Kyberturvallisuuskeskuksen viikkokatsaus - 22/2026
Viikkokatsauksessa kerromme Traficomin nimissä liikkeellä olleista huijausviesteistä ja kuinka uudistettu Hyöky-palvelu kannustaa vahvistamaan oman verkon turvallisuutta. EU:n kyberkestävyyssäädöksen voimaantulo tuo mukanaan uusia velvoitteita, joista kerrotaan tarkemmin 3.6. järjestettävässä infotilaisuudessa.
Aiheita
- Traficomin nimissä liikkuneita huijausviestejä
- Hyöky - Kartoita verkkosi, turvaa arkesi
- EU:n kyberkestävyyssäädös tulee voimaan – infotilaisuus 3.6.2026
- Ajankohtaiset huijaukset
Traficomin nimissä liikkuneita huijausviestejä
Viikon aikana Kyberturvallisuuskeskukselle on ilmoitettu Traficomin nimissä liikkuneista kalasteluviesteistä. Huijausviesteissä väitetään, että viestin vastaanottajalla on erääntynyt maksamatta oleva sakko. Kyse on kalasteluviestistä, jolla vastaanottajaa yritetään saada klikkaamaan viestissä olevaa linkkiä ja luovuttamaan pankkitunnukset taikka muita arkaluonteisia tietoja rikollisille.
Kalasteluviesti alkaa esittäytymällä "Ajoneuvoministeriönä". Tällaista ministeriötä ei Suomessa kuitenkaan ole. Tämän jälkeen viestissä kerrotaan vastaanottajan ajoneuvon tallentuneen kameraan liikennesääntöjä rikkoen, mistä olisi syntynyt sakkoseuraamus. Viestissä uhataan, että mikäli sakkoa ei makseta määräaikaan mennessä, asia siirrettäisiin tuomioistuimeen ja vastaanottajan pankkitili, palkkatulot ja muu omaisuus jäädytettäisiin.
Tälläisiä kalasteluviestejä on lähetetty myös henkilöille, jotka eivät omista autoa, eikä viestin kertomat menettelyt ole muutoinkaan totuudenmukaisia. Kalasteluviesteissä rikollinen pyrkii aiheuttamaan vastaanottajalle kiireen tuntua, jotta viestiä ei tunnistettaisi kalasteluksi. Tyypillisesti kalasteluviesteissä vedotaan vakavuuteen, kiireellisyyteen sekä luomaan vastaanottajalle painetta, jotta vastaanottajaa saataisiin erehdytettyä.
Toimi näin:
- Älä klikkaa sähköpostissa tai tekstiviesteissä olevia linkkejä.
- Älä mene palveluihin linkkien tai hakukoneen tulosten kautta vaan kirjoita verkkosivun osoite kokonaisuudessaan osoiteriville.
- Tallenna sinulle tärkeimpien palveluiden verkko-osoitteet selaimesi kirjanmerkkeihin tai suosikkeihin, joiden kautta niihin on turvallista siirtyä.
- Jos olet erehtynyt antamaan luottokorttitietojasi tai verkkopankkitunnuksesi, olet voinut joutua petoksen uhriksi. Ole ensin yhteydessä omaan pankkiisi, ja tee sen jälkeen rikosilmoitus poliisille. Myös petoksen yritykset kannattaa ilmoittaa.
- Vastaavanlaisista viesteistä ja petoksen yrityksistä voi ilmoittaa myös Kyberturvallisuuskeskukselle
Hyöky - Kartoita verkkosi, turvaa arkesi
Lähes jokaisella organisaatiolla on jonkinlainen hyökkäyspinta. Hyökkäyspinnalla tarkoitetaan organisaation internetiin näkyviä palveluja, joissa saattaa olla heikkouksia ja haavoittuvuuksia. Hyökkääjä voi hyödyntää näitä esimerkiksi tietomurron tai muun kyberhyökkäyksen toteuttamiseen.
