tiistai 18. elokuuta 2020

Huijauspuhelut yleistyvät, operaattorit voimattomia

Ulkomailta tulevat huijauspuhelut ovat nopeasti kasvava ongelma. Tyypillisessä tapauksessa englantia intialaisittain murtava soittaja kertoo olevansa Microsoftilta ja auttavansa asiakasta korjaamaan koneessa havaitun viruksen. Sitä varten pitää asentaa etäkäyttöohjelma, joka... no, arvaat lopun. Uhrin tiedot varastetaan ja pankkiyhteys kaapataan, jolloin vahingot voivat olla mittaamattomia.

Ennen puhelut tulivat ulkomaisista numeroista, jolloin niihin oli helppo olla vastaamatta. Nyt huijarit ovat löytäneet tavan väärentää soittava numero, joten puhelut näyttävät tulevan tavallisista suomalaisista numeroista. Joukossa on sekä yrityksiä että yksityisiä henkilöitä. He saavat kärsiä, kun huijaussoiton missanneet yrittävät soittaa takaisin luullen menettäneensä tärkeänkin puhelun. 

On epäselvää, mistä huijarit saavat numeroita. Joillekin ihmisille soittoja tulee jatkuvasti, toisille ei lainkaan, mikä ei tue väitettä täysin satunnaisista soitoista. Soittoja tulee myös salaisiin numeroihin, joten ainakaan netistä niitä ei ole kerätty. Eräs henkilö epäili salaisen numeronsa vuotaneen Foodoran tietomurrossa 2016.

Puhelinnumeron luotettavuuden romahtaminen on vakava asia, jolla on laajoja seurauksia. Tekstiviestin lähettäjätieto on ollut alusta (1990-luvulta) lähtien helppo väärentää, mutta puhelinnumeroa on tähän asti pidetty uskottavana. Jatkossa rikollinen voi soittaa esimerkiksi toimitusjohtajan tai pankin numerosta ja huijata uhria antamaan tietonsa tai rahansa. Puhelimessa näkyvä soittoloki ei ole enää luotettava, millä voi olla vaikutuksia esim. rikostutkintaan. Entä ovatko poliisin televalvonta ja -kuuntelu kierrettävissä numeroita väärentämällä?

Voisi kuvitella, että operaattorit tai edes Traficom (entinen Viestintävirasto, alaa valvova viranomainen) olisivat varoittaneet kansalaisia ja ryhtyneet toimiin numerohuijausten estämiseksi. Mitään ei ole kuitenkaan tapahtunut. Niinpä aloin itse selvitellä asiaa ja kyselin ihmisten kokemuksia netin välityksellä.

Puheluvälityksen taustalla oleva 1970-luvulla kehitetty SS7-tekniikka on haavoittuva. Vaikka operaattorien puhelinverkot ovat suljettuja, ne ovat teknisesti lähentyneet ip-verkkoja ja rajapintoja avoimeen internetiin on paljon. Tämä on avannut huijareille mahdollisuuden huijata esim. vahvaa todentamista väärillä 2FA-viesteillä (tekstiviestinä tuleva koodi, jolla käyttäjän identiteetti varmistetaan esim. pankkipalvelussa).

Intiasta ei varmasti soitella Eurooppaan kaukopuheluita. Yhteydet kulkevat halpoina nettipuheluina (VoIP) ja ne linkitetään puhelinverkkoon vasta Suomessa. Myös tämä tekniikka mahdollistaa huijaukset.

Uusimpana keinona rosvot perustavat omia virtuaalioperaattoreita toisen operaattorin alaisuuteen, jolloin niiden verkosta tulevia puheluita kohdellaan tasavertaisena oikeiden operaattorien kanssa. Myynnissä on ns. venäläisiä simmejä (myös nimellä white sim), joissa oman numeron voi vaihtaa millaiseksi itse haluaa

Suomalaiset operaattorit tuntuvat suorastaan kädettömiltä huijausten edessä. Asiakastuen (Elisa, Telia) sivuilla varoitetaan huijauksista, mutta neuvotaan vain olemaan menemättä lankaan. Aivan kuin operaattorit eivät itse voisi tehdä asialle mitään. Vai voisivatko?

