sunnuntai 13. joulukuuta 2009

Mobiilipankin tietoturvauhka

Mobiilivarmenne tuo verkkopankin kännykkään. Jatkossa ei enää tarvita kertakäyttöisten tunnuslukujen listaa, sillä rahansiirrot voi tehdä matkapuhelimella ja kuitata pin-koodilla. Koodi varmistaa, että kännykkätodennus on luotettava ja rahasiirto varmasti oikean ihmisen tekemä. Kuulostaa hyvältä.

Mutta mutta... tähän kaikkeen sisältyy myös uusi riski. Tähän asti ryöstäjät ovat voineet kaapata ihmisen ja pakottaa hänet tyhjentämään tilinsä pankkiautomaatilla. Temppu on kuitenkin hankala toteuttaa, sillä uhri pitää kuljettaa automaatille ja sen valvontakamera luultavasti tallentaa kuvan rosvoista.

Mobiilipankissa kaikki on paljon helpompaa. Tili voidaan tyhjentää millä tahansa syrjäkujalla kenenkään näkemättä. Turha vedota siihen, ettei tunnuslukuja satu olemaan mukana - pin-koodi on aina sama, joten lukuja ei tarvita. Helppous on käyttäjän oma etu, mutta rikollisten käsissä helppous kääntyy alkuperäistä tarkoitustaan vastaan. Periaatteessa uhrin koko varallisuus on vain kännykän pin-koodin päässä.

Kännykästä ei tietenkään saa rahaa, mutta mobiilipankin kautta rahat on helppo siirtää rosvojen tilille, jonka apuri tietenkin tyhjentää välittömästi. Phishing-huijaukset käyttävät samaa tekniikkaa.

Pakotetun tilisiirron riskiä voi pienentää asettamalla omalle tilille riittävän alhaisen siirtorajoituksen, mutta jos se on kovin alhainen, koko mobiilipankin ajatus vesittyy.

Mobiilivarmenne on taas yksi esimerkki hienosta tekniikasta, joka saattaa käytännössä johtaa ojasta allikkoon.

15 kommenttia:

Anonyymi kirjoitti...

Eikö rikollisten jäljille päästä tämän tilin kautta minne rahat siirretään. Tiliä kun ei voi luoda ilman henkilöllisyystodistusta.

Lisäksi, jos joku nostaa tältä tililtä rahaa, ollaan jälleen joko pankkiautomaatilla tai pankin konttorissa. Ellei rahoja nosteta vaan siirretään eteenpäin, mikään ei estä pankkia peruuttamasta tilisiirtoja, kun uhri ilmoittaa rikoksesta.

Kaikenkaikkiaan aika mutkikkaan juonikuvion takana tälläinen pakotettu tilisiirto näyttäisi olevan, eikä ole laikaan niin helppoa kuin annat ymmärtää.

Petteri Järvinen kirjoitti...

Rikolliset käyttävät apureita, jotka nostavat saman tien rahat toisella automaatilla, tai siirtävät rahat eteenpäin ulkomaille. Näin menetellen tyhjennettiin seitsemän asiakkaan tilit 2005, kun Nordean nimissä lähetettiin phishing-viestejä. Latviaan siirretty saalis oli 60 0000 euroa. Nordea onnistui estämään osan tilisiirroista, muutoin vahingot olisivat olleet yli kaksinkertaiseet. Phishing-huijausten suosio osoittaa, että tilien tyhjentäminen todella onnistuu.

Olli Vihervuori kirjoitti...

Luulen, että tällainen rikos onnistuu nykyään ilman mobiilipankkiakin, sillä monella lienee verkkopankin tunnukset aina matkassa.

Pitää sitten huomata, että tämäntyyppinen rikos on sen suorittajalle paljon riskimpi kuin phishing-huijaukset, koska tekijä joutuu varkauden sijasta suorittamaan ryöstön. Väkivallan uhkaan liittyvien rikosten tutkintaan poliisi käyttää paljon resursseja, ja kiinni jäädessä linnakeikka on yleensä pitkä.

Markus kirjoitti...

