Steam-tilini vietiin, mitä nyt? Tietoturva-asiantuntija Laura Kankaala kertoo, kuinka pidät pelitilisi turvassa

Nykypäivän internetissä lähes jokainen henkilö joutuu joskus kohtaamaan tilanteen, jossa jonkin oman käyttäjätilin tiedot päätyvät verkkoon. Suuremman tietomurron mukana nettiin saattaa päätyä satoja tuhansia eri sähköposteja, salasanoja ja muita vastaavia tietoja.

Viimeisen esimerkki mittavista tietomurroista nähtiin tällä viikolla, kun anonyymi hakkeri onnistui murtautumaan striimauspalvelu Twitchin palvelimille. Varastamansa tiedot kyseinen roisto jakoi massiivisena pakettina verkkoon.

Tietoturva-asiantuntija Laura Kankaalan mukaan Twitch-tapauksen kaltaisilta tietomurroilta välttyminen on käytännössä mahdotonta, mutta niistä aiheutuvaa haittaa voi hillitä erinäisillä varotoimilla.

– Salasana on ehdottomasti tärkein keino. Sen ei kannata olla sama joka paikassa. Jos haluaa mennä pidemmälle, niin kannattaa harkita vaikkapa parin eri sähköpostin käyttöä, joista yksi olisi esimerkiksi varattu tärkeille tileille ja toinen sitten kaikkeen muuhun, Kankaala sanoo.

F-Securella tietoturvakonsulttina työskentelevä Kankaala kehottaa myös käyttämään monivaiheista tunnistautumista. Sen avulla salasanan ja käyttäjätunnuksen varastaneen tahon pitää lisäksi keksiä tapa, jolla he saavat esimerkiksi puhelimesta löytyvän erillisen tunnistekoodin. Tämä tekee tilin kaappaamisesta huomattavasti hankalampaa.

Käyttäjätiedot päätyvät usein roistojen haltuun osana suurempia vuotoja, mutta nykypäivänä huijausyrityksiä kohdennetaan myös tiettyihin kohteisiin. Kankaalan mukaan itse pelaajan silmissä hyvinkin tavallinen tili voi päätyä omistautuneen huijarin kohteeksi.

– Sanotaan, että sinulla on esimerkiksi Steam-tili, jolta löytyy hienoja esineitä jossain pelissä. Tilisi saattaa olla arvokkaampi, kuin mitä itse luulisit. Tällaisissa tilanteissa näihin tileihin voidaan kohdentaa hyökkäyksiä hyvinkin pitkäjänteisesti, Kankaala kertoo.

– Hyökkääjä voi esimerkiksi tekeytyä julkisuuden henkilöksi tai jollain muulla tavalla luoda kontekstia huijauksen ympärille luodakseen kuvan, että luulet huijarin tietävän mistä hän puhuu. Näin huijari voi jatkaa keskutelua hyvinkin pitkään ennen esimerkiksi huijauslinkin lähettämistä sellaisessa vaiheessa, jossa uhri ei enää tajua epäillä huijaria.

Kankaala muistuttaa, että liian hyvältä kuulostava tarjous on harvoin totta, eli näistäkin huijauksista voi järkeä käyttämällä selvitä. Käyttäjä ei kuitenkaan voi tehdä paljoakaan tilanteessa, jossa tiedot menettää osana suurempaa vuotoa. Tällöin oleellista on, että vahingot rajoitetaan mahdollisimman nopeasti.

– Mehän rekisteröidymme todella moniin paikkoihin vuosien varrella, joten jopa vuodetun tilin olemassaolo saattaa unohtua. Esimerkiksi meillä F-Securella on Identity Theft Checker -palvelu, josta voi käydä tarkistamassa, ovatko omat tiedot vuotaneet johonkin. Palvelu myös kertoo, mitä muita tietoja sähköpostiin liitetyn vuodon mukana on mennyt.

Tietovuodosta löytyy yleensä vain yhden palvelun tili, mutta myös näissä tilanteissa on syytä vaihtaa salasanat useampaan paikkaan. Kankaala painottaa, että saman salasanan käyttö useassa paikassa aiheuttaa tässäkin tapauksessa ongelmia.

– Tietovuodosta löytyvää salasanan ja sähköpostin yhdistelmää kokeillaan todella usein moniin eri palveluihin itse sähköpostiosoitteen ohella. Valitettavasti monet käyttävät samaa salasanaa monien vuosien takaa eri palveluissa, joten salasanat kannattaa yleisesti vaihtaa aina, jos omat tiedot löytyvät vuodon joukosta, Kankaala summaa.

Laura Kankaala nähdään mukana myös tänään käynnistyvässä Lyhyesti-sarjassa, jossa käsitellään digitaalisia ilmiöitä. Löydät sarjan Assemblyn YouTube-kanavalta!