Somesta on tullut huijareiden leikkikenttä – näin vältät yleisimmät konnankoukut
Teemu Yliluoma
Sosiaalisen median alustoja käytetään paljon yritysten viestinnässä, mutta samat palvelut ovat valitettavan suosittuja myös nettihuijareiden keskuudessa. Näillä ohjeilla tunnistat koijarit jo kaukaa ja vältät ikävät yllätykset yrityksesi somekanavissa.
Louhoksen markkinointitiimi työskentelee päivittäin Metan somekanavissa, ja hallinnassamme on satoja FB-sivuja, IG-tilejä, mainostilejä ja muita sosiaalisen median yritysresursseja. Vuosien saatossa vastaamme on tullut paljon hienoja onnistumisia, mutta samalla olemme seuranneet aitiopaikalta somekehityksen varjopuolta: huijariprofiilien ja -sivujen räjähdysmäistä yleistymistä.
Nykyään voimme liioittelematta varoittaa, että jos käytät Metan kanavia yrityksesi viestintään, tulet kohtaamaan (tai todennäköisimmin olet jo kohdannut) jonkinlaisia huijausyrityksiä. Meta pyrkii toki omalta osaltaan rajoittamaan huijareiden toimintaa, mutta käytännössä valetilejä ja -profiileita perustetaan nopeammin kuin niitä pystytään sulkemaan.
Omaan tai yrityksen somekanavaan suuntautuva huijausyritys on tietyssä mielessä perinteistä roskapostia härskimpi ja törkeämpi. Uudehkona huijauskanavana somessa on tiettyä uutuudenviehätystä, ja yhteydenotto voi tuntua uskottavammalta ja henkilökohtaisemmalta kuin esim. massajakelulla lähetetyt roskasähköpostit.
Kääk, onko tämä huijaus? Älä suotta panikoi!
Huijausyrityksiltä ei siis voi täysin välttyä, mutta niiden edessä on turha panikoida. Täyttyyhän sähköpostikin roskasisällöistä, mutta niihin olemme jo tottuneet – nyt vain vaikuttaa siltä, että samaan täytyy tottua myös somen viestintäkanavissa. Tärkeintä on pitää mieli valppaana ja suhtautua terveen epäilevästi omalle tilille tipahteleviin yhteydenottoihin.
Jos epäilet somekanaviisi tullutta yhteydenottoa huijaukseksi, pysy rauhallisena ja etsi tietoa aiheesta. Nopealla googlauksella löytyy yleensä keskustelua samasta tai hyvin lähelle samankaltaisesta tapauksesta. Suurella todennäköisyydellä yhteydenottoon ei tarvitse reagoida mitenkään, tai sen voi poistaa tai halutessaan ilmiantaa Metan ylläpidolle.
Jos et ole varma viestin lähettäjän motiiveista, voit myös häpeilemättä kysyä neuvoa ammattilaisilta. Louhoksen somesepiltä saat apua nopeasti – ota vaan rohkeasti yhteyttä, niin selvitellään!
Yleisin somehuijaus: Tietojen kalastelu
Tietojen kalastelu (engl. Phishing) on kirjoitushetkellä (marraskuussa 2024) yleisin huijaustapa, josta tulee myös Louhokselle eniten kyselyitä. Etenkin vuosien 2023–2024 aikana kalastelutouhu on suorastaan räjähtänyt käsiin, ja kehitystä on ruokkinut entisestään tekoälyn läpimurto sekä bottien yleistyminen.
Miten tietoja kalastellaan?
Tietojen kalastelijat lähettävät sometilin tai yrityssivun ylläpitäjille sähköpostin tai Messenger-viestin, joka näyttää tulevan esimerkiksi Metan ylläpidolta. Viestissä kehotetaan yleensä tekemään jokin haluttu toimenpide määräajassa, tai muuten sometilit jäädytetään tai poistetaan pysyvästi.
Lähettäjän nimi, logo, someprofiili, sivusto ja muut tiedot voivat muodostaa hyvinkin aidon oloisen kokonaisuuden. Huijarit pyrkivät vaikuttamaan niin uskottavalta, että vastaanottaja menee vipuun huomaamatta edes tulleensa huijatuksi – ennen kuin vahinko on jo päässyt tapahtumaan.
