Saitko toimarilta sähköpostia? Näin tunnistat huijarin

Oletko jo kohdannut CEO-huijausviestejä? Tällaisen viestin lähettäjäksi on merkitty esimerkiksi yrityksen toimitusjohtaja tai muu tuttu henkilö, jolloin vastaanottaja herkästi avaa viestin ja reagoi siihen. Mitä suurempi kohdeyritys on kyseessä, sitä todennäköisempää lienee, ettei vastaanottaja tunne vaikkapa toimitusjohtajaa henkilökohtaisesti mutta on kuitenkin kuullut hänestä. Huijausviestin lähettäjä tavoitteena on, että saadessaan kiireisen viestin toimarilta vastaanottaja unohtaa normaalin varovaisuuden ja noudattaa viestissä olevaa ohjetta.

Aiemmin kalastelu, kuten muukin roskaposti, oli niin kömpelösti käännettyä, että viestit eivät olleet uskottavia äidinkielenä suomea puhuville. Nykyään viestejä tulee jo melko hyvällä suomen kielellä, eikä varmasti mene kauaa, kun viestin kieliasusta ei enää voi päätellä sisällön uskottavuutta. Vaaranpaikka onkin erityisesti silloin, kun huijausviesti luetaan kiireessä muiden hommien ohessa puhelimelta.

Voiko huijareita vastaan taistella?

Aidon viestinnän ja roskapostin erottamiseksi on tarjolla ja laajalti tuettuna joukko teknisiä keinoja. Keinot ja niiden nimitykset ovat eri sähköpostipalveluissa erilaisia, mutta ainakin lähettäjän todentamiseen perustuvien menetelmien (SPF, DKIM, DMARC) voi olettaa olevan tuettuina. Edellä mainittujen teknologioiden ollessa lähettäjällä ja vastaanottajalla käytössä voidaan olettaa, että jos “toimitusjohtajan lähettämän” viestin väitetään saapuvan vastaanottajan verkkotunnuksesta, se myös on kotoisin sieltä.

Ongelma, eli väärällä nimellä lähetetyn viestin päätyminen vastaanottajalle saakka, ei kuitenkaan kokonaan ratkea näin helposti. Toisena henkilönä esiintymisen mahdollistaa jatkossakin se, että sähköpostin lähettäjän etunimeksi ja sukunimeksi voi kirjoittaa aivan mitä haluaa, ja lähettää viestin muusta kuin vastaanottajan verkkotunnuksesta. Lähettäjän etu- ja sukunimen automaattiseen todentamiseen ei ole mitään keinoa. Valitettavasti juuri nimi näytetään sähköpostiohjelmissa saapuneiden viestien luettelossa ensimmäisenä tai jopa ainoana tietona.

Siitä huolimatta, ettei lähettäjäksi merkittyä etu- ja sukunimeä ole mahdollista suoraan todentaa, niitä voidaan verrata organisaation omaan osoiteluetteloon. Vaikka täyskaimoja onkin maailmassa paljon, todennäköisyys sille, että täyskaima lähettäisi sähköpostia organisaation ulkopuolelta on arvioitu pieneksi. Niinpä esimerkiksi Googlen sähköpostipalvelussa on mahdollista lisätä automaattinen varoitus ulkoa saapuvaan viestiin, jossa lähettäjän koko nimi vastaa organisaation omasta osoiteluettelosta löytyvää nimeä. Varoituksen näyttämisen sijasta tällaiset viestit voidaan myös merkitä roskapostiksi tai jopa asettaa erilliseen karanteeniin. Näin pienennetään yksittäisen käyttäjän virheen todennäköisyyttä.

Siinä missä toisaalla työskentelee suuri joukko asiantuntijoita keksimässä keinoja sähköpostin perustavanlaatuisten puutteiden paikkaamiseksi, on huijausviestien lähettäjätahojen intresseissä puolestaan oppia tuntemaan ja kiertämään postijärjestelmien suojauskeinot. Samalla hetkellä kun jokin suojausominaisuus tulee vaikkapa Google Workspacen (entinen G Suite) tai Exchange Onlineen saataville, huijaritkin pääsevät testaamaan niiden pitävyyttä, lukemaan dokumentaatiot sekä olemaan suoraan Googleen ja Microsoftiin yhteydessä saadakseen syvällisempää näkemystä.