Hyökkäyspintaa kasvattavat muun muassa avoimet tietoliikenneportit, suojaamattomat tietojärjestelmät sekä verkkopalveluiden haavoittuvuudet. Tieto hyökkäyspinnasta tehdyistä havainnoista auttaa organisaatioita kohdentamaan korjaustoimenpiteitä tehokkaasti ja kehittämään palveluidensa tietoturvaa ennakoivasti.
Hyöky on Kyberturvallisuuskeskuksen tuottama kansallinen palvelu, jonka tavoitteena on parantaa kyberturvallisuutta kartoittamalla organisaatioiden hyökkäyspintaa. Hyöky on maksuton ja helppokäyttöinen palvelu, joka analysoi organisaation julkisiin tietoverkkoihin näkyvän hyökkäyspinnan. Palvelun kautta organisaatio saa kuukausittaisen raportin hyökkäyspinta-alastaan.
Uudistetun Hyökyn käyttö on alkanut, ja uudet käyttäjät ovat tervetulleita liittymään palveluun kartoittaakseen oman hyökkäyspintansa ja parantaakseen tietoturvaansa. Tarkemmat ohjeet ja palvelukuvaus löytyvät osoitteesta:
EU:n kyberkestävyyssäädös tulee voimaan – infotilaisuus 3.6.2026
EU:n kyberkestävyyssäädös CRA:n kansallinen täytäntöönpanotyö on loppusuoralla. Traficomin Kyberturvallisuuskeskus, liikenne- ja viestintäministeriö sekä Kyberala ry järjestää EU:n kyberkestävyyssäädöksen (CRA) voimaantuloa koskevan infotilaisuuden 3. kesäkuuta klo 9-11.30.
Säädöksen ensimmäisiä velvoitteita aletaan soveltaa jo lähitulevaisuudessa. Kyberkestävyyssäädös tuo merkittäviä uusia vaatimuksia tuotteiden kyberturvallisuudelle ja elinkaaren aikaiselle haavoittuvuuksien hallinnalle. Sääntely koskettaa laajasti eri toimijoita digitaalisilla markkinoilla.
Kesäkuun alun infotilaisuudessa EU-komission, kansallisten viranomaisten ja yritysten edustajat tuovat esiin näkökulmia sääntelyn sisältöön, velvoitteisiin ja sen kansalliseen toimeenpanoon.
Tilaisuus on maksuton ja sitä voi seurata suorana verkossa. Tilaisuuteen voi ilmoittautua alla olevasta linkistä. Tilaisuuteen ilmoittautuminen päättyy 2.6. klo 12.
Ajankohtaiset huijaukset
Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.
OmaKanta -palvelun nimissä sähköpostitse välitetty kalasteluviesti, jossa vastaanottajaa ohjataan kirjautumaan palveluun viestissä olevan linkin kautta. Linkki johtaa kalastelusivustolle, joka pyrkii kalastelemaan vastaanottajan pankkitunnuksia.
Nordean nimissä sähköpostitse lähetetty kalasteluviesti, joka pyrkii ohjaamaan vastaanottajaa viestissä olevan linkin välityksellä kalastelusivustolle.
Tekstiviestitse lähetetty kalasteluviesti Matkahuollon nimissä. Viestissä oleva verkkotunnus ohjaa kalastelusivulle, jossa pyydetään vastaanottajaa syöttämään pankkitunnuksensa.
Haavoittuvuudet
CVE: CVE-2026-9082
Drupalin vakavuuspisteytys: 23/25
Mikä: Drupal Coressa kriittinen ja aktiivisesti hyväksikäytetty SQL-injektion mahdollistava haavoittuvuus
Korjaus: Päivitä Drupal uusimpaan versioon
Haavatiedote: https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuudet/haavoittuvuus-2026-15
Tutustu Viikkokatsaukseen
Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 22.5.-28.5.2025). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.