Puhelimet ovat muodostuneet lähes välttämättömäksi osaksi jokapäiväistä elämäämme ja ne sisältävät suuria määriä arkaluonteista tietoa, jonka väärinkäyttö voi aiheuttaa vakavia seurauksia yksityisyydellemme ja turvallisuudellemme. Puhelimet ovat myös houkutteleva kohde rikollisille ja he voivatkin pyrkiä hyötymään puhelimen monista eri toiminallisuuksista. Kyberturvallisuuskeskus saa viikoittain ilmoituksia tapauksista, joissa puhelin on jollain tavalla osana rikollisten pyrkimysten toteutusta. Tällaisia tapauksia ovat esimerkiksi erilaiset huijaus- ja tietojenkalasteluviestit.
Millaisia tietoturvariskejä puhelimiin liittyy?
Haittaohjelmat ja puhelimen haavoittuvuudet
Rikolliset voivat hyödyntää puhelimen käyttöjärjestelmän tai eri sovellusten haavoittuvuuksia asentaakseen haittaohjelmia puhelimeen. Näiden haittaohjelmien avulla he voivat varastaa tietoja, saada pääsyn puhelimen toimintoihin tai vakoilla käyttäjää.
Huijaussovellukset
Rikolliset voivat luoda haitallisia sovelluksia ja naamioida ne näyttämään joltain tunnetulta tai luotettavalta sovellukselta. Nämä sovellukset voivat varastaa käyttäjän tietoja tai asentaa puhelimeen haittaohjelmia.
Kalasteluviestit ja -sivustot
Rikolliset voivat lähettää kalasteluviestejä tai luoda väärennettyjä verkkosivustoja. Väärennetyllä verkkosivustolla pyritään usein huijaamaan sivuston kävijöitä luovuttamaan arkaluontoista tietoa, kuten esimerkiksi salasanoja tai luottokorttitietoja. Suomessa on jatkuvasti liikkeellä eri pankkien nimissä lähetettäviä tietojenkalasteluviestejä. Kalasteluviestit on mahdollista lähettää jatkoksi oikeisiin pankilta tulleisiin tekstiviestiketjuihin niin, että aitoa viestiä on vaikea erottaa huijausviestistä.
Sosiaalinen manipulointi ja huijaukset
Puhelimia käytetään usein väylänä sosiaaliselle manipuloinnille, kuten esimerkiksi huijauspuheluille tai -viesteille. Näillä kohde yritetään saada paljastamaan arkaluontoista tietoa tai suorittamaan vahingollisia toimia.
Identiteettivarkaudet
Puhelimet sisältävät paljon henkilökohtaista tietoa, kuten pankki- ja henkilötietoa. Mikäli rikollinen on saanut pääsyn käyttäjän puhelimeen ja näihin tietoihin, he usein hyödyntävät anastamaansa tietoa identiteettivarkauksiin tai muunlaiseen taloudellisen hyödyn tavoitteluun. Osassa tapauksista varastetulla identiteetillä on tehty jatkohuijauksia uhrin lähipiiriin esiintymällä heille tuttuna henkilönä.
Puheluhuijaukset
Soittajan puhelinnumeron (A-numero) väärentäminen suomalaiseksi puhelinnumeroksi on kansainvälisten rikollisten laajasti hyödyntämä tekniikka, jonka avulla suomalaiset uhrit saadaan paljon suuremmalla todennäköisyydellä luottamaan ja vastaamaan ulkomailta tuleviin huijauspuheluihin ja esimerkiksi luovuttamaan verkkopankkitunnuksensa tai tietokoneensa rikollisten etäohjattavaksi.
Takaisinsoittoon houkuttelu eli hälärihuijaus on myös yksi puheluhuijausten muoto. Hälärihuijauksessa (tunnetaan myös nimellä Wangiri tai "one ring and cut") puhelin soi kerran tai pari, jonka jälkeen puhelu katkaistaan. Puhelimeen jää tieto vastaamattomasta puhelusta, jonka tarkoitus on houkutella vastaanottaja soittamaan takaisin tähän ulkomailla olevaan numeroon. EU-alueen ulkopuolella olevaan puhelinnumeroon soittaminen voi maksaa useita euroja minuutilta, satelliittipuhelinnumeroon soittaminen jopa kymmenen euroa minuutilta tai enemmän. Rikollisten ansaintamalli hälärihuijausten taustalla on jakaa vastaanottavan tai jonkin puhelua reitittävän teleyrityksen kanssa synnytetyistä puheluista kertynyt liikevaihto.