Kun kyse on selvästi teleliikenteen häirinnästä, Traficomin pitäisi suorastaan velvoittaa operaattorit estämään laiton toiminta.

Väärennöksen kohteeksi joutuneet asiakkaat eivät ilmeisesti joudu maksamaan numerostaan muka soitetuista puheluista. Laskutustietojen väärentäminen romahduttaisi koko operaattorien bisneksen. Laskutus ei siis voi perustua yksinomaan näkyvään numeroon. Operaattorin täytyy joko tietää oikea numero tai antaa huijarien puhua ilmaiseksi.

Jos operaattori tietää, että puhelussa näkyvä numero on ristiriidassa laskutustiedon kanssa, miksei se pysty estämään puheluita tai katkaisemaan rikollisten virtuaalioperaattorien yhteyksiä? Puheluiden estäminen voi olla juridisesti hankalaa, joten asiaan tarvittaisiin Traficomin kanta.

Skype- ym. VoIP-puheluiden pitäisi tulla omasta numeroavaruudesta, ei toisten numeroita väärentäen. Jos tätäkään ei voida taata, eikö asiakkaalle voi tarjota mahdollisuutta halutessaan itse rajata VoIP-puhelut pois? Operaattorit tarjoavat kaikenlaisia lisäpalveluita asiakkailleen, joten tällaisen eston luomisen ei pitäisi olla ylivoimaista.

Huijausten yleistyminen rapauttaa luottamusta koko telealaa kohtaan. Nyt olisi korkea aika toimia. Me asiakkaat odotamme sitä.

Lisäys 1: Hieman off-topic: joskus pelotellaan, että ulkomaiset huijarit yrittävät saada uhrin sanomaan puhelimessa "yes", jotta voivat sitten manipuloida nauhaa ja todistaa asiakkaan tilanneen jotain. Tietääkseni tämä on pelkkä urbaani legenda, josta ei ole mitään todisteita. Nauhojen leikkely ja oikeuskäsittely ovat työläitä prosesseja, ja huijarit välttävät sellaista viimeiseen asti. 

Lisäys 2: Traficomin Kyberturvallisuuskeskuksen infoa asiasta helmikuulta.

Lisäys 3: Poliisitarkasta Kimmo Ulkuniemi mainitsi twiitissään jamesbond-henkisesti nimetyn SHAKEN/STIR-turvaprotokollan, jonka käyttöönottoon Kanadan ja Yhdysvaltojen operaattorit on velvoitettu. Protokollassa internet-puhelun aloittava taho todennetaan varmenteella. Mikäli kokemukset osoittautuvat hyviksi on toiveita, että myös eurooppalaiset operaattorit omaksuvat järjestelmän. Yhdysvalloissa puheluhuijaukset ovat vielä paljon yleisempiä mm. paikallisten robocaller-mainospuheluiden vuoksi.

Lisäys 4: Kommenteissa pohdin, eivätkö suomalaiset operaattorit voisi tarkistaa keskenään puheluiden aitoutta? Edes silloin, kun sekä soittaja että vastaanottaja ovat saman operaattorin asiakkaita? Lähteehän sinne soiton aloittajalle laskukin ko. puhelusta. Tämä auttaisi karsimaan edes osan huijauspuheluista. Kehitelkää ideaa eteenpäin!

38 kommenttia:

Jv kirjoitti...

"Intiasta ei varmasti soitella Eurooppaan kaukopuheluita."

Nämä puhelut itse asiassa tulevat Suomeen ulkomaanpuheluina. Eivät välttämättä Intiasta saakka, mutta se taho jonka numerointi "vuotaa" mahdollistaen tällaisen numeron väärentämisen ei ole Suomessa. Tästä johtuen meikäläisillä operaattoreilla on myös suuria vaikeuksia estää toimintaa teknisesti.