Eikä tässäkään vielä kaikki. Koneella oleva haittaohjelma voi mahdollistaa sen, että huijari käyttää konettasi etänä ja lähettää sähköpostistasi viestin. Vahingossa tai huolimattomuuttaan sallittu laajennus voi käyttää Outlook- tai Gmail-postiasi nimissäsi. Tällöin vastaanottaja voi erottaa jonkun muun lähettämän viestin sinun lähettämästäsi vain sisällön perusteella. Tässä palataan jälleen viestin poikkeavaan kieliasuun ja muihin pikkuseikkoihin, joiden havaitsemista ei kohtuudella voida odottaa normaalitilanteessa keneltäkään.

Rakenna yrityksen viestintä modernilla tavalla

Sähköpostin osalta pelkkään tekniikkaan ei voi luottaa nyt eikä jatkossakaan. Jokaisen vastaanottajan on ymmärrettävä, että lähettäjä ei välttämättä ole se mitä viestissä väitetään. Ei, vaikka viesti tosiasiassa olisi sinun sähköpostistasi lähtöisin eikä lähettäjää olisi väärennetty.

Ratkaisuna sähköpostin epäluotettavuuteen ehdotan käytäntöä, jossa isompia ja merkittävämpiä toimenpiteitä on lupa toteuttaa vain, kun pyynnön aitous on vahvistettu muutakin kautta. Ihmistä kun on mahdollista huijata ja erityisen helppoa se on kiireessä: voi olla helppoa hoitaa nopeasti päivän päätteeksi saapunut pyyntö sen sijaan, että varmistaisi pyynnön oikeellisuuden toisen kanavan kautta lähettäjältä.

Jos haluat keskustella organisaationne sähköpostin tai Google Workspacen tietoturvasta tai sähköpostia nykyaikaisemmista viestintäratkaisuista, olethan yhteydessä ja katsotaan, miten voimme parantaa niin tietoturvaa kuin viestintäkäytänteitä organisaatiossanne.

Sähköpostista toimivimpiin välineisiin

Sähköposti ylipäätään on erityisesti sisäisessä viestinnässä kaikkea muuta kuin ihanteellinen väline. Koska se kuitenkin on organisaatioiden välillä yksi pienimmistä yhteisistä nimittäjistä puhelimen ja SMS:n ohella, lienee hyväksyttävä, että aivan kuten fakseja oli käytössä vielä kymmenenkin vuotta sitten, myös sähköposti sinnittelee ilonamme vielä jopa vuosikymmenen verran. Sisäisenä viestintäkanavana ja vaikkapa tässä moneen kertaan esimerkiksi nostettujen ”toimarilta tulevien pyyntöjen” välittämisessä se joutaisi kuitenkin jo jäädä historiaan.

Onneksi usein käy niin, että kun väline, kuten sähköposti, ei mistään tekniikasta huolimatta enää ole turvallinen eikä kätevä käyttää, se vain orgaanisesti korvautuu paremmilla. Sekä työasiat että yksityiselämän keskustelut tuntuvat aikaa sitten siirtyneen pikaviestimiin, dokumentit meilin liitteiden sijasta reaaliaikaisesti yhdessä muokattaviin Google Docsiin ja Driveen, ja äänipuheluistakin on päästy videopuheluihin. Pidemmäksi aikaa löydettäväksi tarkoitettu viestintä ja projektit puolestaan on sekä meillä Gappsilla että monilla asiakkaillamme jo vuosia sitten siirretty Google Workspacen päällä toimivaan Happeoon. Sisäistä sähköpostia sen sijaan ei meillä lähetetä. Jos saisin sähköpostia toimitusjohtajaltamme Kasper Pöyryltä, voisin silmää räpäyttämättä poistaa sen voiden luottaa, ettei viesti ollut häneltä. Tapa se on tämäkin suojautua CEO-huijauksilta.

Yhteenvetona: Suhtaudu sähköpostiin terveellä epäilyksellä, tee suunnitelma sen jättämiseksi pois sisäisestä viestinnästä, varmista aina muuta kautta ennen kuin teet mitään sellaista sähköpostissa pyydettyä mitä ei ole varaa tehdä vahingossa.