NaturalNews väittää (6.10.) että 91 % aikuisista ei erota AI-tuotettua kalasteluviestiä aidosta. Vahvistettu, riippumaton luku 90 %:sta ei löydy, mutta tuoreet globaalit kyselyt osoittavat saman suunnan: suurin osa ihmisistä ei tunnista AI-kirjoitettua huijausta luotettavasti, ja yhä useampi hyökkäys käyttää generatiivista AI:ta osana ketjua. Alla faktat, eroteltuna hypestä. (NaturalNews.com)

Mitä data oikeasti sanoo?

  • Havaintokyky on heikko: Yubicon uusi globaali kysely (18 000 vastaajaa) osoittaa, että yli puolet ei pysty erottamaan AI-kirjoitettua kalastelua aidosta viestistä; 44 % on ollut tekemisissä phishingin kanssa viimeisen vuoden aikana. Ikäryhmien erot ovat pieniä, mutta Gen Z raportoituu haavoittuvimmaksi. (TechRadar)
  • AI mukana yhä useammassa murtossa: IBM:n vuoden 2025 Cost of a Data Breach -raporttia koskevien yhteenvedon mukaan 16 % tietomurroista sisälsi hyökkääjän AI-työkaluja — joista yleisin oli AI-tuotettu phishing (37 % noista AI-tapauksista). Samalla IBM X-Force huomaa 84 %:n kasvun infostealer-haitakkeiden toimituksessa phishing-sähköposteilla. (bakerdonelson.com)
  • “9/10” vai “noin puolet”? NaturalNewsin 91 % -väite ei ole jäljitettävissä vertaisarvioituun tai viranomaisaineistoon; riippumattomat tuoreet kyselyt näyttävät laaja-alaisen vaikeuden, mutteivät vahvista 90 %:a. Pidämme siis 91 %:a ylärajaisena väitteenä, ei vakiintuneena faktana. (NaturalNews.com)

Hyökkäystekniikka 2025: miksi AI-phishing puree?

  • Kieli ja tyylijäljittely: LLM:t tuottavat kohdennettuja, sävyltään ”organisaation oloisia” viestejä — ja ne voidaan AB-testata automaattisesti. (Tutkimuskatsaukset ja teollisuusraportit dokumentoivat siirtymän kohti polymorfista phishingiä.) (MDPI)
  • Koodi & liitteet: Microsoft torjui kampanjan, jossa käytettiin AI-syntetisoitua koodia SVG-”PDF”-liitteissä → CAPTCHA → väärennetty kirjautuminen. Tapaus osoittaa, että AI näkyy nyt myös liitetiedostojen rakenteessa, ei vain tekstissä. (TechRadar)
  • Massoittaminen: Useat vendor-raportit arvioivat AI-komponentin esiintyvän huomattavassa osassa kampanjoita (arviot vaihtelevat). Lukuja on syytä lukea varauksella, mutta trendi on selvä: skaala ja laatu paranevat yhtä aikaa. (Security Today)

Onko AI-phishing “havaitsematon”?

Ei. Havaittavuutta paranee samanaikaisesti: suodattimet ja käyttäytymisanalytiikka kehittyvät, ja IBM X-Force raportoi myös onnistuneiden phishing-murtojen osuuden laskusta viime vuosina — vaikka infostealer-toimitukset lisääntyvät. Todellisuus on paradoksaalinen: yhä useammin käytössä, mutta ei taianomaisesti näkymätöntä. (Industrial Cyber)

Mitä organisaation kannattaa tehdä nyt (konkretiaa)

  1. Phishing-resistentti MFA (passkeys / FIDO2)
    Vältä OTP-koodien kalasteltavuutta. NIST ja CISA ohjaavat vahvasti kohti passkey-ratkaisuja; myös Euroopan viranomaiset (esim. BSI Saksa) ajavat salasanoista luopumista. (nvlpubs.nist.gov)
  2. DMARC, SPF, DKIM — ja inbound tiukennus
    Laita nollatoleranssi epävalidille lähettäjälle, käytä domain-samanlaisuuden (look-alike) seurantaa ja kiristä linkkiskorereita. Hyödynnä NCSC:n listatuttuja keinoja käyttäjähaitan minimoimiseksi. (ncsc.gov.uk)
  3. ”High-risk flow” -protokolla
    Korkeariskiset pyynnöt (maksut, pankkitilit, W-2/veroasiakirjat, salasana-/MFA-resetit) vahvistetaan toista kanavaa pitkin (puhelu/Slack-videovahvistus). Tämä katkaisee business email compromise -ketjut. (ncsc.gov.uk)
  4. Käyttäjäkokemus kuntoon
    Poista kiire: bannerit ja tottumus sääntönappeihin eivät yksin auta — koulutuksen tulee sisältää hidastavia rutiineja (”pysähdy–tarkista–vahvista”). Yubicon data viittaa siihen, että pelkkä tietoisuus ei riitä. (TechRadar)
  5. Valvonta ja vastatoimet
    Dynaaminen sisältö-/liite-sandboxaus, LLM-tunnisteiden (tyyppipiirteiden) heuristiikat ja brand impersonation -mallit kiinni. Seuraa erityisesti SVG-, HTML- ja QR-liitteitä. (Ks. Microsoftin tapaus.) (TechRadar)

Faktilaatikko

  • ”91 %”: NaturalNewsin artikkeliväite — ei riippumattomasti vahvistettu. (NaturalNews.com)
  • >50 %: Osuus vastaajista, jotka eivät tunnista AI-phishingiä luotettavasti (Yubico-kysely, useita uutiskattauksia). (TechRadar)
  • 16 %: Breacheista sisälsi AI:n hyödyntämistä (usein AI-phishing, 37 % AI-tapauksista). (bakerdonelson.com)
  • +84 %: Infostealer-haitakkeita kuljettavien phishing-sähköpostien viikkotasoinen kasvu (IBM X-Force). (ibm.com)

Lähteet

NaturalNews (6.10.2025); Yubico Global State of Authentication (2025) ja siihen perustuvat uutiskirjoitukset; IBM Cost of a Data Breach 2025 ja X-Force Threat Intelligence Index 2025; Microsoft-tapaus (TechRadar); NCSC:n phishing-ohjeet. (NaturalNews.com)