Näin roamingin aikoina suomalainen (matka)puhelinnumero voi tulla ulkomaisista verkoista myös ihan tarkoituksella, siksi kaikkea liikennettä ulkomailta kotimaisella soittajan numerolla ei voi estää. Yleisestikin operaattoreiden laitteissa on huomattavasti enemmän mahdollisuuksia hallita ja rajoittaa operaattorin omasta verkosta lähtevää liikennettä kuin ulkopuolelta verkkoon saapuvaa.

Toistaiseksi tehokkain tapa puuttua asiaan on operaattoreiden kansainvälisellä yhteistyöllä sulkea verkosta pois ne toimijat, jotka suhtautuvat leväperäisesti numerointiinsa. Tämä on kuitenkin hidasta ja epävarmaa, koska se alkuperäinen puhelun verkkoon lähettävä operaattori voi olla Suomesta käsin aika monen välioperaattorin takana.

Tämä toiminta aiheuttaa kyllä operaattoreille harmaita hiuksia tällä hetkellä, mutta helpot keinot huijausliikenteen estämiseen ovat varsin vähissä.

Zarr kirjoitti...

Puhelinnumeron spooffaaminen on ollut lähes triviaalia jo kauan ja onnistuu lähes keneltä tahansa, myös itseltäni, eikä edes riko mitään.

Tarvitaan vain puhelinliittymä jossa on diversion-palvelu, (oma tai varastettu/korkattu). Voi olla ISDN- tai SIP-pohjainen.

Palvelu tarkoittaa sitä, että mikäli puhelu välitetään eteenpäin (soitonsiirto), soittajalle kerrotaan alkuperäisen soittajan numero (A-tilaajan numero).

Ainoa ongelma on se, että tähän A-tilaajan numeroon ei ole operaattorilla mitään mahdollisuutta vaikuttaa tai tarkistaa. Koska alkuperäinen soittaja kuitenkin yleensä halutaan välittää kohteelle (C-tilaaja), se menee sellaisenaan läpi. Ei auta mikään antispoofingkaan. Jos minulla on yritys jolla on toimipisteitä vaikka Suomessa Elisan liittymällä ja Ruotsissa Telian liittymällä. Soitan Suomen vaihteeseen ja pyydän yhdistämään henkilölle X. Henkilö X onkin Ruotsin organisaatiossa ja käyttää Telian kännykkää. Koska yritys on halunnut säästää kuluissa, puhelu lähtee ulos Ruotsin liittymästä ja kulkee jonkin matkaa yrityksen oman verkon sisällä.

Toisin sanoen, tässä esimerkissä Telian saa puhelun yrityksen liittymästä ulos, jossa lukee että A-tilaaja suomalainen numero, puhelun maksaja yrityksen liittymä, ja kohdenumerona ruotsalainen matkapuhelin. A-tilaajan numerosta ei ole mitään mahdollisuutta varmistua. (Jos puhelu olisi lähtenyt Suomesta ulos, teoriassa Elisa olisi voinut katsoa että uloslähtevä puhelu näyttää lähtevän samasta numerosta kuin sisäänmennyt legi).

Eli scammerin ei käytännössä tarvitse tehdä mitään muuta kuin etsiä firma jolla on reikäinen puhelinliittymä ja alkaa soittelemaan "välitettyjä" puheluita. Signalointimielessä kaikki näyttää OK:lta. Tai vaihtoehtoisesti ostaa ihan vain oma varastetulla luottokortilla ja hoitaa hommaa kaikessa rauhassa.

