Verkkohuijareita liikkeellä – kuinka suojautua domainhuijaukselta?

blogi

Kaiken verkkoasioinnin keskiössä ovat verkkotunnukset eli domainit. Mikä rooli verkkotunnuksilla eli domaineilla on huijausyrityksissä, ja miksi niihin kannattaa kiinnittää erityistä huomiota kaikessa verkkoasioinnissa? Pienellä lisähuomiolla voit oppia erottamaan aidon nettisivun huijauksesta!

Mikä maa, mikä domain?

Yhä useammin sivustovierailijat syöttävät hakukoneeseen sivuston nimen eli domainin (puhekielellä ”osoitteen”, kuten seravo.com) sen sijaan, että se kirjoitettaisiin selaimen osoiteriville. Hakutulosten linkki tai niiden seassa näkyvä maksettu mainos ei välttämättä johdakaan aidolle sivustolle, vaan aidolta näyttävälle huijaussivustolle.

Internetin kauppapaikoilla voi törmätä linkkeihin, joilla myös yritetään ohjata käyttäjä valesivustolle. Huijauksen voi tunnistaa kiinnittämällä huomiota linkeissä näkyviin verkkotunnuksiin.

  • Verkkotunnus (engl. domain)
    • Puhekielessä myös ”osoite”, eli selaimen osoiterivillä näkyvä verkkosivuston osoite. Esimerkiksi seravo.com.
  • Ylätason verkkotunnus (engl. top-level domain, TLD)
    • Puhekielessä usein ”pääte”, eli se osa, johon verkkotunnus päättyy (.com, .fi, jne.)

Osoiteriville kirjoitettuun domainiin voi eksyä kiireessä tai epähuomiossa kirjoitusvirhe, jolloin saatetaan myös päätyä jonnekin aivan muualle kuin oli alunperin tarkoitus. Huijauksia tehtailevat yrittävät harhauttaa kävijät omille huijaussivuilleen monin tavoin.

Digihuijaukset yhä yleisempiä

Verkossa toimiville huijareille menetettiin esimerkiksi vuoden 2022 aikana yhteensä yli 30 miljoonaa euroa – ja huijausten määrä vain kasvaa. Huijausten estämiseksi on tärkeää kiinnittää huomiota siihen, mistä osoitteesta viestit saapuvat, tai mitä domainia sivusto käyttää. Viranomaiset ja yritykset lanseerasivat vuonna 2023 kampanjan, joka tähtää digihuijausten määrien vähentämiseen.1

Varo, varmista, varoita

  • Varo viestejä ja muita yllättäviä yhteydenottoja, jotka kehottavat sinua toimimaan tai jotka sisältävät linkkejä.
  • Varmista, että yhteydenotot tulevat oikeasti sieltä, mistä ne vaikuttavat tulevan. Kirjaudu palveluihin turvallista reittiä pitkin: kirjoita palvelun suora osoite selaimen osoiteriville tai siirry palveluun tallentamasi kirjanmerkin kautta. Älä käytä hakukoneiden tarjoamia linkkejä. Jos palvelua voi käyttää sitä varten tehdyn sovelluksen avulla, käytä sitä.
  • Varoita huijauksista myös muita: läheisiä, tuttuja ja työkavereita. Tee rikosilmoitus poliisille ja ilmoita huijauksista myös Traficomin Kyberturvallisuuskeskukseen.

Huijauksen tunnistaminen ei ole helppoa

Huijauksia ja huijausyrityksiä kohdataan myös Seravon asiakaspalvelussa, joita asiantuntijamme ovat tottuneet tunnistamaan. Verkkosivustojen omistajille on voitu lähettää esimerkiksi kiristysviestejä, joissa väitetään sivuston olevan murrettu. Tyypillisesti viesteissä vaaditaan maksua, jottei tietoja vuodeta tai tehdä muutakaan ikävää. Huijaus on siitä huono, että se saattaa sivuston tietoturvan tarkemman tutkinnan kohteeksi. Kun sivustoa valvotaan tietoturvapoikkeamien varalta, voidaan pian huomata, että huijarin väitteet ovat perusteettomia, eikä sivustomurtoa ole oikeasti tapahtunut.