Huijausviestit sisältävät yleensä linkin väärennetylle kirjautumissivulle
Huijareiden lähettämissä viesteissä on lähes aina linkki, jonka klikkaaminen johtaa väärennetylle kirjautumissivulle. Huijaussivu voi näyttää ensivilkaisulla täysin samanlaiselta kuin esimerkiksi Facebookin kirjautumissivu. Mikäli käyttäjä syöttää tietonsa ja yrittää kirjautua väärennetylle sivustolle, tiedot päätyvät suoraan huijareille. Näin pääsy esimerkiksi yrityksen sosiaalisen median tileihin voi vaarantua.
Huijausviestin avaaminen ei riitä tietojen vuotamiseen
Huijausviestin avaaminen, siihen vastaaminen tai edes hämärän linkin klikkaaminen eivät vielä vuoda tietojasi vääriin käsiin.
Tietojen vaarantuminen vaatii aina lisäksi tietojen oma-aloitteisen syöttämisen epäluotettavalle sivustolle. Tähän viittaa myös nimi tietojen kalastelu: Huijarit heittävät syötin vesille, mutta tiedot täytyy itse lähettää eteenpäin jotta huijarit saavat ne käsiinsä. Rauhallisella suhtautumisella ja terveellä harkinnalla tietosi pysyvät siis yleensä turvassa.
Kuinka suojautua tietojen kalastelulta?
Käytä kaksivaiheista todennusta
Aktivoimalla Metan asetuksista kaksivaiheisen todennuksen, Meta kysyy tilille kirjautuessa ylimääräistä vahvistuskoodia. Koodi voidaan toimittaa tekstiviestitse, puhelimitse tai ulkopuolisen todentajasovelluksen (esim. Google Authenticator) kautta. Lataa Google Authenticator -sovellus täältä: Google Play / App Store.
Kaksivaiheinen todennus tarkoittaa hieman lisävaivaa kirjautumiseen, mutta samalla se vesittää tehokkaasti huijareiden suunnitelmat – hekään kun eivät pääse kirjautumaan tileillesi pelkällä käyttäjätunnuksella ja salasanalla, vaikka tietosi olisivat vuotaneet.
Jos saat todennuspyynnön, vaikka et itse yrittänyt kirjautua tileillesi, se voi tarkoittaa että kirjautumistietosi ovat vaarantuneet. Älä panikoi, vaan tarkista oliko kirjautumisyritys oikea (esimerkiksi työkaverisi tekemä) ja vaihda tarvittaessa tileillesi uudet salasanat.
Huom! Mikäli Facebook-profiilisi kautta hallinnoidaan tilejä, joilla on runsaasti seuraajia tai yhteiskunnallista vaikutusvaltaa, kaksivaiheinen todennus on pakollinen väärinkäytösten ehkäisemiseksi.
Kiinnitä huomiota viestin sisältöön
Tietojen kalasteluyritykset voidaan tunnistaa huijaukseksi suoraan viestin sisällöstä. Huijausviestejä käännetään usein koneellisesti monelle kielelle, jolloin pieniä virheitä syntyy herkästi – eikä nettihuijareiden kielellinen lahjakkuus ole muutenkaan välttämättä aivan priimaa.
Tekoälyn myötä huijaustekstienkin laatu on parantunut merkittävästi, ja ”parhaat” vilpilliset viestit ovat laadultaan lähes aitojen Metan viestien veroisia. Metan omatkaan viestit eivät ole aina kieliopin suhteen virheettömiä, joten pelkästään uskottavaan tekstiin ei kannata tuudittautua.
Huijausyrityksen voi havaita myös viestin sisältämien linkkien URL-osoitteista, jotka saattavat erota vain yhdellä kirjaimella tai merkillä Metan virallisista osoitteista.
Tekstien ja linkkien lisäksi huijarin voi tunnistaa someprofiilin tiedoista. Klikkaa lähettäjän someprofiili auki ja tarkista yhteystiedot, profiilikuva ja muut speksit. Huijariprofiilin erottaa yleensä nopeasti.
