Olemme oppineet, että huijausviestit voivat olla uskottavan oloisia ja saapua tuttujen lähettäjien nimissä. Tiedämme, että toimitusjohtajalta tai pomolta tullut outo tekstipohjainen viesti ei välttämättä ole todellinen. Olemme oppineet tunnistamaan epäilyttäviä viestejä.
Deepfake eli syväväärennös vie nämä huijaukset vielä pidemmälle, syvemmälle mieliimme. Deepfake-huijauksissa rikollinen käyttää myös kuvaa ja ääntä tehdäkseen huijauksesta uskottavamman. Jos ihminen näkee ja kuulee tutun ihmisen sanovan jotain, hän uskoo sen paljon helpommin, kuin jos pyyntö tulisi vain tekstinä. Syväväärennöksessä viesti saadaan näyttämään ja kuulostamaan aidolta.
Syväväärennösten avulla pyritään hankkimaan luottamusta, jonka turvin saadaan toinen tekemään asioita. Deepfake onkin hyökkäys ihmisten ajatuksia, päätöksentekoa ja mieltä vastaan.
Millaisia deepfake-huijauksia on olemassa?
Oli aika, kun tapahtumista haluttiin kuva todisteeksi. Ei uskottu, ennen kuin omin silmin nähtiin. Tuo aika on ohi. Tekoäly ja muu teknologian kehitys mahdollistaa erittäin uskottavien kuva-, video- ja äänimateriaalien toteuttamisen.
Suomalaisiin organisaatioihin kohdistuneista deepfake-huijauksista ei ole vielä paljon uutisoitu. Kyberturvallisuuskeskus kuitenkin mainitsee viikkokatsauksessaan 17/2026, että deepfake-huijauksia on käytetty sijoitus- ja toimitusjohtajahuijauksissa.
Väärennettyä materiaalia hyödynnetään eri maiden välisessä informaatiosodankäynnissä. On helppoa väittää, että jotain on tapahtunut ja antaa kuvamateriaalia kaiken tueksi. Tai väittää, että videossa nähtyjä tapahtumia ei ole koskaan tapahtunutkaan. Ongelma on jo niin suuri, että Ylellä on jopa oma tiimi, jonka tarkoituksena on paljastaa huijauksia, väärennöksiä ja muita virheitä. Media onkin aloittanut taistelun huijausvideoita vastaan.
Yksityishenkilöitä yritetään saada mukaan sijoitushuijauksiin käyttämällä huijauksissa julkisuudesta tuttujen henkilöiden deepfake-videoita. Valitettavasti teknologiaa voidaan käyttää myös digitaaliseen väkivaltaan.
Yksityishenkilöille soitetaan myös automaattisia robottipuheluita poliisin nimissä. Vaikka näissä ei olekaan kyse varsinaisista syväväärennöksistä, niin uhka on hyvä tiedostaa. Automaattisia puheluita hyödyntämällä rikollinen voi yrittää tehdä esimerkiksi toimitusjohtajahuijauksen organisaation työntekijöitä vastaan.
Miksi deepfake sopii täydellisesti toimitusjohtajahuijaukseen?
Toimitusjohtajahuijauksessa rikollinen esiintyy yrityksessä johtavassa asemassa olevana henkilönä ja pyytää työntekijää tekemään jonkin toimenpiteen hänen puolestaan. Pyyntö voi liittyä esimerkiksi laskun maksamiseen tai tilisiirron tekemiseen.
Rikollinen luottaa siihen, että alainen tottelee pomon pyyntöjä, etenkin jos pyyntö tulee toimitusjohtajalta, talousjohtajalta tms. korkeassa asemassa olevalta henkilöltä.
Pahimmillaan deepfake-huijauksessa toimitusjohtajan pyyntö tulee hänen omalla kuvallaan ja äänellään. Tällöin yksittäinen työntekijä ajautuu hyvin vaikeaan tilanteeseen. Voi olla vaikeaa tunnistaa tilannetta huijaukseksi ja vielä vaikeampaa kyseenalaistaa erittäin todentuntuinen pyyntö. Varsinkin, jos kokonaisuuteen saadaan vielä kiireen ja paineen tuntua.
Miten työntekijä voi tunnistaa syväväärennöksen?
Työntekijällä ei ole yksinkertaista ja nopeaa teknistä keinoa tunnistaa, onko kuva, video tai ääni todellinen.
