Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Tietoturva Nyt!

Verkkotunnuspäätteitä kaupitellaan aktiivisesti ja säännöllisin väliajoin jopa aggressiivisesti. Kannattaa miettiä etukäteen, mitä verkkotunnuspäätteitä tarvitsee tai haluaa itselleen tai yritykselleen. Helpointa on rekisteröidä kaikki haluamansa verkkotunnuspäätteet saman verkkotunnusvälittäjän kautta. Internetissä voi käyttää useita satoja eri verkkotunnuspäätteitä, eikä kaikkia ole suinkaan tarkoituksenmukaista rekisteröidä itselle.

Päivitys 23.6.2020

Kyberturvallisuuskeskus on vastaanottanut uusia ilmoituksia aggressiivisesta kauppaamisesta. Organisaatioiden edustajille on soitettu puhelimitse suomea puhuen, ja verkkotunnuksia on kaupattu erilaisin verukkein: joku muu taho olisi rekisteröimässä verkkotunnuksia, ja viranomaisten määräysten johdosta kohteelle soitetaan asiasta ja tarjotaan etuosto-oikeutta kyseisiin tunnuksiin.

Tällaisia viranomaismääräyksiä ei ole olemassa. Verkkotunnuksiin ei myöskään ole lähtökohtaisesti mitään etuosto-oikeuksia millään taholla. Molemmat väitteet ovat lähtökohtaisesti perättömiä ja huijausta.

Jos olet haksahtanut huijaukseen, toimi seuraavasti:

  1. Reklamoi saamastasi laskusta välittömästi. Riitautettua laskua ei voi laittaa perintään ennen asian selvittämistä.
  2. Tee asiasta rikosilmoitus. Tunnusten myynti tällä tavoin voi täyttää petoksen tunnusmerkistön.

Verkkotunnukset muodostavat nykypäivänä perustavanlaatuisen pohjan ihmisten ja tietyin osin myös koneiden verkkoliikenteelle. Tästä johtuen niihin liittyvät väärinkäytökset, haavoittuvuudet ja huijaukset ovat lähtökohtaisesti merkittäviä tavallisen ihmisen näkökulmasta. Läheskään kaikki väärinkäytös- tai huijaustavat eivät myöskään ole teknisiä, vaan osa liittyy enemmän ihmisten huijaamiseen sosiaalisin keinoin. Alla on esitelty joitakin verkkotunnuksiin liittyviä huijausmenetelmiä.

Domain squatting

Yksi esimerkki on ns. "domain squatting" -ilmiö, jossa hyökkääjä rekisteröi tahallaan toisen organisaation tunnuksen eri päätason (esim. .com, .fi, .net) tunnuksen alle. Tämän jälkeen tunnuksen yhteyteen voidaan perustaa palveluita, ja uhreja huijataan luulemaan asioivansa varsinaisen organisaation kanssa. Toisena vaihtoehtona on pyrkiä saamaan mainostuloja uhrien tuottamasta kävijämäärästä esimerkiksi roskapostikampanjoiden ja yksinkertaisten erheellisen tunnuksen alle luotujen verkkosivujen avulla.

Typosquatting

Edellä mainittuun toimintamalliin linkittyy myös ns. "typosquatting"-ilmiö, jossa rekisteröidään kohdeorganisaation tunnusta lähellä oleva tunnus. Huijari voi esimerkiksi korvata kirjaimia niitä muistuttavilla numeroilla, kirjaimilla tai eri merkistöjen merkeillä tai vaihtaa kirjainten järjestystä. Tämän jälkeen kyseisen verkkotunnuksen avulla voitaisiin toteuttaa erilaisia huijaus- tai hyökkäyskampanjoita.

Vilpillinen jälleenmyynti tai kiristäminen

Eräs sosiaalisen huijauksen muoto liittyy edellä mainituilta hyökkäystavoilta suojautumiseen. Huijari rekisteröi tai väittää rekisteröivänsä edellä mainitulla tavalla verkkotunnuksia, ja alkaa sitten aktiivisesti myydä tunnuksia alkuperäisen verkkotunnuksen haltijalle ylihintaan tai kiristää tätä väärinkäytöksillä uhkaamalla. Tavoitteena on pyrkiä saamaan rahallista voittoa normaalin verkkotunnuksen rekisteröimismaksun päälle. Verkkotunnuksen haltijaa voidaan pyrkiä painostamaan esimerkiksi väittämällä, että jokin toinen taho olisi ostamassa kyseisen vapaana olevan verkkotunnuksen.

Verkkotunnuksen anatomia

Verkkotunnus eli niin sanottu domain-nimi on nykypäivänä lähtökohta internetissä liikennöimiseen. Teknisesti verkkotunnus muuttaa taustalla olevan palvelun IP-osoitteen ihmiselle helpommin muistettavaan tekstimuotoon. Verkkotunnuksia voi rekisteröidä eri ylätason verkkotunnuksien (esim. .com, .fi, .net) alle, ja ylätason tunnusta hallinnoiva organisaatio vastaa sen alla olevien tunnusten muodoista ja käyttöehdoista. Suomessa käytössä olevan .fi-tunnuksen osalta toimivaltainen viranomainen on Liikenne- ja viestintävirasto Traficom, ja esimerkiksi .com-osoitteen osalta operoinnista vastaa Verisign.