Hyviä tietoturvakäytäntöjä puhelimille
Pidä käyttöjärjestelmä ja sovellukset ajan tasalla
Säännölliset käyttöjärjestelmän ja sovellusten päivitykset ovat keskeisiä tietoturvan kannalta ja päivitykset tulee asentaa mahdollisimman nopeasti niiden tultua saataville. Päivitykset sisältävät usein korjauksia ja parannuksia, jotka suojaavat puhelintasi tunnetuilta haavoittuvuuksilta. Muista myös asentaa järjestelmäpäivitykset puhelimen asetuksista ja sovellusten päivitykset virallisesta sovelluskaupasta. Epävirallisista lähteistä saatavat päivitykset voivat olla haitallisia ja altistaa puhelimen haittaohjelmatartunnalle. Puhelimen automaattisten päivitysten salliminen helpottaa ja nopeuttaa vakavilta ohjelmistohaavoittuvuuksilta suojautumista, joten tätä suositellaan käytettävän aina kun mahdollista.
Uutta puhelinta hankkiessa kannattaa tarkistaa, kuinka pitkään valmistaja tarjoaa päivityksiä kyseiselle mallille. Tee valinta niin, että päivityksiä on saatavilla niin pitkään, kuin aiot puhelinta käyttää.
Käytä vahvaa salasanaa tai biometristä tunnistusta
Käytä puhelimen lukituksessa vahvaa salasanaa tai biometristä tunnistusta, kuten sormenjälkeä tai kasvojentunnistusta. Vältä helppoja arvattavia salasanoja ja käytä eri salasanoja eri palveluissa sekä laitteissa.
Ole varovainen julkisissa Wi-Fi-verkoissa
Vältä arkaluontoisten tietojen, kuten pankkitunnusten tai salasanojen, syöttämistä julkisissa langattomissa verkoissa. Jos käytät julkista verkkoa, harkitse VPN-palvelun käyttöä, joka salaa tietosi ja suojaa verkkoyhteyden. Puhelimesta on myös suositeltavaa ottaa pois käytöstä automaattinen tuttuihin WI-FI-verkkoihin liittyminen.
Lataa sovelluksia vain luotetuista lähteistä
Hanki sovellukset ainoastaan virallisista sovelluskaupoista. Nämä kaupat suodattavat usein haitallisia sovelluksia ja tarjoavat paremman tietoturvan. Tästä huolimatta kaikissa sovelluskaupoissa tulee käyttää harkintaa, sillä kaikkia haitallisia sovelluksia ei usein saada suodatettua pois, eli riski haitallisen sovelluksen asentamisesta on silti olemassa.
Tarkista sovelluksen käyttöoikeudet
Vaikka laiskuus käyttöehtoja lukiessa saattaakin iskeä, on silti suositeltavaa tarkastaa mitä käyttöoikeuksia asentamasi sovellus pyytää. Käyttöoikeuksista käy ilmi, jos sovellus haluaa luvan seurata sijaintiasi tai käyttää puhelimesi mikrofonia. Anna sovelluksille vain tarvittavat käyttöoikeudet ja harkitse tarkkaan mitä tietoja ja toimintoja jaat niiden kanssa. Tässä kannattaa miettiä mihin sovellusta pääasiallisesti käytetään, ja yrittääkö sovellus pyytää käyttöoikeutta, joka ei käyttäjän näkökulmasta palvele sovelluksen varsinaista käyttötarkoitusta.
Käytä luotettavaa virustorjuntaohjelmaa
Hyvä virustorjuntaohjelma auttaa havaitsemaan ja poistamaan haittaohjelmia puhelimestasi. Käytä tunnettua ja päivitettyä virustorjuntaohjelmaa, joka tarjoaa reaaliaikaista suojaa. Tässä tulee olla myös tarkkana, sillä rikolliset voivat yrittää ujuttaa haitallista ohjelmaa puhelimeen naamioimalla sen näyttämään virustorjuntaohjelmalta.
Varmuuskopioi
Tee säännöllisiä varmuuskopioita puhelimen tärkeistä tiedoista. Näin voit palauttaa tiedot, jos puhelin katoaa tai vikaantuu. Käytä pilvipalveluita, ulkoista muistia tai tietokonetta tiedon varmuuskopiointiin. Mikäli puhelimen joutuu palauttamaan tehdasasetuksille esimerkiksi haittaohjelmatartunnan johdosta, on varmuuskopioimalla mahdollista välttää tärkeiden tietojen menetys.
Varo haitallisia viestejä ja linkkejä
Haitallisten viestien saamiselta on hankala välttyä kokonaan, eikä viestien vastaanottaminen itsessään ole vielä vaarallista. Älä kuitenkaan avaa viestejä tai linkkejä tuntemattomilta lähettäjiltä, erityisesti jos ne vaikuttavat epäilyttäviltä tai houkuttelevat sinua jakamaan henkilökohtaisia tietoja. Muista, että harva pankki esimerkiksi sisällyttää lähettämäänsä viestiin linkin, joka ohjaa pankin verkkosivuille.