Seravolla jokainen sivusto tarkistetaan päivittäin tietoturvapoikkeamien havaitsemiseksi, mutta tarkistamme myös jokaisen epäilyttävän viestin, mikäli sellainen meille välitetään sähköpostitse. Asiakkaanamme sinun ei tarvitse jäädä yksin pähkäilemään, onko saapunut viesti huijaus vai ei: tarkistamme viestin ja tutkimme sivustosi, jolloin voit varmistua sivustosi tietoturvan tilanteesta.

Huomioi kolmannen osapuolen palvelut

Vaarallisempi tihutyö on sellainen tietomurto, jota kukaan ei huomaa – ainakaan heti. Tämä tekee sivuston käyttämien kolmannen osapuolen palveluista hyvän kohteen, sillä ulkoiset resurssit, palvelut ja integraatiot eivät välttämättä ole arkityön keskiössä tai kenenkään vastuulla. Kolmannen osapuolen palveluita ovat esimerkiksi sivuston analytiikkapalvelut, sosiaalisen median integraatiot tai markkinointityökalut, kuten uutiskirjeiden postittamiseen käytetyt palvelut.

Oli huijaus minkälainen hyvänsä, käyttäjätunnusten turvallinen säilyttäminen on tietoturvan peruspilari. Onko käyttäjätunnuksissa myös riittävän hyvä ja vahva salasana? Käytetäänkö niissä myös kaksivaiheista tunnistautumista, tai hyödyntävätkö ne kertakirjautumista (SSO)? Kirjoitamme paljon tietoturvan ajankohtaisista asioista, löydät niitä helposti blogistamme, tai seuraamalla esimerkiksi Kyberturvallisuuskeskuksen viikkokatsauksia.

Tarkista ainakin nämä

Valitettavasti huijaussivustot voivat olla niin huolellisesti tehtyjä, että niitä on äärimmäisen vaikea, ellei jopa mahdoton erottaa toisistaan. Kiireessä tai paineen alla harjaantuneinkin silmä voi erehtyä edessä avautuvasta sivustosta. Suojautuaksesi huijaukselta, mieti ainakin näitä asioita:

  • Onko sivusto oudon näköinen? 
  • Lukeehan osoiterivillä oikea domain?
  • Täsmääkö selainrivillä näkyvä osoite sitä, mitä hakukonekin ehdottaa?
  • Onhan yhteys on suojattu HTTPS:llä?
Seravolla kaikki yhteydet ovat suojattuja, ja HTTPS on oletuksena käytössä kaikilla sivuilla.

Millainen domain kannattaa rekisteröidä?

Domaineilla on suuri merkitys verkkosivuston (ja koko yrityksen) toimintaan sekä tietoturvaan, sillä niitä voidaan hyödyntää esimerkiksi hybridihyökkäyksissä. Tietoturvaa ja muita verkkopalvelun jokapäiväiseen käyttöön liittyviä asioita on hyvä miettiä jo domainia rekisteröitäessä, mikäli mahdollista.

Lyhyt vai pitkä domain? Yleisesti ottaen lyhyet ja ytimekkäät verkkotunnukset ovat helpompia kirjoittaa, mutta abstraktien lyhenteiden muistaminen voi olla hankalaa. Liian pitkiä domaineja puolestaan kannattaisi välttää siksi, koska niiden kirjoittaminen selaimen osoiteriville vie aikaa. Ihanteellinen domain olisi siis helppo muistaa ja kirjoittaa.