Tämä turvallisuushössötys on muutenkin mennyt jo yli hilseen. Aikanaan sirukortinlukijat joka kioskiin kehitettiin "parantamaan turvallisuutta". Todellisessa maailmassa on käyny tismalleen päinvastoin. Aikanaan PIN-tunnusluku piti kirjoittaa vain hyvin valvotuissa paikoissa, pankkikonttorien eteisissä tai seinissä ja bensa-automaateilla. Nykyisin joka karvakämmenen kebabbipaikassa pitää pitkän jonon edessä kirjottaa salainen tunnuslukunsa. Sivustaseuraajana voin sanoa että tunnusluvun näkee nykylukijoihin kirjoittaessa "vieressä seisoen" todella helposti. Onhan vanhassa allekirjoitussysteemissäkin puutteensa, mutta jos kaupan täti jättää paperit kattomatta yli 50 euron ostoksissa niin sillon vastuu on kaupantätillä eikä kortinhaltijalla. PIN-koodia kuitenkaan ei kukaan päässyt ollenkaan urkkimaan. Eli tuossakin pin-sirukorttijärjestelmässä onkin ennemmin kyse vastuunsiirrosta kuin todellisesta turvallisuuden lisäämisestä... Sekä tietty rahastuksesta kun kaikki kortit kätevästi muutettiin "eurooppalaisiksi" luottokorteiksi... myös vanhat aina niin toimivat magneettinauha pankkikortit... Toinen vastuunsiirto on tietty tilinylityksissä. Nyt ne on tavallaan mahdottomia kun debit kortitkin tuntuvat aina vain tekevän katevarmennusta, hyvin harvoin ei tee. Eli deepititkin muistuttaa kovasti surullisenkuuluisaa electronia...

Toinen uudistus mikä tuli vuosipari sitten verkkopankkiin. Aikanaan paikallisosuuspankin systeemi toimi niin, että tilin tietoihin pääsi kyllä käsiksi, esim saldo ja tapahtumatiedot pääsi näkemään vain tietämällä tunnuksen ja koodin. Tästähän ei rikollinen paljoa kostu kuin korkeintaan kyyneliä näkee. Nämä molemmat koodit siis muistissa. Tilinsiirroissa piti sitten tapahtuma vahvistaa avainlukukortissa lukevalla numerolla. Tuolloin pari vuotta sitten systeemi muutettiin "turvalliseksi" niin, että edes sisälle ei päässy ilman avainlukukortin tunnusta. Tämän vuoksi kun aikasemmin halusi tarkistaa tililtä onko tapahtumat menneet perille, avainlukukortin saattoi jättää TURVALLISESTI kotiin, ja tilitapahtumia saattoi seurata kännykällä tai esim työpaikan koneella ilman avainlukukortin apua. "Turvallisuuden lisäämisen" jälkeen avainlukukortti lähes pakotetaan retuttamaan mukana lompakossa. Toisekseen nyt rikolliset voivat kätevästi heti alussa tarkistaa onko avainlukukortin tunnukset oikeita, esim phishing hyökkäyksessä tai "nordea" tyylisessä urkintahyökkäyksessä. Aikaisemmin pääsi kyllä ehkä sisälle, mutta varmuus tuli vasta hankalan tilinsiirron täytön jälkeen ja vasta kun avainlukukortin numeron piti syöttää. Jos tässä vaiheessa kossahti rikolliset ei tienny heti alkuun että lukukortin numerot oli feikkiä. Nyt "turvallisuuden lisäämisen" jälkeen rikolliset tietää heti alkuun että onko koodit ehdat vai feikkiä eikä tartte tehdä kuin tilisiirto ja avot... Onko tämä sitten niin turvallista?


Jokaikinen tähän astinen "turvallisuutta" lisäävä toimenpide on ollut kyllä yhtä perse edellä puuhun menoa, että huh huh...

Petteri Järvinen kirjoitti...

Markus: tuosta ensimmäisestä olen ehdottomasti samaa mieltä. Osa kortinlukijoista on ilman minkäänlaista näkösuojaa - kenen tahansa on helppo nähdä PIN-koodi.