Esimerkki tietojen kalastelusta, lokakuu 2024
- Huijarin Facebook-sivu: https://www.facebook.com/Support.Page.154913. Osoiteriviltä näkee heti, että kyseessä tuskin on Metan virallinen huoltosivu.
- Kyseiseltä sivulta lähetettiin Louhoksen Messengeriin seuraavanlainen, päällisin puolin uskottava tietojen kalasteluviesti:
- Viesti on sisällöltään suhteellisen laadukas, mutta huomioi linkki: recommunitystandardmanagerpage.com = tämäkään osoite ei herätä luottamusta, vai mitä?
- Todennäköisesti profiili on ilmiannettu Metan ylläpidolle, koska klikkaamalla viestin sisältämää linkkiä tapahtuu seuraavaa:
- Tässä tapauksessa tekoäly ja automatiikka toimii huijareita vastaan: Meta on tunnistanut linkin epäluotettavaksi ja estää vastaanottajan siirtymisen huijaussivustolle.
Siitäs saitte huijarit, Ameriikan Markku oli tällä kertaa etevämpi!
Esimerkki tietojen kalastelusta, marraskuu 2024
- Huijarin profiili: https://www.facebook.com/profile.php?id=61561075260281
- Linkin takaa paljastuu "Jhorna Islam" -nimisen käyttäjän henkilökohtainen Facebook-sivu. Tämä soittelee jo hälytyskelloja, sillä Meta ei koskaan ota yhteyttä käyttäjiinsä tukihenkilöiden henkilökohtaisilla profiileilla. Itse profiili on päällisin puolin oikean henkilön näköinen, mutta vähäiset julkaisut ja muut tiedot viittaavat siihen, että profiili on luotu yksinomaan huijaustarkoitukseen.
- Jhorna Islam lähetti 15.11.2024 Louhokselle Messenger-viestin:
- Linkin takaa paljastui varsin uskottavan näköinen Metan kirjautumissivu. Tässä tapauksessa sivuston visuaalinen ilme mukailee hienosti autenttisia Metan tukisivustoja, mutta osoiterivi paljastaa huijauksen:
- Huijaussivuston osoite sisältää hämäriä numerosarjoja ja pääte on harvinainen .top, eikä osoitteessa mainita Metan palveluita. Aidoissa Metan sivustoissa osoite sisältää aina facebook.com tai business.facebook.com -päätteen.
Somearvontahuijaukset
Monet yritykset arpovat tuotteitaan ja palvelujaan somessa, ja yleensä osallistumisen ehtona ovat kanavan seuraaminen sekä julkaisusta tykkääminen tai kommentoiminen.
Somearvonnat ovatkin erittäin tehokas keino kanavien seuraajamäärien nopeaan kasvattamiseen, mutta valitettavasti myös huijarit ovat heränneet arvontojen tuomaan huomioarvoon ja julkaisujen viraaliin leviämiseen.
Somearvonnan kommenttihuijaus etenee tavallisesti näin:
- Huijarit tarkkailevat somesyötteitä ja tunnistavat (todennäköisesti jonkinlaisilla boteilla) Metaan ilmestyviä arvontajulkaisuja.
- Huijarit pystyttävät identtisen näköisen Facebook-sivun kuin arvonnan järjestävällä yrityksellä. Profiilikuva, yhteystiedot ja jopa viimeisimmät julkaisut voivat olla suoria kopioita yrityksen oikealta FB-sivulta.
- Jonkin ajan kuluttua huijarit kommentoivat arvontajulkaisuun väärennetyllä FB-sivulla: ”Onneksi olkoon @käyttäjä, olet voittanut arvonnan. Jätä yhteystietosi täältä (linkki huijaussivustolle) ja lähetämme palkinnon”.
- Klikkaajat päätyvät jälleen tietojenkalastelusivustolle, joka voi näyttää esimerkiksi Facebookin kirjautumissivulta tai joltain muulta Metan resurssilta.
Tarkemmin ajateltuna arvontahuijauksissakin on kyse tietojen kalastelusta, mutta toteutustapa on varsin kekseliäs.
