Instagram-tilin kaappaus toi kyyneleet silmiin: “Tuntui aivan siltä kuin kotona olisi käynyt varkaita” 

Sosiaalisen median tilin kaappauksella voidaan tavoitella rahallista hyötyä, propagandan levittämistä tai kiusantekoa.

Instagram
Elina Wallin ei onnistunut saamaan entistä Instagram-tiliään takaisin.
Elina Wallin ei onnistunut saamaan entistä Instagram-tiliään takaisin. Hän suunnittelee tekevänsä kaappauksesta rikosilmoituksen. Laura Aimola / Yle

Rose Falkrunn ja David Estrada. Näillä hakusanoilla suositusta Instagram-kuvapalvelusta löytyy porilaisen murrekirjailija ja yrittäjä Elina Wallinin entinen tili. Tili kaapattiin heinäkuun lopussa, todennäköisesti yön aikana. Aamulla töihin lähtiessä Elina huomasi, ettei palvelun käyttö enää onnistunut kuten tavallisesti.

– Myöhemmin toimistolle päästyäni huomasimme työkaverin kanssa, että kaikki minuun liittyvä tieto oli muuttunut. Aloin lähestulkoon itkeä. Tuntui, kuin kotona olisi käynyt varkaita.

Tili sisältää edelleen yli 330 kuvaa ja reilut 640 seuraajaa. Viimeisin julkaisu on tehty 21. heinäkuuta. Elina toimii yrittäjänä, mutta suurten taloudellisten tappioiden sijasta Instagram-tilin menetyksen harmi on toisenlainen.

– En osaa laskea mitään summaa. Minulla oli kuitenkin vajaa tuhat seuraajaa ja yhtäkkiä piti lähteä nollasta - se kirveli.

Nopea reagointi voi pienentää vahinkoja

Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen tietoturva-asiantuntija Ville Kontinen sanoo, että motiivit kaappausten taustalla vaihtelevat, eikä paljon seuraajia sisältävä tili ole sen vuoksi automaattisesti suuremmassa vaarassa.

– Tilejä kaapataan esimerkiksi rahallisen hyödyn toivossa. Kaappaaja voi kiristää käyttäjältä maksua tilin palauttamiseksi. Toinen tavoite voi olla propagandan levittäminen alkuperäisen käyttäjän nimissä. Kyse voi olla myös kiusanteosta eli siitä, että käyttäjälle halutaan aiheuttaa harmia esimerkiksi pyyhkimällä kaikki materiaali tililtä pois.

Kyberturvallisuuskeskukseen on tullut yhteydenottoja Instagram -tilien kaappauksista, mutta määrien seurantaa ei ole pidemmältä ajalta olemassa.

– Ilmoituksia ei välttämättä edes osata tehdä meille. Meiltä löytyy tieto kahdesta suoraan Instagramiin liittyneestä väärinkäytöksestä kuukauden sisältä. Oletus on, että tapauksia on todellisuudessa kymmeniä tai satoja.

Minulla oli vajaa tuhat seuraajaa ja yhtäkkiä piti lähteä nollasta - se kirveli.

Elina Wallin

Kontisen mukaan olennaista on, miten nopeasti käyttäjä reagoi tilanteeseen - kaappaaja kun pystyy tilin haltuun saatuaan rellestämään mielensä mukaan. Myös tilin palautustoimenpiteiden kannalta kuluneella ajalla voi olla merkitystä.

– Henkilön voi olla vaikeampi todistaa Instagramin ylläpidolle, että hän on tilin alkuperäinen käyttäjä, jos tiliä on hallinnoitu jo pidempään jostain muualta.

Huijausviesti voi tulla myös somen kautta

Miten tili sitten saadaan kaapatuksi? Kyberturvallisuuskeskuksen tietoon tulleet Instagramia koskevat tapaukset ovat olleet luonteeltaan kalasteluja. Käyttäjää on onnistuttu huijaamaan tavalla tai toisella, esimerkiksi klikkaamaan haittaohjelmaan johtavaa linkkiä ja vahvistamaan sitä kautta tilitiedot.

Kontisen mukaan suurin osa huijausviesteistä tulee sähköpostitse, mutta niitä voidaan lähettää myös muiden sosiaalisten medioiden, kuten LinkedInin, WhatsAppin tai Facebookin kautta.

– Ei ole lopulta merkitystä, tuleeko kalasteluviesti tekstarilla, somessa tai vaikka savumerkillä, jos sen avulla saadaan huijatuksi käyttäjältä salasanatietoja.

Aiemmin Elina Wallin oli Instagramissa Lempineiti. Yhä olemassa olevan tilin nimi on nyt David Estrada.
Aiemmin Elina Wallinilla oli Instagramissa Lempineiti-tili. Yhä olemassa olevan tilin nimi on nyt David Estrada. Laura Aimola / Yle

Elina Wallin ei ainakaan muista luovuttaneensa Instagram-tilinsä tunnuksia mihinkään. Hän on aiemmalta koulutukseltaan tietojenkäsittelyn tradenomi ja omaksunut selkärankaan sen, ettei kirjautumistietoja pidä syöttää minne tahansa.

Kaappauksen onnistumisen syy jäi siten mysteeriksi. Elina ei saanut koskaan yhteydenottoa, jossa olisi vaadittu rahaa.

– Ellei sellainen sitten mennyt ohi sähköpostissa muun “roskapostin” mukana.

Kyberturvallisuuskeskuksen mukaan sometileille yritetään tunkeutua myös käyttämällä vanhentunutta sähköpostiosoitetta.