Jälkimmäinen onkin sitten jo mutkikkaampi asia. Vakiotunnus ja salasana tilitapahtumien katsomiseen kuulostaa mukavalta, mutta kyse on silti tiedoista, joita kukaan ei halua ulkopuolisen näkevän. Ja paljonko hyötyä on pelkästä tilitapahtumien seuraamisesta, jos asialle ei kuitenkaan voi tehdä mitään tunnuslukujen ollessa kotona?

Erkka Piirainen kirjoitti...

En ole varma tunnenko tekniikkaa tarpeeksi, mutta käsittääkseni a) kaikki puhelimet eivät tue tuota ja b) kaikki ihmiset eivät ota tuota järjestelmää käyttöön vaikka heidän puhelimensa sitä tukisikin.

Eli pointti on, että eikö järjestelmän käyttöönoton jälkeen menisi vuosia, ennen kuin ihmisen raahaaminen sivukujalle satunnaisotantana tuottaisi tulosta.

Toisaalta jos NFC-maksupäätteet yleistyvät, voi skenaario muuttua hyvinkin nopeasti. Tällöin mobiilimaksajan voi tunnistaa kassajonosta tai baaritiskiltä ja seurata sitten sopivaan paikkaan. Silti riski ryöstäjälle on erittäin suuri.

Yleensähän ad-hocina tapahtuvat tilien tyhjennykset perustuvat tutustumiseen, varallisuuden todentamiseen, luottamuksen saavuttamiseen ja uhrin suostutteluun. Silloin rahojen siirtometodilla ei ole juurikaan väliä.

Mutta riskeistä on toki hyvä keskustella kriittisesti – ilman sitä kehitys ei kehity.

Oma luurini kysyy salasanaa joka aukaisulla (tai 15min viiveellä) ja nollaa itsensä riittävän monen hudin jälkeen – voin myös nollata puhelimen etänä jos se sattuu päätymään vääriin käsiin. Puhelimen tahallinen lukitseminen ryöstäjän niskalenkissä voi tietenkin johtaa turpasaunaan, joten tarvitaan jotain huomaamattomampaa tapaa.

Esim. voitaisiin mobiilivarmenteen myötä voitaisiin ottaa käyttöön vaihtoehtoinen hätä-PIN-koodi, joka avaisi puhelimen (tai tekisi tunnistautumisen) katsojan silmin normaalisti, mutta seurauksena olisi myös hätäkutsu poliisille paikkatietojen kera ja varmenteella tehtyihin siirtoihin sisältyisi näkymätön pyyntö hidastaa rahojen siirtymistä kohdetilille. Pelkkä tieto tästä optiosta voisi nostaa ryöstön rimaa entisestään.

Aihetta sivuten: Applella on mielenkiintoinen patenttihakemus liittyen hätäpuheluihin: http://hothardware.com/News/Patent-could-ease-emergency-cellphone-calls/

Erkka Piirainen kirjoitti...

Kommentoin vielä Markuksen huomiota Osuuspankin käytännöstä ja Petterin kommenttia siitä.

Kyseessähän on ominaisuus, jonka voi itse aktivoida. Itse pidän siitä, sillä joudun usein tarkistamaan onko tilillä riittävästi katetta ennakoituja menoja varten. En tekisi tarkastusta yhtä mielelläni jos joutuisin kaivamaan avainlistan joka kerralla esiin (ja samalla kuluttamaan siitä lukuja).

On totta, ettei tilitietojaan halua ulkopuolisen käsiin, mutta jos näin käy niin varsinainen ongelma (tunnuslukujen vuotaminen ulkopuolisille) on toisaalla. Materiaalista vahinkoa ei tuosta synny.

Sama käytäntö minulla olisi myös pankin lähettämiin viesteihin (joita pääsee lukemaan vasta avainlukulistan kanssa), minä mielelläni sallisin niiden välittyvän sähköpostiini - viesteissä kun ei ole mitään sellaista, joka aiheuttaisi minulle riittävän suurta vahinkoa paljastuessaan sivullisille.

Ylipäätään kaipaisin enemmän toimintoja käyttäjille, jotka hoitavat pankkiasioitaan aina omalta henkilökohtaiselta laitteeltaan, joka on omatoimisesti suojattu. Minä voisin valita option, verkkopankkini muistaisi kirjautumiseni kuten sähköpostini tai muu vastaava palvelu. Eli näkisin tilitietoni vain menemällä pankin sivuille.

