Netflix, Coca-Cola ja FIFA houkuttimina – vale-rekrytoijan "Google-kirjautuminen" on selaimen sisään maalattu ansa

Aidon rekrytoijan nimi ja kuva, tunnetun brändin logo ja useampi uudelleenohjaus vievät kirjautumissivulle. Google-ikkuna näyttää oikealta, mutta se on piirretty sivun sisään – tekniikkaa kutsutaan nimellä browser-in-the-browser.
Tiivistelma
Tietoturvayhtiöt kuvaavat kalasteluoperaation, joka esiintyy yli 30 tunnetun brändin ja rekrytointiyhtiön nimissä väärennetyillä työhaastattelukutsuilla. Kirjautumisvaiheessa uhrille näytetään sivun sisään maalattu vale-Google-ikkuna, joka vie tunnukset suoraan hyökkääjälle. Suomalaisuhreista ei ole näyttöä, mutta rekrytointihuijaukset ovat täällä jo arkipäivää.
Työpaikkatarjous kolahtaa sähköpostiin tunnetun brändin nimissä. Netflix, Coca-Cola, FIFA, Adidas. Rooli kiinnostaa, palkka on hyvä ja rekrytoija vaikuttaa aidolta.
Hän onkin ihan aito. Nimi ja kasvokuva on kopioitu suoraan yrityksen oikean työntekijän profiilista.
Malwarebytes ja useampi muu tietoturvayhtiö kuvaavat heinäkuun alussa kalasteluoperaation, joka esiintyy yli 30 tunnetun brändin nimissä. Mukana on Netflixin, Coca-Colan ja FIFAn lisäksi muun muassa Adidas, PepsiCo, OpenAI, Adobe ja McKinsey, sekä rekrytointiyhtiöitä kuten Hays ja ManpowerGroup. Syöttinä on kutsu työhaastatteluun tai sen ajanvaraukseen.
Will Thomas, Team Cymrun tietoturvatutkija, on dokumentoinut noin 34 verkkotunnusta, ja operaatio on pyörinyt heinäkuuhun 2026 mennessä ainakin viisi kuukautta. Gen Digital seurasi rinnakkaista rypästä, jossa esiintyivät muun muassa FIFA, Heineken, Hilton, Delta ja Spotify. Sen verkkotunnukset rekisteröitiin 23. toukokuuta alkaen, ajoitettuna MM-kisojen kohuun.
Miksi tällainen huijaus menee läpi suodattimista? Koska linkkiä ei viedä suoraan huijaussivulle. Se kierrätetään ketjussa aitojen palveluiden kautta.
Reitti kulkee esimerkiksi HR-järjestelmän kautta Salesforcen markkinointipilveen, sieltä oikeaan CRM-palveluun ja vasta lopuksi haitalliselle laskeutumissivulle, jonka osoite voi olla vaikka adidas-hiring[.]com. Jokainen välivaihe on aito palvelu, joten linkki näyttää suodattimen silmissä puhtaalta.
Vasta kirjautumisvaiheessa ansa laukeaa. Sivu näyttää tutun Google-kirjautumisikkunan, mutta ikkunaa ei ole olemassa.
Se on piirretty sivun sisään HTML:llä ja CSS:llä. Kyse on väärennöksestä, joka jäljittelee erillistä selainikkunaa.
– Sivulta latautui Googlelta ainoastaan favicon-kuvake, kertoo Thomas.
Browser-in-the-browser (BitB)
Huijaussivun sisään piirretään HTML:llä ja CSS:llä valeikkuna, joka näyttää erilliseltä kirjautumisponnahdukselta osoiterivejä ja painikkeita myöten. Oikeaa selainikkunaa ei avaudu. Syötetyt tunnukset menevät sivun tehneelle hyökkääjälle.
Kun uhri näppäilee tunnuksensa tähän ikkunaan, ne eivät mene Googlelle vaan suoraan hyökkääjän palvelimelle. Mukana siirtyy istuntotieto, joka voi mahdollistaa kaksivaiheisen tunnistautumisen ohituksen.
Kohteena ovat erityisesti työsähköpostit ja yritysten Google-tilit. Business-tili avaa pääsyn yrityksen mainostileihin ja brändin someen, mikä tekee siitä huijarille arvokkaamman kuin tavallisen kuluttajan tilin.
Onko ilmiö osunut Suomeen? Tätä artikkelia kirjoitettaessa juuri tästä browser-in-the-browser-versiosta ei ole näyttöä suomalaisuhreista.
Rekrytointihuijaukset ovat silti täällä arkipäivää. Barona ja Duunitori varoittivat keväällä 2026 huijareista, jotka esiintyvät oikeina rekrytoijina aitoja LinkedIn-profiileja hyödyntäen, sekä WhatsAppin ja Telegramin etätyö-tehtävähuijauksista.
Verkkopetokset ja rekrytointihuijaukset ovat Suomessa yleinen ja kasvava petostyyppi, josta poliisi on toistuvasti varoittanut. Käsikirjoitus on sama, Suomea ei vain ole vielä nimetty.
Tunnistusmerkit
Varoitusmerkit ovat tässä yllättävän selkeät. Odottamaton unelmatyö tunnetun brändin nimissä, haastatteluun ohjaava linkki ja useampi uudelleenohjaus ennen kirjautumissivua ovat kaikki syytä pysäyttää.
Selvin merkki tulee kirjautumisvaiheessa. Aito Google-kirjautuminen avautuu omana selainikkunanaan, ei sivun sisään. Ja jos salasanojen hallintaohjelma ei tarjoudu täyttämään tunnuksiasi, syy on yleensä väärä verkkotunnus – manageri tunnistaa, ettei sivu ole oikea Google.
Mitä tehdä
Varmista rekrytoija aina yrityksen virallisen urasivun kautta, älä viestin linkistä. Aito rekrytoija ei ohjaa sinua uudelleenohjausten läpi Google-kirjautumiseen.
Tarkista kirjautumissivun osoite ja luota siihen, ettei salasanamanageri täytä tunnuksia väärällä sivulla. Ota käyttöön passkey tai fyysinen turva-avain, joka ei toimi väärällä verkkotunnuksella.
Jos ehdit syöttää tunnuksesi, vaihda salasana heti ja kirjaa tili ulos kaikista istunnoista. Ilmoita tapauksesta alustalle ja osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Rahaan johtaneesta petoksesta tee rikosilmoitus poliisi.fi-palvelussa.
Rekrytointihuijaus ei enää tarkoita kömpelöä ansaitse kotoa -viestiä. Kun huijari lainaa oikean rekrytoijan kasvot ja tunnetun brändin logon, vanha nyrkkisääntö osoitteen tarkistamisesta ei yksin riitä. Toistaiseksi luotettavin vahti on salasanamanageri, joka kieltäytyy täyttämästä tunnuksia väärällä sivulla.