Osallistujan tägääminen ja ”henkilökohtainen” onnitteluviesti voi vaikuttaa hyvin aidolta. Voiton huumassa harkintakyky pettää entistä herkemmin, jolloin osallistuja on erityisen altis tulla huijatuksi.
Tämäkin huijausmuoto on yleistynyt räjähdysmäisesti viime vuosina, ja nykyään vaikuttaa siltä, että on lähes mahdotonta järjestää Facebook-arvontaa ilman huijausyrityksiä.
Ohjeita somearvonnan järjestämiseen:
- Kirjoita arvontatekstiin näkyvästi varoitus kommenteissa esiintyvistä huijareista.
- Tee selväksi, että osallistujia ei koskaan pyydetä klikkaamaan minkäänlaisia linkkejä.
- Tarkkaile arvonnan kommentteja. Kun huijausyrityksiä ilmenee, piilota kommentit ja ilmianna niiden takana oleva profiili.
- Voit myös itse kommentoida arvontaan, jos havaitset huijauskommentteja. Oikean FB-sivusi kommentti nousee yleensä kommenttikentässä ensimmäiseksi.
- Vinkki: Järjestä arvonta pelkästään Instagramissa. Suorat linkit eivät toimi IG-julkaisujen kommenteissa, ja siksi siellä arvontahuijauksia ei juurikaan esiinny.
Vinkkejä somearvontaan osallistuvalle:
- Suhtaudu hommaan terveen pessimistisesti. Ei se voitto todennäköisesti tälläkään kertaa osu omalle kohdalle.
- Suhtaudu erityisen skeptisesti kommenttikentässä tapahtuvaan viestintään. Arvonnan julkaisijat eivät lähes koskaan kerää voittajien yhteystietoja kommenteissa.
- Älä klikkaile sokeasti linkkejä, vaikka luulisit voittaneesi. Pidä pää kylmänä ja varmista vaikka yksityisviestillä järjestäjän FB-sivulta, voititko todella.
- Jos klikkailit jo linkkejä, älä panikoi. Mikäli tulit syöttäneesi yhteystietosi huijarisivustolle, vaihda heti salasanat ja ota tarvittaessa yhteyttä someviestinnän asiantuntijoihin.
Somehuijareiden motto: Ei se laatu, vaan se määrä
Metan statistiikan perusteella kesällä 2024 vähintään yhtä sen palveluista käytti aktiivisesti noin 3,3 miljardia henkilöä, mikä tarkoittaa noin 60 prosenttia kaikista maailman 5,5 miljardista internetin käyttäjästä.
On siis sanomattakin selvää, että Metan käyttäjäkunta on kaikessa laajuudessaan hedelmällistä maaperää myös huijareille. Siellä on mistä ammentaa, ja tarpeeksi monta huijausviestiä kun lähettää, sattuu vastaanottajiksi vääjäämättä myös käyttäjiä, jotka eivät osaa olla varuillaan.
Tekoälyn ja bottien läpimurto on kiihdyttänyt somehuijareiden toimintaa radikaalisti, koska viestejä ei tarvitse enää kirjoittaa ja kääntää manuaalisesti. Prosessi hoituu pitkälle automatisoidusti someprofiilien perustamisesta lähtien, ja monissa tapauksissa huijareiden täytyy tehdä manuaalista työtä vasta vuodettujen tietojen tipahtaessa kalastelusivulta inboxiin.
Peli huijareiden ja somekanavien välillä on jatkuvaa köydenvetoa. Metan kehittämät botit estävät ansiokkaasti monien huijausten tapahtumista, mutta jossain päin on takuuvarmasti jo kehitteillä keinoja kiertää uusimpia suojamekanismeja.
Siksi lopulta tehokkaimpia aseita huijareita vastaan ovat lehmänhermot ja terve maalaisjärki.
Artikkelissa esitetyt somehuijaukset ovat vain jäävuoren huippu – ne ovat tällä hetkellä meidän näkökulmastamme yleisimpiä, koska Louhokselle tulee niistä eniten kyselyjä asiakkailtamme.
Oletko kohdannut muita huijausyrityksiä? Laita meille viestiä, niin perehdymme asiaan ja tarvittaessa täydennämme artikkelia.