Verkkotunnuksia voi rekisteröidä kyseisen päätason tunnuksen käyttöehtojen mukaisesti lähes kuka tahansa. Päätason tunnuksen operointiorganisaatio asettaa käyttöehdot, joita voivat olla esimerkiksi se, että rekisteröijän täytyy tarjota voimassa oleva postiosoite kyseisestä maasta tai että rekisteröijä ei voi olla voittoa tavoitteleva yritys tai yksittäinen henkilö. Näiden vaihtelevien sääntöjen puitteissa rekisteröinti on siis vapaata, ja sitä voi tyypillisesti suorittaa mikä tahansa taho kenen tahansa toimeksiannosta.

Käytännössä verkkotunnukset rekisteröidään pääsääntöisesti jonkin välittäjätahon kautta. Hyvin harva kattotason operointia suorittava taho antaa yksittäisten organisaatioiden tai yksilöiden rekisteröidä verkkotunnuksia suoraan itseltään, vaan verkkotunnus hankitaan välittäjältä. Verkkotunnusvälittäjiä on erilaisia, ja käyttäjä on vapaa valitsemaan vaihtoehdoista itselleen sopivimman. Kaupallisten verkkotunnusten osalta eri välittäjien hinnoittelumallit, hintataso ja tarjotut oheispalvelut vaihtelevat.

Huomionarvoista on, että jokainen verkkotunnus on uniikki ja alisteinen oikealta vasemmalle lukien. Esimerkiksi www.traficom.fi tarkoittaa käytännössä nimeä palvelimelle "www", joka löytyy tunnuksen "traficom" alta. Päätason verkkotunnus on .fi. Jos osoite onkin muotoa www.traficom.eu, on päätason tunnus eri, ja siten koko tekninen puurakenne tunnuksen alla on myöskin täysin eri. Ihmisen silmään tunnukset näyttävät kyllä olevan saman organisaation tunnuksia, mutta näin ei välttämättä teknisesti ole.

Verkkotunnusten omistussuhteista

Verkkotunnuksen haltijan tiedot voi tarkastaa pääsääntöisesti kyseisen päätason tunnuksen tarjoajan palvelusta, jotta omistajuuteen tulee selvyys. Esimerkiksi .fi-tunnusten osalta kyseinen palvelu löytyy osoitteesta https://www.traficom.fi/fi/viestinta/fi-verkkotunnukset/fi-verkkotunnushaku.

Puhuttaessa tekijän immateriaalioikeuksista, organisaation nimestä tai tavaramerkistä voidaan tietyissä tapauksissa haluta rekisteröidä useampia verkkotunnuksia eri päätason tunnusten alle. Hyvänä esimerkkinä tästä toimii Google, joka tarjoaa palveluita usealla eri kielellä ja on rekisteröinyt hyvin kattavasti eri verkkotunnuspäätteitä pääkäytössä olevan google.com-tunnuksen rinnalle. Verkkotunnuksia voi rekisteröidä myös ns. pöytälaatikkoon, jolloin niillä ei teknisesti tuoteta mitään palveluita, vaan ne on rekisteröity väärinkäytön ehkäisemiseksi tai mahdollista tulevaa käyttöä silmällä pitäen. Verkkotunnuksia voi myös myydä rekisteröijältä toiselle, ja omistussuhde voi myös muuttua esimerkiksi yrityskauppojen yhteydessä.

Kokonaisuudessaan organisaatioiden kannattaa käydä läpi verkkotunnuksiensa osalta keskustelu, jossa päätetään linjaus useiden eri päätason tunnusten rekisteröinnistä sekä typosquat-ilmiöltä suojautumisesta. Myös lanseeratessa uutta yritystä, uusia tuotteita tai tuotemerkkejä verkkotunnusten rekisteröinti kannattaa suorittaa mahdollisimman aikaisessa vaiheessa, jotta monimutkaisilta haltuunottoprosesseilta vältytään. Joissain tapauksissa voi myös olla mahdotonta ottaa haltuun toisen tahon jo aiemmin rekisteröimää verkkotunnusta.

Kyberturvallisuuskeskuksella ei ole suoraa määräysvaltaa yleisellä tasolla verkkotunnusten rekisteröintiin liittyen, vaan kyseessä on aina asianomistajalta lähtevä prosessi kyseisen päätason tunnuksen operointiorganisaation kanssa. Jos kyseessä on .fi-osoitteisiin liittyvä yrityksen rekisteröidyn nimen tai tavaramerkin väärinkäytös, yhteydenottopiste on Traficom. 

Lisätty 23.6.2020 havaintoja ja toimintaohjeita.

Poistettu toimimaton linkki Viestintäviraston sivuille ja vaihdettu tilalle ajantasainen ohjaus.