Käytä salattua tiedonsiirtoa
Käyttäessäsi selainta puhelimella varmista, että käytät salattua yhteyttä verkkopalveluihin. Etenkin kun olet kirjautumassa sisään johonkin tai käsittelet arkaluontoisia tietoja, muista aina tarkastaa että selaimesi osoite alkaa “https”-protokollalla.
Ota tarvittaessa käyttöön estopalvelu
Ulkomaanpuhelut ja puhelut palvelunumeroihin voi estää, samoin tekstiviestit lisämaksullisiin lyhytsanomapalvelunumeroihin. Ottamalla käyttöön puhelujen estopalvelun, voidaan estää esimerkiksi alaikäisten ulkomaanpuhelut tai soitot kalliisiin lisämaksullisiin palvelunumeroihin. Puhelujen ja tekstiviestien eston kytkentä on liittymän haltijalle maksutonta. Sen sijaan teleyritykset voivat periä maksun estoluokkien purkamisesta. Lisätietoa estopalvelusta saat omalta teleyritykseltäsi.
Tiesitkö tämän?
Liikenne- ja viestintävirasto Traficomin 16.5.2022 uudistama määräys 28 antoi operaattoreille uudet velvoitteet estää soittajan numeron väärentäminen ja huijaussoittojen välittäminen puhelun vastaanottajille. Uudistetun määräyksen tavoitteena on estää suomalaisten numeroiden käyttö kansainvälisessä tietoverkkorikollisuudessa ja vähentää ulkomailta tulevia huijauspuheluita. Velvoitteet estää väärennettyjen numeroiden käyttö astuvat voimaan asteittain: kiinteän verkon numeroiden osalta 1.7.2022 ja matkapuheinnumeroiden osalta 2.10.2023.
Vinkkejä organisaatioille
Määritä selkeät tietoturvakäytännöt
On tärkeää määritellä yhteiset selkeät ja kattavat tietoturvakäytännöt mobiililaitteiden käyttöä koskien ja jalkauttaa ne organisaatioon. Organisaation jäsenille on tärkeää kertoa myös heidän oma vastuunsa tietoturvan toteutumisesta. Tietoturvakäytännöt sisältävät myös suunnitelmat siihen, miten poikkeustilanteessa toimitaan ja miten siitä palaudutaan.
Pidä organisaatiosi tietoturvaosaamisen taso yllä
Järjestä säännöllisiä koulutuksia ja tiedotustilaisuuksia yrityksen tietoturvapolitiikasta, parhaista käytännöistä ja mahdollisista uhista. Tietoturvapoikkeaman sattuessa on myös hyvä pitää organisaatio ajan tasalla, jotta henkilökunta ja tarvittaessa asiakkaat saavat oikea-aikaista tietoa.
Käytä keskitettyä laitehallintaa
Keskitetty laitehallinta (MDM) mahdollistaa organisaation mobiililaitteiden hallinnan, seurannan sekä turvaamisen keskitetysti. MDM:ää voidaan käyttää puhelinten etähallintaan, sovelluskatalogin määrittämiseen, sekä tietojen salaamiseen.
Määritä ja tarkista hyväksytyt sovellukset
Yksi tapa vähentää tietoturvariskejä on tarkistaa ja hyväksyä organisaation käyttöön tulevat sovellukset ennen niiden käyttöönottoa. Keskitetyssä laitehallinnassa on myös usein mahdollista määrittää mitä sovelluksia käyttäjä pystyy asentamaan organisaation hallinnoimiin laitteisiin.
Tarkista ja päivitä säännöllisesti
Suorita säännöllisiä tarkastuksia yrityksen mobiililaitteille, ja varmista laitteiden ohjelmistojen ajantasaisuus. Pitämällä kaikki ohjelmistot ajan tasalla, minimoit tunnetuista haavoittuvuuksista aiheutuvan riskin. Keskitetty laitehallinta mahdollistaa organisaation mobiililaitteiden järjestelmien versioiden tarkastelun keskitetysti.
Ota käyttöön vahvat salasanat ja monivaiheinen tunnistus
Määritä organisaation salasanapolitiikka tarpeeksi vahvaksi. Edellytä vahvoja salasanoja kaikille yrityksen puhelimille ja harkitse monivaiheisen tunnistuksen käyttöönottoa. Monivaiheisessa tunnistautumisessa voi käyttää salasanan lisäksi tekstiviestivahvistusta, autentikaattorisovellusta tai biometristä tunnistusta.