Verkkourkinta ja phishing – miten tietojenkalastelu toimii ja miten sitä torjutaan

  • Päivitetty: 17.2.2026
Verkkourkinta ja phishing

Miksi verkkourkinta on edelleen tehokkain hyökkäys

Verkkourkinta eli phishing on yhä yksi yleisimmistä kyberrikollisuuden muodoista. Sen teho ei perustu pelkästään teknologiaan, vaan ihmisten käyttäytymiseen. Hyökkääjä ei murra järjestelmää – hän saa käyttäjän avaamaan oven.

Tietojenkalastelu voi näkyä sähköpostina, tekstiviestinä, puheluna, QR-koodina tai täysin aidolta näyttävänä kirjautumissivuna. Kohteena voivat olla pankkitunnukset, sähköpostitilit, yritysten pilvipalvelut tai maksuliikenne.

Moderni phishing ei ole enää kömpelöä roskapostia. Viestit ovat kieliasultaan virheettömiä, uskottavia ja usein kohdennettuja. Siksi perinteinen neuvo “varo epäilyttäviä linkkejä” ei enää riitä.

Mitä on phishing ja mitä tarkoittaa phishing?

Phishing suomeksi: tietojenkalastelu ja verkkourkinta

Mitä on phishing? Kyse on huijausmenetelmästä, jossa rikollinen pyrkii saamaan haltuunsa luottamuksellisia tietoja esiintymällä luotettavana tahona.

Phishing suomeksi tarkoittaa tietojenkalastelua tai verkkourkintaa. Arkikielessä puhutaan myös tietojen kalastelusta, mikä kuvaa ilmiötä hyvin: hyökkääjä “onkii” tietoja uhrilta.

Mitä tarkoittaa phishing käytännössä? Uhrille lähetetään viesti, joka sisältää:

  • kiireellisen ilmoituksen
  • maksupyynnön
  • kirjautumispyynnön
  • turvallisuusvaroituksen
  • sovelluksen hyväksymispyynnön

Tavoite on saada käyttäjä tekemään nopea päätös ilman tarkistusta.

Verkkourkinta käytännössä – yleisimmät muodot

Phishing voidaan jakaa sen mukaan, missä kanavassa hyökkäys tapahtuu ja mitä uhria pyydetään tekemään.

1. Massaphishing

Laajalle joukolle lähetetty viesti. Tyypillinen koukku on esimerkiksi “tili lukitaan” tai “päivitä tietosi”. Kohteena ovat usein pankkitunnukset tai sähköpostitilit.

2. Spear phishing

Kohdennettu hyökkäys tiettyyn henkilöön tai tiimiin. Viesti voi viitata oikeaan projektiin tai kollegaan. Tämä tekee siitä uskottavan.

3. Whaling

Yritysjohdon tai taloushallinnon kohdistettu tietojenkalastelu. Tarkoituksena on saada hyväksyttyä maksu tai luovutettua luottamuksellista tietoa.

4. Smishing

Tekstiviestitse toteutettu phishing. Viesti voi koskea pakettia, tullimaksua tai maksamatonta laskua. Mobiilissa linkin tarkistaminen on vaikeampaa, mikä lisää onnistumisprosenttia.

5. Vishing

Puhelimitse toteutettu tietojen kalastelu. Hyökkääjä voi esiintyä pankkina tai viranomaisena ja painostaa toimimaan heti.

6. Quishing

QR-koodiin perustuva verkkourkinta. Skannaus ohjaa suoraan haitalliselle sivulle ilman, että käyttäjä näkee osoitetta etukäteen.

Miten phishing toimii teknisesti?

Verkkourkinta yhdistää kaksi elementtiä:

  1. Uskottavuuden rakentaminen
  2. Pääsyoikeuden varastaminen

Lähettäjän väärentäminen (spoofing)

Sähköpostissa “From”-kenttä voidaan manipuloida näyttämään luotettavalta. Tekstiviesteissä lähettäjän nimi voidaan väärentää.

Ulospäin viesti näyttää aidolta, vaikka sen tekninen alkuperä on muualla.

Väärennetyt verkkotunnukset ja phising-ilmiö

Yksi yleisimmistä keinoista on käyttää lähes identtistä verkkotunnusta. Yksi kirjain eroaa – mutta kiireessä sitä ei huomaa.

Esimerkkejä:

  • eri päätetunnus (.net vs .com)
  • lisätty väliviiva
  • ylimääräinen merkki

Tämä “phising”-tyyppinen kirjoitusasu johtaa väärälle sivulle.

Tunnusten kalastelu

Perinteisessä mallissa käyttäjä syöttää tunnuksensa valesivulle. Hyökkääjä käyttää niitä heti oikeaan palveluun kirjautumiseen.

Tokenien ja istuntojen kaappaus

Modernissa AiTM-hyökkäyksessä (adversary-in-the-middle) käyttäjä kirjautuu peilisivun kautta. Monivaiheinen tunnistautuminen voidaan ohittaa, ja hyökkääjä saa haltuunsa istuntotunnisteen.

