApp-tilillesi. Se tarjoaa tilillesi lisäsuojaa ja sitä vaaditaan vahvistuskoodin lisäksi, jos joku yrittää käyttää tiliäsi.

WhatsApp-tueksi tekeytynyt henkilö pyytää vahvistuskoodia

Henkilö saa WhatsApp-viestin rikolliselta, joka esiintyy WhatsApp-palvelun tukihenkilönä. Henkilölle väitetään, että hänen WhatsApp-tilistään on tehty ilmoitus WhatsAppille ja hänen tulee varmentaa tilinsä antamalla kuusinumeroinen WhatsApp-vahvistuskoodi. Jos vahvistuskoodi annetaan tukihenkilönä esiintyvälle rikolliselle, rikollinen saa pääsyn WhatsApp-tilille. 

WhatsApp-palvelun oikea tuki ei koskaan pyydä käyttäjiään jakamaan kuusinumeroista vahvistuskoodia. Omaa vahvistuskoodia ei tule koskaan jakaa muille.

WhatsApp-vahvistuskoodi kalastellaan puhelinvastaajan kautta

Ulkomailla on havaittu tapauksia, joissa WhatsApp-tilin vahvistuskoodi on saatu haltuun puhelinvastaajan kautta. Rikollinen syöttää tarkoituksella vääriä vahvistuskoodeja yrittäessään kirjautua uhrin WhatsApp-tilille. Kun vääriä vahvistuskoodeja syötetään toistuvasti, tarjoaa WhatsApp mahdollisuutta puhelulla tapahtuvaan tunnistautumiseen.

WhatsAppin puhelutunnistautuminen soittaa uhrille puhelun ja luettelee tarvittavan vahvistuskoodin. Jos uhri jättää puhelun huomioimatta tai puhelin on suljettu, puhelu voi tallentua uhrin puhelinvastaajaan.

Tämän jälkeen rikollinen yrittää kirjautua uhrin puhelinvastaajaan oletussalasanan avulla. Jos vastaajan oletussalasanaa ei ole muutettu, rikollinen voi päästä kuuntelemaan WhatsAppin soittaman puhelun, ja saada haltuunsa kuusinumeroisen vahvistuskoodin. Sen jälkeen rikollinen käyttää vahvistuskoodia kaappaamaan uhrin WhatsApp-tilin. 

Varmista, että puhelinvastaajasi oletussalasana on vaihdettu.

WhatsApp Business -palvelulta saapunut kirjautumisen vahvistusviesti.
Tietojenkalastelijan tavoittelema aito vahvistusviesti WhatsApp Business -palvelulta.

Suojaudu WhatsApp-kalastelulta

Tietojenkalastelulta voi suojautua tunnistamalla kalasteluyritykset ja käyttämällä kaksivaiheista tunnistautumista omalla WhatsApp-tilillä.

  • Omaa vahvistuskoodia ei tule koskaan jakaa muiden kanssa. WhatsApp-palvelun virallinen tuki ei koskaan pyydä jakamaan vahvistuskoodia. 
  • Ota kaksivaiheinen tunnistautuminen käyttöön WhatsAppissa.
  • Vaihda puhelinvastaajasi oletussalasana.

Omaa vahvistuskoodia ei koskaan tule jakaa ulkopuoliselle, eikä WhatsApp-palvelun tuki pyydä koskaan jakamaan omaa vahvistuskoodia. Oman puhelinvastaajan oletussalasana tulee vaihtaa, jotta ulkopuolinen ei voi kirjautua vastaajaan ja kuunnella WhatsApp-vahvistusviestin koodia.

WhatsApp-tilin vahvistuskoodia kalasteleva viesti, jonka lähettäjä tekeytyy WhatsAppin tueksi (support).
Vahvistuskoodeja WhatsApp-tilille voidaan kalastella myös tekeytymällä WhatsApp-tueksi (support)

Lisätty uusi esimerkki WhatsApp-tuen nimissä vahvistuskoodeja kalastelevasta viestistä

Päivitetty uusia WhatsApp-vahvistuskoodien kalastelumuotoja