Mitä verkkotunnuksia olisi hyvä rekisteröidä, ja kuinka monta domainia tarvitaan? Aivan jokaisen muunnelman rekisteröiminen on saattanut olla suositeltavaa ja mahdollista silloin, kun domainpäätteitä oli olemassa vain muutama. Toisessa vaakakupissa painaa pelko siitä, että joku muu taho rekisteröi miltei samanlaisen domainin käyttöönsä, ja toisessa vaakakupissa painaa taas hinta. Domainien hinnat vaihtelevat paljonkin ylätason verkkotunnuksesta eli TLD:stä riippuen – monen domainin rekisteröimisestä saa helposti aikaan mittavan laskun.

1. Missä toimintaa, siellä domain

Monet domainpäätteet ovat maatunnuksia, joten kannattaa varata ainakin sellaiset maakohtaiset domainit, joiden maassa yrityksellä on liiketoimintaa: jos yritys toimii Suomessa, Ruotsissa ja Virossa, kannattaa keskittyä varaamaan .com-domainin lisäksi .fi, .se ja .ee-domainit. Usein verkkotunnuksen rekisteröintiehtoihin kuuluu, että tietyn maan päätteen (TLD:n) itselleen varaava taho on huolehtinut yrityksensä rekisteröimisestä toimintaan kyseisessä maassa. Jos haluat käyttöön vaikkapa Kanadan päätteen (.ca), edellytetään, että yrityksesi toimii Kanadassa.

2. Keskity olennaisiin… ja vähemmän olennaisiin

Vaikka ylätason verkkotunnuksia on nykyään yli tuhat, on hyvä ajatus rekisteröidä niistä ainakin suurimman suosion saavuttaneet ja siten oleellisimmat: suomalaisille tällaiset lienevät .fi, .com, ja .net. Myös .org on maailmalla suosittu ja löytyy monen sivuston domainvalikoimasta, joten kansainväliseen uraan keskittyvien kannattaa sekin napata.

Käy tämän jälkeen läpi vielä ylätason verkkotunnukset ja valikoi sellaiset, joiden pääte on jollakin tapaa looginen sivustosi aihealueen kanssa. Esimerkiksi .io ja .email ovat olennaisia valintoja IT-alalla toimivalle taholle, kun taas .health ja .beauty ovat olennaisempia kauneusalan yritykselle.

3. Viisastu virheistä

Jos yrityksesi nimi on helppo kirjoittaa tai muistaa väärin, on hyvä idea rekisteröidä väärinkirjoitettu muoto: esimerkiksi Kaikkein Paras Yritys Oy voisi rekisteröidä itselleen päädomainin parasyritys.fi sekä lisädomainit kaikkeinparasyritys.fi, kaikistaparasyritys.fi ja vaikkapa vielä kaikkienparasyritys.fi. Mikäli yrityksen nimi on kirjainlyhenne, voi väärinkirjoitusten riski kasvaa. Tällöin voi esimerkiksi miettiä, mitkä kirjaimet ovat näppäimistöllä lähellä toisiaan.

Ei ole myöskään suositeltavaa innostua rekisteröimään aivan kaikkia väärinkirjoitusmuotoja eri domainpäätteillä. Keskity niihin virheisiin ja verkkotunnuksiin, jotka todennäköisimmin menevät sekaisin sivustosi päädomainin kanssa. Ota avuksesi sivustosi käyttäjät tai etsi koeyleisö, jolle tehtyjen käyttäjätestien avulla voit havainnoida sivustosi käyttöä ja tunnistaa todennäköisimmät kirjoitus- ja navigointivirheet.

Miten rekisteröidään domain?

Tarvitsetko vielä lisäapua domainin valitsemiseksi? Domainkeskuksen blogista löydät peräti seitsemän vinkkiä parhaan verkkotunnuksen valitsemiseen. Tutustu myös toiseen blogikirjoitukseen, josta voi olla apua hyvän verkkotunnuksen keksimiseksi. Jos haluat rekisteröidä itsellesi pelkän domainin, onnistuu se myös Domainkeskuksen kautta.

Seravo ylläpitää myös domainisi

Seravolla yksi verkkotunnus eli domain kuuluu aina palvelupaketin hintaan, ja lisädomaineja rekisteröimme lisämaksusta. Seravo uusii domainisi automaattisesti osana palveluamme, joten sinun ei tarvitse huolehtia niiden vanhentumisesta. Jos olet jo asiakkaamme ja haluat rekisteröidä WordPress-sivustosi käyttöön lisädomainin, voit ottaa yhteyttä asiakaspalveluumme – uuden domainin rekisteröinti onnistuu hetkessä!

Domainin elinkaari

Mitä tehdä, kun domain vanhenee? Ei ole oikeaa tai väärää tapaa menetellä domainien käyttöönoton ja käytöstä poistamisen kanssa: uusia domaineja voi aina rekisteröidä, ja antaa vanhentuneiden mennä menojaan. Vanhentuvassa domainissa tosin piilee se riski, että joku muu rekisteröi käytöstä poistuneen domainin, ja alkaa käyttää sitä johonkin muuhun tarkoitukseen. Mitä pitkäikäisempi ja tunnetumpi domain, sitä luotetumpi se voi olla hakukoneiden silmissä. Toisin sanottuna pitkäikäinen ja luotettava domain on parempi hakukoneoptimoinnin eli SEO:n kannalta. 2 Muista siis tämä, kun rekisteröit domaineja tai poistat niitä käytöstä!

Alidomainit

Sen sijaan että markkinointikampanjaa varten luodaan oma, väliaikainen ja kokonaan erillinen verkkotunnus kuten kuvitteellisena esimerkkinä parasyrityskampanja.fi, kannattaa miettiä, voisiko väliaikaisella kampanjasivustolla käyttää alidomainia – kuten kampanja.parasyritys.fi. Alidomainilla saavutetaan tietenkin se etu, että se toimii päädomainin ”alaisuudessa” – sen vanhentumisesta ei siis tarvitse huolehtia. Ainoaksi huolehdittavaksi jää alidomainin ohjaus takaisin pääsivustolle kampanjan päätyttyä. Seravon asiakaspalvelu auttaa alidomainin käyttöönotossa ja tarvittavissa ohjausmuutoksissa ilmaiseksi.

Varo domainhuijaria

Viime vuodet ovat saaneet liikkelle myös domainien kaupittelijoita, jotka lähestyvät potentiaalisia asiakkaitaan puhelimitse. Puhelussa viralliselta kuulostava kaupittelija ilmoittaa, että jokin ulkomainen yritys tai taho aikoo rekisteröidä domaineja, jotka ovat lähes samat kuin puhelun saajan yritykselläkin on käytössä.

Valitettavasti kyseessä on huijaus, jossa domainin omistaja taivutellaan varaamaan ja ostamaan itsellensä lisädomaineja, joiden rekisteröinti ei ole pakollista – tai suinkaan niin tärkeää kuin puhelussa annetaan ymmärtää. Sekä puhelimessa viralliselta kuulostava soittaja että domainien rekisteröintiä aikova yritys ovat käytännössä yksi ja sama taho, jotka soittelevat yrityksiä läpi, tavoitteenaan saada helppoa rahaa. Huijauksista ovat uutisoineet aiemmin esimerkiksi Ylen MOT ja Kyberturvallisuuskeskus.

Viisainta on lyödä luuri tällaisen huijarin korvaan, sillä lisädomainien rekisteröiminen ei ole pakollista, vaikka puhelussa voidaan toisin väittää. Domainin hinta riippuu usein päätteestä (esimerkiksi .fi, .com, .net), eikä kaikkien erilaisten variaatioiden rekisteröiminen ole edes suotavaa – se voi osoittautua jopa mahdottomaksi, sillä erilaisia ja toineen toistaan erikoisempia domaineja on nykyään tarjolla tuhatkunta.

Esimerkki: Matti Meikäläisen Esimerkkiyritys Oy:llä on pääverkkotunnus mattimeikalainen.fi ja lisäksi kyseiseen .fi-verkkotunnukseen ohjaava lisäverkkotunnus mattimeikalainen.com.

Matti saa puhelun, jossa hänelle kerrotaan, että mattimeikalainen.org ja mattimeikalainen.net ovat vielä rekisteröimättä, mutta jokin ulkopuolinen taho uhkaa varata nämä domainit itselleen. Soittaja esittää asian niin, että tästä voi olla haittaa Matti Meikäläisen yrityksen liiketoiminnalle. Matin olisi nyt puhelun aikana tehtävä päätös siitä, rekisteröidäänkö kyseiset verkkotunnukset vai ei. Tyypillisesti tätä kautta hankitut domainit ovat myös reilusti kalliimpia kuin normaalisti.

Domainin poistaminen

Onko jokin omistamasi domain päässyt vanhentumaan, ja sen on ottanut käyttöön joku muu? Onko yrityksesi nimeä tai suojattua tavaramerkkiä mukaillen rekisteröity domain, joka ohjaa kävijät haitalliselle sivustolle? Verkkotunnuksen käytöstä poistaminen voi olla pitkä prosessi, mutta se on kuitenkin mahdollista.

FI-verkkotunnuksista vastaa Liikenne- ja viestintävirasto Traficom, jolle voi tehdä domainin poistovaatimuksen. Lisätietoa poistamisesta löydät Traficomin sivuilta. Mikäli kyse ei ole maakohtaisesta domainista, oikea taho valituksen tekemiseksi on ICANN.

Seravolla olet aina verkkotunnuksen omistaja ja päätät, mitä verkkotunnuksia eli domaineja yrityksellesi rekisteröidään.

Domainin automaattinen uusiminen – ja kaikki muukin olennainen

Yhden verkkotunnuksen hallinta kuuluu Seravolla aina palvelupaketin hintaan, ja lisäverkkotunnuksia voidaan myös liittää palvelupakettiin. Palvelu Seravolla sisältää aivan kaikki domainiin liittyvät maksut, sertifikaatin ja automaattisen uusimisen. Myös suuria verkkopalveluita on saatu pois linjoilta unohtamalla uusia domainin rekisteröinti – me taas huolehdimme kaikista verkkotunnuksen ylläpitoon liittyvistä maksuista sekä uusimme domainin automaattisesti niin kauan, kuin WordPress-sivustosi on Seravon palvelussa. Näin varmistamme, että sivustosi toimii häiriöttä!

Päädomainin sekä halutut lisädomainit voit ilmoittaa näppärästi tilauslomakkeella. Jos domainia ei ole rekisteröity, varaamme sen sinulle tilauksen käsittelyn yhteydessä. Jos domain on jo rekisteröity ja hallinnassa muualla, voit siirtää sen Seravon hallintaan lähettämällä meille domainin siirtoon tarvittavat tiedot tilauslomakkeella tai sähköpostitse.

Pelkän domainin ylläpito

Seravo ylläpitää domaineja osana WordPressin ylläpitoa, eikä pelkän domainin rekisteröinti kauttamme ole mahdollista ilman palvelupakettia. Jos etsit uutta kotia pelkälle domainille, suosittelemme kääntymään Domainkeskuksen puoleen.

Sain huijausviestin, mitä teen?

Saitko epäilyttävän viestin sivustosi toimintaa koskien tai domainiisi eli verkkotunnukseesi liittyen? Onko sinulla muuta kysyttävää sivustosi tietoturvaa koskien? Ota yhteyttä meihin esimerkiksi sähköpostilla, help@seravo.com. Tarjoamme apua myös sivustoltamme löytyvän chatin kautta!

Lähteet

  1. ”Varo, varmista, varoita -kampanja: Digihuijausten määrä kasvoi selvästi vuoden 2022 jälkipuoliskolla.” Finanssiala ry, 29.3.2023. ↩︎
  2. ”Älä ota kesädomainia! – verkkotunnukset ovat arvokasta omaisuutta.” Kyberturvallisuuskeskus, 3.10.2024. ↩︎

Tags:

, , , ,

Comments

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *