111 aktiivista uhkaa
Huijausvahti

Kryptovarkaat hylkäävät massaviestit – uhri valitaan tarkkaan ja isku käy suoraan lompakkoon

· · Aktiivinen · Tietoturva
Kryptovarkaat hylkäävät massaviestit – uhri valitaan tarkkaan ja isku käy suoraan lompakkoon

Tietoturvayhtiö CertiKin puolivuotisraportin mukaan kryptovarkaudet veivät alkuvuonna 1,32 miljardia dollaria. Tuhoisimpia olivat lompakkomurrot, ja lähes 85 prosenttia kalastelutappioista syntyi tarkasti räätälöidyistä huijauksista.

Tiivistelma

CertiK laski alkuvuodelle 2026 noin 1,32 miljardin dollarin kryptotappiot 344 hyökkäyksessä. Lompakkomurrot olivat rahassa mitattuna tuhoisin hyökkäystyyppi, ja räätälöidyt huijaukset aiheuttivat lähes 85 prosenttia kalastelutappioista. Massaviestien tilalle ovat tulleet tarkkaan valitut uhrit.

Karkea massakalastelu on väistymässä, ja tilalle tulee jotain ikävämpää: kryptovarkaat valitsevat uhrinsa nyt tarkkaan ja iskevät suoraan lompakoihin.

Lohkoketjujen tietoturvaan erikoistunut CertiK kertoo tuoreessa puolivuotisraportissaan, että kryptohankkeet ja niiden käyttäjät menettivät tammi–kesäkuussa noin 1,32 miljardia dollaria yhteensä 344 hyökkäyksessä.

Summa on paperilla pienempi kuin vuotta aiemmin, jolloin varkaat veivät 2,47 miljardia dollaria.

Vertailu kuitenkin ontuu, sillä viime vuoden luvusta valtaosa tuli yhdestä ainoasta tapauksesta eli Bybit-pörssin 1,45 miljardin dollarin murrosta. Kun Bybit jätetään laskuista, alkuvuoden tappiot olivat CertiKin mukaan selvästi vuodentakaisia suuremmat.

– Turvallisuusympäristö ei ole pohjimmiltaan parantunut. Monilta olennaisilta osin se on heikentynyt, yhtiö toteaa raportissaan.

Rahassa mitattuna pahinta jälkeä tekivät lompakkomurrot: 33 tapausta ja raportin mukaan yli 444 miljoonaa dollaria.

Keskimäärin yksi isku vei siis yli 13 miljoonaa dollaria.

Hyökkääjät eivät enää haravoi satunnaisia uhreja, vaan etsivät lompakoita, joissa on paljon varoja.

Sama valikoivuus näkyy kalastelussa. Kalasteluiskujen määrä laski alkuvuonna, mutta pitkälle viedyt ja henkilökohtaisesti räätälöidyt huijaukset aiheuttivat CertiKin mukaan lähes 85 prosenttia kaikista kalastelutappioista.

Huijari ei siis enää lähetä samaa viestiä miljoonalle vastaanottajalle, vaan tutkii uhrinsa etukäteen ja rakentaa viestin juuri tälle sopivaksi.

Alkuvuoden kaksi suurinta tapausta olivat Kelp DAO ja Drift Protocol, joista varkaat veivät yhteensä noin 576,6 miljoonaa dollaria.

Raportin lukuja avasi suomeksi tiistaina kryptouutisiin erikoistunut Kryptolehti. Lehti nosti esiin myös vanhojen älysopimusten riskit: pitkään käytössä olleeseen sopimukseen ehtii kertyä paljon varoja, vaikka sen koodia ei enää juuri kukaan tarkasta.

Entä tavallinen suomalainen, jolla on kryptoja lähinnä pörssitilillä tai puhelimen lompakossa?

Suurin osa raportin jättisummista tuli palveluihin kohdistuneista murroista, ei yksityishenkilöiltä. Räätälöity kalastelu toimii silti ihan yhtä hyvin tuhannen euron kuin miljoonan dollarin lompakkoa vastaan, ja isojen iskujen tekniikat voivat valua nopeasti massakäyttöön.

Tunnistusmerkit

Kohdennettu kryptokalastelu ei näytä roskapostilta. Viesti voi mainita palvelun, jota oikeasti käytät, ja usein se tulee kanavaa pitkin, jossa kryptoasioista muutenkin puhutaan.

Tyypillisiä syöttejä ovat lompakon "vahvistaminen", ilmaiseksi jaettavat tokenit ja tukihenkilö, joka ottaa yhteyttä oma-aloitteisesti ja pyytää lompakon palautussanoja ongelman korjaamiseksi.

Aito palvelu ei koskaan kysy palautussanoja. Ei tuki, ei ylläpito, ei kukaan.

Varo myös allekirjoituspyyntöä, jonka sisältöä et ymmärrä. Lompakossa hyväksytty allekirjoitus voi siirtää varojen hallinnan huijarille, vaikka ruudulla ei näytä tapahtuvan mitään.

Mitä tehdä

Pidä pitkäaikaiseen säilytykseen tarkoitetut varat laitelompakossa, jonka avaimet eivät ole verkossa. Pörssitilillä kannattaa pitää vain se osuus, jolla käyt kauppaa.

Kirjoita palautussanat paperille ja säilytä paperi kotona. Puhelimeen, pilveen tai sähköpostiin niitä ei kannata tallentaa, sillä juuri sieltä murtautuja ne löytää.

Kryptohuijausten yleisimmät muodot ja tarkemmat suojautumisohjeet olemme koonneet omaan oppaaseensa.

Jos epäilet joutuneesi uhriksi, tee rikosilmoitus poliisille ja ilmoita tapauksesta Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.

Jos varat olivat pörssitilillä, ota heti yhteys palvelun tukeen ja pyydä tilin jäädytystä.

Kun saaliit kasvavat, huolella rakennettu huijaus maksaa vaivan takaisin. Siksi seuraava kalasteluviesti voi olla aiempaa vaikeampi tunnistaa – ja rakennettu juuri sinua varten.

Lahteet

Lue myos