– Kannattaa pitää huoli, että tileihin liitetyt sähköpostiosoitteet, puhelinnumerot ja muut tilin palautukseen tarvittavat tiedot ovat ajantasaisia, Kontinen painottaa.

Ponnistelu tilin palauttamiseksi ei onnistunut

Ville Kontisen mukaan käyttäjä saa varoitusilmoituksen Instagram -tiliin liitettyyn sähköpostiosoitteeseen, mikäli ulkopuolinen on saanut tilin haltuunsa ja yrittää esimerkiksi vaihtaa salasanaa.

– Viestin mukana tulevien ohjeiden pitäisi olla nopeimmat ja tehokkaimmat tilanteen hoitamiseksi, mutta jos niistä ei ole syystä tai toisesta apua, kannattaa ottaa yhteyttä ylläpitoon. Saman käyttäjän muutkin sometilit voivat olla vaarassa, mikäli niissä on käytössä sama salasana.

Henkilökohtaisen tilin hallinnan menetys tuntui kipeältä. Elina otti suoraan yhteyttä Instagramin ylläpitoon ja hänelle luvattiin vastaus 72 tunnin sisällä. Asian etenemistä piti siis odottaa seuraavaan päivään.

Lopulta sähköpostitse saapuivat selkeät neuvot: Elinan piti lähettää itsestään kuva, jossa hänellä oli katse kamerassa ja käsissään paperi, johon on kirjoitettu ylläpidon lähettämä numerokoodi, sekä tilin alkuperäinen käyttäjänimi. Hän ei tiedä, miten henkilöllisyys olisi todennettu, jos tilin julkaisut olisivat olleet esimerkiksi pelkkiä maisema- tai ruokakuvia.

Todentamisen jälkeen Elina sai ylläpidolta palautuslinkin, mutta sen käyttö epäonnistui.

– Järkevää olisi ollut hengitellä ensin, lukea ohjeet tarkasti kohta kerrallaan ja sitten edetä rauhallisesti. Myönnän - sähläsin.

Elina oli uudelleen ylläpitoon yhteydessä ja sai vielä toisen palautuslinkin tiukempien saatesanojen kera. Uusi linkki ei kuitenkaan toiminut, vaan lopputuloksena oli selaimen virheilmoitus.

– Luovutin ja lähetin ylläpidolle viestin, jossa pyysin heitä poistamaan koko tilin. Sain vastaukseksi, että he eivät voi enää auttaa.

Ville Kontisen mukaan Kyberturvallisuuskeskuksen tietoon tulleet tapaukset ovat päättyneet onnellisesti, mutta aivan parissa tunnissa tai päivässä ongelmat eivät ole ratkenneet.

– Kaappausyrityksen tutkimiseksi edelleen kannattaa poliisille tehdä rikosilmoitus. Isossa kuvassa ongelmien laajuuden parempi ymmärtäminen voi tarkoittaa jatkossa viranomaisten kohdalla isompia resursseja.

Tilejä kaapataan esimerkiksi kiristyksen, propagandan levittämisen tai kiusanteon vuoksi.

Ville Kontinen

Suuremmilta ongelmilta välttyy silti helpoiten suojaamalla tili kunnolla ennakkoon. Tietoturva-asiantuntijan paras vinkki on monivaiheinen varmennus. Samaa tarkoitetaan kun puhutaan 2- tai monivaiheisesta todennuksesta tai tunnistautumisesta.

Monilla sometileillä käyttäjä voi määritellä henkilökohtaiseen tiliinsä salasanan lisäksi jonkin toisen tunnistautumiskeinon, josta voi tulla ilmoitus esimerkiksi tekstiviestillä.

– Tämä ei toki estä hyökkäystä, mutta tekee kaappauksen onnistumisen vaikeammaksi.

Elina Wallin jatkaa Instagramin käyttöä neitiwallin-tilin kautta, mutta aiempaa harkitummin.
Elina Wallin jatkaa Instagramin käyttöä neitiwallin-tilin kautta, mutta aiempaa harkitummin. Laura Aimola / Yle

Elina ei ole tehnyt Instagram-tilinsä kaappauksesta rikosilmoitusta toistaiseksi.

– Ajattelin, että tuskin poliisi asialle mitään voi. Nyt kuukauden jälkeen olen kuitenkin puhunut asiasta niin paljon, että taidan tehdä ilmoituksen sittenkin tiedon levittämiseksi.

Instagramin käyttö jatkuu - uudella tilillä

Kokonaan ilman Instagramia Elina oli lopulta vain muutaman päivän.

– Mielessä kävi, onko uusi tili varmasti tarpeen, mutta kyllä palvelu on helppo väylä saada tietoa eteenpäin.

Elokuun loppuun mennessä Elina on julkaissut neitiwallin-tilillään lähes 60 uutta kuvaa. Seuraajia on kertynyt reilut 300.

Kokemuksestaan oppineena murrekirjailija on tehnyt ainakin kaksi asiaa toisin. Hän on ottanut kahvipöydissä puheeksi kaksivaiheisen todennuksen ja samalla “hiplannut” monen ystävänsä kännykän sen osalta kuntoon.

– Jatkossakin julkaisen kuvia elämästäni, työstä ja perheestä, mutta mietin ratkaisuja paljon aiempaa enemmän. En julkaise mitään, mitä en voisi huutaa ulos ovesta koko maailmalle.

Lue myös:

Suomalaiskuvaajan varoittava esimerkki: Kuvat varastettiin netissä – nyt niillä myydään lakanoita ja huppareita ympäri maailman