Kyberturvallisuuskeskus

WhatsApp ottaa käyttöön käyttäjätunnukset: käyttäjien kannattaa varautua uusiin huijausyrityksiin

7. heinäkuuta 2026 klo 12.29

Pikaviestisovellus WhatsApp ottaa käyttöön uuden ominaisuuden, jossa puhelinnumeron sijasta voi varata ja käyttää käyttäjätunnusta viestimiseen. Käyttäjätunnukset voivat parantaa yksityisyyttä vähentämällä puhelinnumeron näkyvyyttä, mutta samalla mahdollistavat uskottavia huijauksia. Siksi käyttäjien ja organisaatioiden on jatkossakin kiinnitettävä huomiota yhteydenottojen aitouden varmistamiseen.

WhatsApp on ilmoittanut ottavansa käyttöön yksilölliset käyttäjätunnukset, joiden avulla käyttäjät voivat jatkossa viestiä ja tulla tavoitetuiksi ilman, että heidän tarvitsee jakaa puhelinnumeroaan. Muutoksen tavoitteena on parantaa yksityisyyttä ja vähentää henkilötietojen tarpeetonta jakamista esimerkiksi ryhmäkeskusteluissa, tapahtumissa ja uusien kontaktien kanssa asioidessa.

Palveluun ei ole tulossa julkista käyttäjähakemistoa, vaan yhteydenottajan on tiedettävä käyttäjän tarkka tunnus. Ratkaisu voi parantaa yksityisyyttä erityisesti tilanteissa, joissa käyttäjä ei halua jakaa puhelinnumeroaan laajemmalle joukolle ihmisiä.

Kyberturvallisuuden näkökulmasta käyttäjätunnukset voivat kuitenkin lisätä riskiä niin sanottuun impersonointiin eli toisena henkilönä tai organisaationa esiintymiseen.

"Rikolliset ovat aiemminkin hyödyntäneet organisaatioiden ja tunnettujen henkilöiden nimiä huijauksissa, ja vastaavia ilmiöitä voidaan nähdä myös WhatsAppin käyttäjätunnusten käyttöönoton yhteydessä. Vaikka viranomaiset ja muut organisaatiot varaavat omia käyttäjätunnuksia, tulee yhteydenottojen osalta aina varmistua virallisen väylän kautta yhteydenoton oikeellisuudesta." -kertoo tietoturva-asiantuntija Roni Kokkola

Huijari voi esimerkiksi rekisteröidä käyttäjätunnuksen, joka muistuttaa erehdyttävästi tunnetun henkilön, organisaation tai yrityksen tunnusta. Ero voi olla vaikeasti havaittava, kuten:

  • yksi ylimääräinen kirjain
  • numeron käyttö kirjaimen sijasta
  • pieni kirjoitusasuero
  • erikoismerkin lisääminen tunnukseen

Tällaisia tunnuksia voidaan käyttää luottamuksen rakentamiseen ennen tietojenkalasteluviestien lähettämistä.

Tietojenkalastelu voi siirtyä puhelinnumeroista käyttäjätunnuksiin

Aiemmin monet WhatsApp-huijaukset ovat perustuneet vastaanottajan puhelinnumeron tuntemiseen.

Käyttäjätunnusten käyttöönoton myötä huijarit voivat pyrkiä keräämään ja hyödyntämään käyttäjätunnuksia samalla tavalla.
Hyökkääjä voi esimerkiksi:

  • esiintyä pankin, viranomaisen tai palveluntarjoajan edustajana
  • lähettää linkkejä väärennetyille kirjautumissivuille
  • houkutella käyttäjää luovuttamaan kertakäyttöisiä tunnuksia tai muita tunnistetietoja
  • yrittää kaapata WhatsApp-tilin valheellisilla viesteillä

Pelkkä käyttäjätunnus ei välttämättä kerro vastaanottajalle, onko yhteydenotto aito vai huijarin tekemä. Siksi viestien sisältöön tulee suhtautua kriittisesti myös silloin, kun yhteydenotto näyttää tulevan luotettavalta taholta.

Organisaatioiden kannattaa varautua uusiin väärinkäyttöyrityksiin

Yritysten, viranomaisten ja muiden organisaatioiden kannattaa harkita virallisten käyttäjätunnustensa varaamista mahdollisimman varhaisessa vaiheessa. Tunnettuun brändiin viittaavan käyttäjätunnuksen joutuminen väärinkäyttäjän haltuun voi lisätä asiakkaisiin kohdistuvien huijausten uskottavuutta.

Organisaatioiden on myös syytä viestiä asiakkailleen, mitä virallisia viestintäkanavia ne käyttävät ja miten niiden aidot tunnukset voidaan tunnistaa.

Näin suojaudut

WhatsAppin käyttäjätunnusten käyttöönotto ei poista tarvetta noudattaa samoja turvallisuuskäytäntöjä kuin muissakin viestipalveluissa.

Käyttäjän kannattaa:

  • ottaa käyttöön kaksivaiheinen tunnistautuminen WhatsAppissa
  • tarkistaa yhteydenottajan tunnus huolellisesti
  • suhtautua epäilevästi kiireellisiin tai painostaviin viesteihin
  • olla avaamatta epäilyttäviä linkkejä
  • varmistaa pyynnöt toista viestintäkanavaa pitkin, jos ne koskevat rahaa, tunnuksia tai henkilötietoja.

Organisaatioiden kannattaa:

  • varata omat organisaation käyttämät tunnukset
  • viestiä omilla sivuillaan tai muita virallisia viestintäkanavia käyttäen mitkä ovat organisaation viralliset viestintäkanavat
  • ohjeistaa omaa henkilökuntaa miten toimia saadessaan organisaatioon liittyviä viestipyyntöjä