Tällöin pelkkä salasanan vaihto ei välttämättä riitä.

OAuth-phishing

Käyttäjä ei anna salasanaa lainkaan, vaan hyväksyy sovellukselle laajat oikeudet. Haitallinen sovellus saa pääsyn tietoihin API-rajapinnan kautta.

Tämä on erityisen petollinen muoto, koska kirjautuminen tapahtuu aidossa palvelussa.

Miksi ihmiset lankeavat verkkourkintaan?

Teknologia ei yksin selitä onnistumista. Ratkaisevaa on psykologia.

Yleisimpiä vaikuttimia ovat:

  • Auktoriteetti (pankki, poliisi, johto)
  • Kiire ja uhka
  • Tuttu rutiini (lasku, paketti, kirjautuminen)
  • Tunnepohjainen reagointi
  • Päätöksenteon kuormitus

Hyökkääjä pyrkii estämään kriittisen ajattelun. Toiminta tapahtuu ennen tarkistusta.

Tekoälyn myötä kieliopilliset virheet eivät enää paljasta huijausta. Siksi tunnistaminen perustuu prosessiin, ei kieliasuun.

Nykyinen uhkakuva: tekoäly ja monikanavaiset hyökkäykset

Generatiivinen tekoäly mahdollistaa:

  • virheettömät viestit
  • nopean personoinnin
  • massatuotannon
  • A/B-testauksen huijauksissa

Hyökkäys voi alkaa sähköpostilla, jatkua tekstiviestillä ja päättyä puheluun. Kun sama tarina toistuu useassa kanavassa, uskottavuus kasvaa.

Phishing toimii usein ensimmäisenä askeleena laajemmassa hyökkäysketjussa.

Torjunta yksilölle

Toimintamalli arjessa

  • Älä klikkaa linkkiä, jos viesti vaatii kirjautumista tai maksua
  • Avaa palvelu itse selaimesta tai sovelluksesta
  • Tarkista verkkotunnus huolellisesti
  • Älä hyväksy odottamattomia MFA-pyyntöjä
  • Suosi passkey-kirjautumista, jos mahdollista

Passkeyt (FIDO2/WebAuthn) perustuvat laitekohtaiseen kryptografiseen avainpariin. Salasanaa ei ole varastettavaksi.

Organisaation torjuntakerrokset

Verkkourkinta on identiteettiriski, ei pelkkä sähköpostiongelma.

Keskeisiä suojauksia:

  • SPF, DKIM ja DMARC sähköpostin aitouden varmistamiseksi
  • Riskipohjainen kirjautumisen valvonta
  • Tokenien hallinta ja istuntojen mitätöinti
  • OAuth-lupien rajoittaminen
  • Phishingin kestävä monivaiheinen tunnistautuminen
  • Kaksinkertainen maksujen hyväksyntäprosessi

Yhden klikkauksen vaikutus tulee minimoida.

Kun vahinko tapahtuu – reagoi näin

  1. Lopeta toiminta heti
  2. Vaihda salasana
  3. Mitätöi aktiiviset istunnot
  4. Tarkista sovellusluvat
  5. Seuraa tilitapahtumia

Organisaatiossa toimi ennalta määritellyn poikkeamaprosessin mukaan.

Lainsäädäntö Suomessa ja EU:ssa

Verkkourkinta liittyy usein useisiin rikosnimikkeisiin: petokseen, identiteettivarkauteen ja tietomurtoon.

Organisaatioita koskevat mm.:

  • Henkilötietojen tietoturvaloukkausten ilmoitusvelvollisuus (72 tunnin sääntö)
  • NIS2-direktiivin mukaiset riskienhallintavelvoitteet
  • DORA-asetuksen vaatimukset rahoitussektorille

Sääntelyn tarkoitus on varmistaa, että kyberriskien hallinta on systemaattista eikä reaktiivista.

Mitä verkkourkinta oikeasti on?

Verkkourkinta ei ole vain roskapostia. Se on yhdistelmä:

  • uskottavaa esiintymistä
  • teknistä manipulointia
  • psykologista painostusta
  • identiteetin kaappausta

Mitä tarkoittaa phishing vuonna 2026? Se tarkoittaa hyökkäystä, jossa pienikin virhe voi avata pääsyn koko identiteettiin.

Paras suoja syntyy kerroksittain: vahva tunnistautuminen, kriittinen ajattelu, tekniset kontrollit ja nopea reagointi.

Vastuuvapauslauseke: Tämä artikkeli tarjoaa yleiskatsauksen verkkourkintaan, phishing-hyökkäyksiin ja tietojenkalastelun torjuntaan. Yksittäiset tilanteet, tekniset ympäristöt ja lakivelvoitteet voivat poiketa toisistaan.

Saatat pitää myös näistä:

Sisällysluettelo