Tämä ei tietenkään sovi kaikille käyttäjille, mutta minun koneelleni ei ole muilla asiaa.. ja jos joku sattuu pääsemään suojauksen ohi, niin silloin minua huolettaa aivan muut asiat kuin se, että joku naureskelee pankkitilini saldolle.

Anonyymi kirjoitti...

Mobiilipankki kuulostaa vähän samalta kuin mobiili-internet toteutettuna wap:illa.

Onko oikeasti tarvetta käyttää jotenkin erityisen poikkeavalla tavalla verkkopankkia kännykästä?

Kännyköiden selaimet lähestyvät kovaa vauhtia täysiverisiä tietokoneita, ei tarvita mitään erillistä mobiilipankkia. Verkkopankille voi tehdä kevyemmät tai optimoidut sivut, jos siltä tuntuu.

En nyt muista koska olisin viimeksi halunnut tehdä pankkisiirron "ajasta ja paikasta riippumatta" -- en varmaan koskaan, ainakaan kännyköiden elinaikana..

Petteri Järvinen kirjoitti...

Mobiilipankin idea on mobiilivarmenteiden hyödyntämisessä, eli siis tässä: http://www.valimo.com/demo/mobilebank/

Tämän pitäisi tuoda helppokäyttöisyys ja parempi tietoturva (sähköinen allekirjoitus ja vahva todennus, ei tarvetta salasanalistalle), mutta onko niin todella?

Anonyymi kirjoitti...

Duress-PIN on ollut kulunvalvonnassa käytössä jo vuosia. Elikkä kyllä, olisi todella helppoa lisätä mobiilivarmenteeseen mahdollisuus syöttää PIN-koodi joka näyttää oikealta mutta samalla lähteekin hälytys.

Käytin mobiilivarmennetta pitkään Soneralla tössä ollessani VPN-yhteyden tunnistautumiseen ja kyllä se SecurID-luottokortit ja muut tokenit voitti käytettävyydessä satanolla.

Anonyymi kirjoitti...

"ei tarvetta salasanalistalle"

Ei kai salasanalistoja nytkään välttämättä tarvita. One-time padin käytöllä on kai vain haluttu tehdä palvelu vielä hieman turvallisemmaksi koska nettipankki lienee nettirikollisten murtolistalla ensimmäisenä. Helpompaa onkin vain pyytää käyttäjää ystävällisesti lähettämään tunnuksensa sähköpostilla.

Mielestäni mahdollisuus ryöstää ihminen kännykällä ei saisi olla esteenä tämän tekniikan käytölle koska nettipankin käyttäminen kännykällä ei ole mobiilivarmenteen tärkein sovellus. Todellinen hyöty tulee mahdollisuudesta maksaa puhelimella kassalla. Itse en varmaan edes aktivoisi koko nettipankkia.

Petteri Järvinen kirjoitti...

Eivät kai kassalla maksamisen NFC-sovellukset edellytä mobiilivarmennetta?

Anonyymi kirjoitti...

Jokaiselle, jonka mielestä on hyvä idea maksaa kännykällä kassalla ja se edellyttäisi 1) kännykän näppäinlukituksen poistamista tai 2) pin-koodin syöttämistä, kannattaa käydä vaikka turistimatkalla Japanissa ja katsoa kuinka hienosti metrolippu toimii sekä metrossa että kioskilla kuin limsa-automaatilla.

Ihminen ehkä laskeutui perse edellä puusta mutta ei sinne kannata takaisin kiivetä perse edellä.

Anonyymi kirjoitti...

"Eivät kai kassalla maksamisen NFC-sovellukset edellytä mobiilivarmennetta?"

En oikein ymmärrä. Jos pelkkä vanha sim-kortti riittää käyttäjän tunnistamiseen rahan siirtoa varten, niin mihin sitä mobiilivarmennetta sitten tarvitaan?

Juha Karvianen kirjoitti...

Vielä toistaseksi näin 2017, ei ne pankkisiirrot ihan pelkästään PIN-koodin avulla onnistu. Muuten loistava artikkeli ja on myös hyvä saada keskustelua digitalisaation tuomista uhkista.

Website Security Test