Älä lankea spammiin

Kalasteluviesti

Tänään oli sähköpostini Junk-kansioon ilmestynyt tärkeä viesti eräältä pankilta, aiheena Kriittinen Turvallisuus Päivitys. Miksi et klikkaisi tätä tärkeää päivitystä?

Viesti on kohtuullisen hyvää suomea muutamaa kirjoitusvirhettä lukuun ottamatta, joten siitä huolimatta, että ainakin näemmä Gmailin filtterit tunnistivat sen roskapostiksi, saattaa moni langeta viestin ansaan eli klikkaamaan linkkiä. Lisäksi viesti näyttää tulevan aivan asiallisesti osoitteesta noreply@pankki.fi (vaikka tämä oikeastaan onkin todella huono lähettäjäosoite, mutta siitä toisen kerran) ja allekirjoittajana on kyseisen pankin Asiakaspalvelun Verkko-turvallisuusosasto. Joten kai tämä pitää päivittää, vai mitä?

Ihan ensimmäiseksi hälytyskellojen tulisi kuitenkin soida ainakin kahdesta syystä. Viesti tosiaan oli päätynyt roskapostikansioon sekä sisältää kirjoitusvirheitä (vaikka saattaa niitä löytyä ihan asiallisista viesteistäkin). Lisäksi lähempi tarkastelu osoittaa muutaman asian. Alan ammattilaisena kurkkaan usein saamieni viestien lähdekoodia. Gmailissa lähdekoodin näkee kurkkaamalla pudotusvalikkoa, joka löytyy nuolen vierestä sivun oikeasta yläkulmasta ja valitsemalla ”Show original”. Tämä paljastaakin viestistä sitten jo paljon enemmän.

Sen enempää kaivautumatta syvemmälle sähköpostien turvallisuusasioihin, pari asiaa voi lähdekoodista helposti tarkistaa eli viestin autentikoinnit sekä todellisen lähettäjän. Yleisimmät sähköpostien turvallisuusautentikoinnit ovat SPF (Sender Policy Framework) ja DKIM (Domain Keys Identified Mail) sekä vähitellen yleistymässä oleva DMARC (Domain-based Message Authentication, Reporting and Conformance), joilla pyritään varmistamaan, että roskapostittajat, jotka käyttävät todellisten yritysten osoitteita lähettäjänimenä, eivät saisi viestejään joko lainkaan läpi vastaanottajien sähköpostilaatikoihin tai ainakin ne päätyisivät roskapostiin.

Kun siis katsoo viestin lähdekoodia, sen alusta löytää yleensä maininnan siitä, miten viesti on pärjännyt näiden autentikointitapojen tarkastelussa. Tämä aamulla tullut ”Pankin” viesti ei ole läpäissyt SPF-tarkastelua:

 

roskaposti, kalastelu

 

Koska oikea pankki, jonka nimissä viesti on lähetetty, on huolehtinut omasta SPF-autentikoinnistaan, jäi tämä viesti välittömästi kiinni Gmailin tarkastelussa (spf=softfail) ja päätyi siksi roskaposti-kansioon. Joten jos viestin SPF, DKIM tai DMARC-kohdista löytyy maininta fail tai neutral, silloin kannattaa vahvasti miettiä, klikkaako viestin sisältämiä linkkejä.

Lisäksi viestin todellinen lähettäjä näkyy lähdekoodista. Tässä sähköpostissa se näyttäisi olevan kyseisen pankin sijaan webmail2-hki1.hosting.fi. Eli koska oikealla pankilla ei käsittääkseni ole mitään tekemistä kyseisen osoitteen kanssa, antaa sekin vahvan signaalin siitä, ettei kaikki ole kunnossa tämän viestin kanssa.

Tällaisia kalastelu- eli phishing-viestejä lähetetään useiden suurten yritysten nimissä, juuri esimerkiksi pankkien nimissä yritetään saada asiakkaita antamaan tietoja itsestään tai lataamaan koneelleen jokin haittaohjelma. Osa yrityksistä tiedottaa avoimesti näistä huijausyrityksistä silloin kun ne heidän tietoonsa ovat tulleet joko omilla sivuillaan tai myös tiedotusvälineiden kautta. Jos siis epäilet viestin luotettavuutta, kannattaa tarkistaa myös yrityksen verkkosivut ja tarvittaessa ottaa yhteyttä heidän asiakaspalveluunsa.

Älä siis lankea roskapostittajien ansoihin vaan ole tarkkana tällaisten viestien kanssa!

Artikkelin kuvista on poistettu tiedot siitä, minkä pankin nimissä viesti on tullut.

Kommentoi

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *