Kalasteluviesti eli phishing on sähköposti, tekstiviesti tai pikaviesti, jossa huijari yrittää saada sinut paljastamaan salasanan, maksutiedot tai henkilötunnuksen. Suomessa niihin menetetään vuosittain kymmeniä miljoonia euroja, usein täysin vältettävästi. Tässä oppaassa käymme läpi 8 tunnusmerkkiä, joilla tunnistat huijausviestin alle minuutissa.
Kaikki esimerkit perustuvat oikeisiin viesteihin, jotka Suomen kyberturvallisuuskeskus (NCSC-FI) on raportoinut vuosina 2024–2026.
1. Tarkista lähettäjän koko osoite
Sähköpostissa näkyy nimi kuten 'Osuuspankki Turvallisuus'. Älä luota nimeen, klikkaa sitä tai ole hiiren kursorilla sen päällä, niin näet oikean sähköpostiosoitteen. Aidot viestit tulevat aina organisaation omalta domainilta:
Oikeat OP:n viestit: jokin@op.fi tai @op-pankki.fi
Väärät: @op-asiakaspalvelu.net, @op.fi-turvallisuus.com, @0p.fi (nolla O:n sijaan)
Vakuutusyhtiö LähiTapiola: @lahitapiola.fi, ei @lahitapiola-asiakas.net
Tekstiviesteissä lähettäjän nimi voi olla huijattu ('Posti' näkyy lähettäjänä), mutta linkki paljastaa totuuden. Älä klikkaa, mene suoraan palvelun viralliseen osoitteeseen selaimessasi.
2. Kiireellinen sävy ja uhkailu
Huijausviestit luovat tyypillisesti paniikkia: 'Tilisi lukitaan 24 tunnissa!', 'Veronpalautuksesi vanhenee tänään!', 'Paketti palautetaan jos et vahvista nyt!'. Oikeat organisaatiot antavat lähes aina päiviä tai viikkoja aikaa, pankki ei sulje tiliä 24 tunnissa, Posti ei palauta pakettia saman päivän iltaan mennessä.
Jos tunnet paniikkia viestiä lukiessasi, pysähdy 30 sekunniksi. Huijarit tietävät, että kiireinen mieli ohittaa terveen järjen, anna sen vuoksi itsellesi aikaa miettiä.
3. Yleinen tervehdys
Aito palvelu tietää nimesi ja asiakasnumerosi. "Hyvä asiakas" tai "Arvoisa käyttäjä" on vahva merkki massalähetyksestä. Pankit, Kela, Posti ja verohallinto käyttävät aina omaa nimeäsi (yleensä etu- ja sukunimi).
Muista kuitenkin: nimesi tietäminen ei automaattisesti todista viestin aitoutta. Suomesta on vuotanut isoja henkilötietotietokantoja, joista huijarit ostavat nimet ja osoitteet.
4. Linkin todellinen osoite
Vie hiiri linkin päälle (älä klikkaa). Sähköpostiohjelma näyttää oikean URL-osoitteen ruudun alalaidassa tai pienenä vihjelaatikkona. Tarkista:
Onko osoite juuri siltä palvelulta, joka näkyy viestissä?
Onko domainissa ylimääräisiä sanoja? (esim. 'op.fi-tunnistautuminen.com' ei ole op.fi:n domain)
Käyttääkö se outoa päätettä kuten .ru, .xyz, .top tai .tk kun odottaisit .fi tai .com?
Onko linkki lyhennetty (bit.ly, tinyurl)? Luotettavat organisaatiot harvoin käyttävät lyhennettyjä linkkejä
Mobiililaitteessa saat linkin osoitteen näkyviin painamalla sormea pitkään linkin päällä. Älä päästä otetta liian nopeasti, valikko saattaa avata linkin vahingossa.
5. Kielioppi ja kieli
Vaikka konekäännökset ovat parantuneet, useimmat Suomeen osoitetut huijausviestit sisältävät yhä kielivirheitä. Punaisia lippuja ovat:
Outoja sanajärjestyksiä,'Teidän tilin on vaaranut' on selvästi konekäännös
Artikkeleita jotka eivät kuulu suomeen,'klikkaa tämän linkin'
Sekoittunut ä ja a,'Välittomasti' kun pitäisi olla 'Välittömästi'
Yhdyssanojen erottelu,'luotto kortti' sanasta 'luottokortti'
Uusimmat AI-huijaukset (GPT-5 ja myöhemmät) voivat kirjoittaa täydellistä suomea, joten yksin kielioppi ei enää riitä todisteeksi. Käytä aina useampaa tunnusmerkkiä yhdessä.
6. Salasanan tai pankkitunnusten kysyminen
Mikään pankki, operaattori, vakuutusyhtiö tai viranomainen ei kysy salasanaa sähköpostissa. Ei koskaan. Samoin:
OP, Nordea, Danske ja muut pankit eivät koskaan kysy verkkopankkitunnuksia sähköpostissa
Kela ei lähetä linkkiä, jossa pyydetään kirjautumaan pankkitunnuksilla
Verohallinto viestii virallisesti OmaVerossa, ei koskaan sähköpostilinkillä jossa pyydetään verkkopankkitunnuksia
Posti ja muut kuljetusyritykset eivät vaadi luottokorttia 'palautusmaksun' takia
7. Liitteet epäilyttävistä viesteistä
Älä avaa liitteitä epäilyttävistä viesteistä, erityisesti jos niissä on pääte:
.exe, .bat, .cmd, .ps1, nämä ovat suoritettavia Windows-tiedostoja
.zip, .rar, pakattuja tiedostoja joissa voi olla haittaohjelma
.html, .htm, voi sisältää skriptejä jotka avaavat haitallisen sivun
.docm, .xlsm, makroja sisältävä Word/Excel, ei pitäisi tulla tuntemattomalta
Aidot laskut tulevat yleensä PDF-muodossa, mutta vaikka tiedosto olisi PDF, avaa se vain jos odotat kyseistä laskua.
8. Liian hyvää ollakseen totta
Hyvä peukalosääntö: jos viesti lupaa jotain erityisen hyvää, lotto-voittoa, perintöä, arvokasta palkintoa, se on huijaus. "Olette voittanut 500 000 euroa", "Nigerialainen prinssi etsii tilinnumeroa", "Apple iPhone arvottu teille" ovat kaikki variaatiota samasta teemasta.
Rikas setä ulkomailta ei lähetä sinulle rahaa. Lotto-voittoja ei kerrota sähköpostilla ilman osallistumista. Palkintoja ei arvota ilman että olet ottanut osaa johonkin.
Mitä tehdä jos olet klikannut linkkiä
Ensiapuohjeet, jos epäilet että olet antanut tietoja huijarille:
Vaihda välittömästi kaikkien ohjelmien ja palvelujen salasanat joissa käytit samaa tunnusta
Soita pankkiin jos jakoit pankkitunnuksia, numerossa 0100 0500 päivystys 24/7 OP:lla, muilla omat hätänumerot
Ilmoita poliisille nettirikoksesta osoitteessa poliisi.fi (sähköinen ilmoitus)
Raportoi viesti Suomen kyberturvallisuuskeskukseen: kyberturvallisuuskeskus.fi
Jos annoit luottokortin numeron, soita kortin myöntäjälle ja pyydä sulkemaan kortti
Usein kysyttyä
Voiko huijausviesti asentaa viruksen pelkkää avaamista?
Moderneissa sähköpostiohjelmissa (Gmail, Outlook.com) riski on pieni, ne eivät suorita skriptejä automaattisesti. Liitteiden avaaminen tai linkkien klikkaaminen on ne vaaralliset toiminnot.
Miksi juuri minulle tulee huijausviestejä?
Sähköpostiosoitteesi on todennäköisesti päätynyt vuotaneeseen tietokantaan. Haveibeenpwned.com -sivustolla voit tarkistaa missä osoitteesi on vuotanut. Huijarit ostavat näitä listoja ja lähettävät viestejä miljoonille kerrallaan.
Onko mobiili turvallisempi?
Mobiilissa on riskinä niin kutsutut smishing-viestit (SMS-phishing). Ne ovat vuoden 2026 yleisimpiä huijauksia Suomessa. Pankit varoittavat erityisesti viesteistä, joissa ohjataan 'Suomi.fi'-kaltaiselle näköiselle, mutta eri osoitteiseen sivulle.
Lopuksi
Paras puolustus huijausviestejä vastaan on maltillinen hitaus. Anna itsellesi 30 sekuntia ennen kuin klikkaat. Jos viesti tuntuu edes vähän oudolta, mene suoraan palvelun omaan osoitteeseen ja tarkista siellä. Tämä yksi tapa suojelee sinua paremmin kuin mikään virustorjunta.