Onko sinulle käynyt näin: Saat Postin nimissä viestin, jonka mukaan et saa tilaamaasi pakettia ilman pientä lisämaksua. Maksu vaatii korttitietojen antamista.
Verkkorikolliset tietävät, ettemme jaksa aina varmistaa, millä nettisivuilla olemme tai mitä olemme tekemässä – ja he käyttävät tilannetta hyväkseen.
Nämä ohjeet auttavat tunnistamaan huijausyritykset.
1. Tarkista nettisivun osoite
Ensin osoite pitää nähdä kokonaan.
Aina se ei mahdu osoitepalkkiin. Kokeile kääntää näyttö vaaka-asentoon, se voi auttaa.
Joillakin Android-puhelimilla saa osoitteen kokonaan näkyviin, kun painaa sitä pitkään. Chrome-selaimessa voi joutua vielä painamaan kynän kuvaa.
Joskus koko osoitetta ei saa näkyviin. Esimerkiksi Iphone näyttää Safari-selaimessa ainoastaan niin sanotun pääosoitteen eli verkkotunnuksen.
Se onkin juuri osoitteen olennaisin osa.
2. Katso verkkotunnusta - se kertoo, missä olet
Nettiosoitteessa tärkein kohta on verkkotunnus eli domain-nimi, siis eräänlainen pääosoite.
Verkkotunnus on muotoa yle.fi, suomi.fi tai microsoft.com.
Sen paikka on ennen ensimmäistä yksinkertaista vinoviivaa: https://yle.fi/a/74-20152297.
Sillä ei ole merkitystä, näetkö verkkotunnuksen edellä kirjaimet www vai et. Esimerkiksi www.kela.fi ja kela.fi ovat sama asia.
Myöskään alun kirjaimista https:// ei tarvitse erikseen välittää. Aina selaimet eivät edes näytä niitä.
3. Huomaa pisteellä erotettu osa
Verkkotunnuksen edessä voi olla pisteellä erotettu aliverkkotunnus eli subdomain. Se vie samalle sivulle, mutta suoraan sen tiettyyn osaan.
Esimerkiksi pääkaupunkiseudun sote-asiointikanava Maisan usein kysytyt kysymykset ovat osoitteessa ukk.maisa.fi. Applen tuki taas löytyy osoitteesta support.apple.com.
Monilla hyvinvointialueilla asiointikanavan osoite loppuu suomisote.fi.
Esimerkiksi Pohjois-Karjalassa on siunsote.suomisote.fi ja Länsi-Uudellamaalla lunna.suomisote.fi. Tämä johtuu siitä, että palvelut toimivat SuomiSote-nimisellä teknisellä alustalla.
Millaista on kyberrikollisen arki? Entä millaista ”sorkkarautaa” he käyttävät? Tietoturva-asiantuntija Laura Kankaala kertoo Varjojen verkko -podcastissa, miten voimme suojautua verkkorikollisuudelta.
4. Havaitse väärä pääte tai hämäävät sanat
Rikolliset laskevat sen varaan, ettet kiireessä huomaa hiukan erilaista kirjoitusasua tai väärää päätettä.
Seuraavat esimerkit on poimittu Kyberturvallisuuskeskuksen viikkokatsauksista ja verottajan sivuilta:
| oikea verkkotunnus | huijauksia |
| danskebank.fi | danske.fi, dnaske.fi |
| posti.fi | posti.fi-toimitus.net |
| vero.fi | vero-fi, oma.vero-suomi.com |
| traficom.fi | suomi-traficom.fi |
5. Älä luota fi-päätteeseen
Edellä olevista esimerkeistä kävi ilmi, ettei edes Suomen kansallinen fi-pääte ole luotettava.
Myös kalastelusivuja on rekisteröity verkkotunnuksella .fi.
Fi-päätteitä hallinnoi Liikenne- ja viestintävirasto Traficom.
Traficom voi sulkea esimerkiksi sivun, joka on yleisesti saatavilla ja kalastelee pankkitunnuksia. Sivun hankkimista eli rekisteröintiä viranomainen ei kuitenkaan voi ennalta estää.
6. Älä luota lukon kuvaan
Osoitteen edessä näkyy monissa selaimissa lukkosymboli.
Lukko kertoo saman asian kuin osoitteen edessä oleva https://: Yhteys sinun laitteesi ja sivun välillä on salattu. Mikään kolmas osapuoli ei näe tietoja, jotka syötät sivulle.
Lukko ei kuitenkaan kerro mitään sivun tekijän tai ylläpitäjän motiiveista. Se ei siis takaa sivun luotettavuutta tai turvallisuutta.
Useimmiten kalastelusivuillakin on lukkokuva eli niiden koko osoite alkaa https://.
Koska lukko luo väärää turvallisuuden tunnetta, Google on Chrome-selaimessaan luopunut siitä ja korvannut lukon omalla ikonillaan. Lukon kuva näkyy vasta, kun tuota ikonia painaa.
Kalastelua ja rahastusta tapahtuu varmasti myös Googlen uuden ikonin alla.
7. Älä luota hakukoneeseen tai muistiisi
Jos asioit puhelimella, käytä palveluja mieluummin niiden virallisilla sovelluksilla kuin selaimella. Esimerkiksi OmaVerolla ei kuitenkaan ole omaa sovellusta. Opettele siis laittamaan vero.fi kirjanmerkiksi.
Mene säännöllisesti käyttämiisi palveluihin selaimen kirjanmerkistä eli suosikista. Suosikit on helppo tallentaa parilla painalluksella.
Applen Safari-selain puhuu kirjanmerkeistä. Suosikit on puolestaan kirjanmerkkien alla oleva kansio. Katso Applen ohjeet iPhonelle (valitse versiosi).
Älä luota hakutuloksiin tai muistiisi. Hakukone ehdottaa tuloksia heti, kun alat kirjoittaa osoitetta itse. Voit helposti lipsahtaa ovelasti nimetylle kalastelusivulle.
Älä myöskään luota siihen, että varmasti muistat osoitteen – ellei se sitten ole aivan lyhyt, kuten op.fi. Rikollisilla on kyllä siihenkin temppu: o-kirjain muutetaan numeroksi 0.
Pahimmillaan hakukonehuijaus on todella taitavasti tehty, kuten alla olevassa kuvassa. Linkki vei tunnistautumispalvelun näköiselle valesivulle, jolla kalasteltiin pankkitunnuksia.
Viranomaiset eivät koskaan maksaisi Googlelle näkyvyydestä eli Sponsoroitu-täpästä.
Hakukoneet kyllä haravoivat ostettujakin mainoksia, mutta huijaussivut pääsevät välillä läpi näistä suodatuksista. Rikolliset ovat usein askeleen tietoturvan puolustajia edellä.
Tärkein asia kalastelusivujen tunnistamisessa on maltti: Käytä hetki aikaa ja varmista, millä sivulla oikeasti olet.
Juttuun antoi tietoja tietoturva-asiantuntija Satu Kurunsaari Traficomin Kyberturvallisuuskeskuksesta.
Tämä artikkeli on osa Ylen Digitreenejä, joiden avulla voit opetella arjessa hyödyllisiä digitaitoja – hakuvinkeistä tietoturvaan. Vertaistukea saat Yle Oppimisen Facebook-ryhmässä Digitreenit.
Muokattu 19.6.2025: tarkennettu nettiosoitteen sisältämää kysymysmerkkiä käsittelevää kohtaa.