Siksi kannattaa opetella tunnistamaan perinteiset toimitusjohtajahuijauksen ja huijausviestien tunnusmerkit. Ja tiedostaa, että ääni ja kuva eivät ole enää todisteita oikeasta viestistä. Lue lisää: Huijausviestin tunnistaminen – mikä tekee viestistä epäilyttävän
Keinoja huijauksen tunnistamiseksi ja tilanteen selvittämiseksi:
- Jos puhujan asia epäilyttää, tarkista se toista kanavaa pitkin. Sovi tapaaminen.
- Soita henkilölle takaisin, luotettavasta lähteestä saatuun puhelinnumeroon.
- Kysy puhujalta jotain sellaista, jonka vain oikea-hän tietää.
- Puhu hänelle puutaheinää, ja katso miten vastapuoli reagoi.
- Unohda kiire. Huijari nimenomaan haluaa, että toimit kiireessä.
- Keskustele kollegan kanssa tilanteesta.
- Noudata turvallisia toimintamalleja ja periaatteita (kts. lisää alempaa).
Tulemme varmasti kehittelemään myös erilaisia keinoja varmentaa, kuka on kuka. Näitä voivat olla esimerkiksi etukäteen sovitut turvakysymykset, turvasanat, käsimerkit tai muut erikoiset toimintatavat palaverien alussa.
Yksityiskohtaisia ohjeita deepfake-materiaalin tunnistamiseen löydät esimerkiksi tästä Kyberturvallisuuskeskuksen artikkelista.
Mitä organisaatiossa kannattaa tehdä deepfake-huijauksilta suojautumiseksi?
Syväväärennökset eivät ole ohimenevä uhka, vaan ne tulevat jäämään organisaatioiden riesaksi. Siksi on tärkeää tiedostaa huijauskeinot, ja oppia toimimaan turvallisesti tilanteessa kuin tilanteessa.
Organisaatioissa tulee muodostaa turvalliset toimintamallit, joita sovelletaan aina, oli kyseessä sitten huijaus tai ei. Kun organisaatio hyödyntää turvallisia toimintamalleja, ei yksittäisen henkilön huijaaminen aiheuta vielä vahinkoa, koska huijaus pysähtyy turvalliseen toimintamalliin.
Turvalliset toimintamallit kannattaa ottaa käyttöön muutenkin, koska niistä on hyötyä myös muihin tilanteisiin, kuin deepfake-huijauksia vastaan.
Toimintamalleja, jotka luovat turvallisuutta:
Rahansiirtojen varmistus ja kahden henkilön hyväksyntä. Jos on sovittu, että laskun maksamiseen ja muihin isoihin rahansiirtoihin tarvitaan aina varmistus ja kaksi henkilöä, ei huijaus mene eteenpäin vaikka ”toimitusjohtaja” pyytäisikin nopeaa rahansiirtoa puhelimitse.
Tuplavarmistus käyttäjätunnuksiin. Uusien käyttäjätunnusten luonti kriittisiin järjestelmiin ja pääkäyttäjäoikeuksien myöntäminen edellyttävät kaksivaiheista hyväksyntää esimerkiksi esihenkilöltä ja pääkäyttäjältä.
Epäilyttävän viestin tarkistaminen. Ohjeista ja mahdollista tuki haastavissa tilanteissa. Luo kuvallinen ohje, miten huijausviesteistä voi tunnistaa epäilyttäviä asioita. Mahdollista helppo ja nopea yhteydenotto IT- ja tietoturvahenkilöstöön tilanteissa, jotka vaativat viestin arviointia yhdessä.
Luo periaatteita ja noudata niitä. IT-henkilö ei koskaan pyydä salasanaa. He eivät tarvitse sitä. Älä koskaan luovuta salasanaa kenellekään, ei edes IT-henkilölle. Kerro tämä henkilöstölle. Ja varmista IT-henkilöstön kanssa, että he eivät oikeasti saa pyytää salasanaa koskaan, mihinkään.
Mitä-missä-kuka? Mitä-missä-kuka toimintamalli: Mitä sinulta pyydettiin? Missä yhteydessä pyydettiin? Kuka asiaa pyysi? Varmista pyyntö vielä toiselta henkilöltä. On ihan ok hieman hidastella turvallisuuden nimissä.
Kouluta henkilöstö syväväärennösten varalle. Tärkeintä on tiedostaa, mistä on kyse, ja miten toimitaan. Tarjoa käytännön esimerkkejä. Ne avaavat silmät ja korvat!
Vastaa