Tällä ei ole varsinaisesti SS7:n kanssa mitään tekemistä, kyse on vain siitä että puhelinnumero *ei* ole autentikointitieto eikä ole koskaan ollutkaan, vaikka caller-id:tä jotkut pitävätkin sellaisena. Aivan samoin kuin jotkut (onneksi nykyään ei enää kovin monet) pitävät henkilötunnusta autentikaattorina. Signalointiprotokollat (SIP ja sitä kautta esim. VoLTE) kyllä mahdollistaisivat esim. digitaalisella allekirjoituksella soittajan todentamisen mutta sen toteuttaminen on aika hankalaa - eli kuka nämä allekirjoitukset myöntäisi? Globaalisti? Entä jos kyseessä on palvelunumero tai yrityksen numero? Jne...

Ainoa keino valitettavasti taitaa olla valistaa ihmisiä että jos kuulee puhelimessa jotain epämääräistä, niin soita takaisin henkilölle (esim. jos "Poliisi" soittaa, soita poliisiaseman vaihteeseen ja pyydä yhdistämään).

Zarr kirjoitti...

Äh, piti sanoa että palvelu tarkoittaa sitä että *kohteelle* kerrotaan alkuperäisen soittajan numero. Ei siis tietenkään soittajalle :)

lehtoile kirjoitti...

"On epäselvää, mistä huijarit saavat numeroita. Joillekin ihmisille soittoja tulee jatkuvasti, toisille ei lainkaan, mikä ei tue väitettä täysin satunnaisista soitoista. Soittoja tulee myös salaisiin numeroihin, joten ainakaan netistä niitä ei ole kerätty."

Veikkaisin, että tekijät ovat hahmotelleet joidenkin tietoonsa saamiensa suomalaisten matkapuhelinnnumeroiden perusteella tiettyjä "numerovälejä", joiden sisällä olevat numerot siis ovat käytännössä suomalaisten puhelinnumeroita. Nämä numerosarjat ovat siis pätkiä viestintäviraston aikanaan operaattoreille myöntämistä numeroblokeista.

Siis esim. +35840xxxxxxx - +35840yyyyyyy. Sitten vain soitellaan siinä välissä oleviin numeroihin. Osa on salaisia (sehän ei mitenkään estä soittamasta numeroon...), osa ei ehkä ole käytössä, mutta suuri osa kuitenkin on ihan toimivia.

Toiminta vaikuttaa sen verran summmittaiselta ja huonosti kohdennetulta, että tuskin niitä numeroita on mitenkään yksitellen poimittu mistään.

Olen törmännyt tekstarimainonnankin yhteydessä ihmettelyyn siitä, että "miten voidaan lähettää salaiseen numeroon", mutta eihän massaviestittelijää kiinnosta liittymänhaltijan nimi. Numerohan itsessään toimii ihan normaalisti.

Mika kirjoitti...

"Operaattorin täytyy joko tietää oikea numero tai antaa huijarien puhua ilmaiseksi."

Onkohan tämä oikea johtopäätös? Minä ajattelin, että suomalainen operaattori vain laskuttaa ulkomaista operaattoria puhelun keston ja laadun perusteella. On sitten soittajan oman operaattorin tehtävä laskuttaa oikeata henkilöä niillä tiedoilla mitä Suomesta tulee. Tai sitten on sovittu joku kiinteä summa, jolla suomalainen operaattori hoitaa tulevat puhelut, kunhan liikenne ei ylitä rajaa X.

Petteri Järvinen kirjoitti...

"...helpot keinot huijausliikenteen estämiseen ovat varsin vähissä."

Varmaan näin, mutta edelleen intän sitä laskutustietoa: kenelle suomalainen operaattori lähettää laskun väärällä numerolla ulkomailta saapuvasta puhelusta? Yksittäisiä puheluita ei laskuteta, mutta täytyyhän operaattoreilla edelleen olla lokitiedot keskinäisten laskutusepäselvyyksien varalta.

Jv kirjoitti...

"kenelle suomalainen operaattori lähettää laskun väärällä numerolla ulkomailta saapuvasta puhelusta? Yksittäisiä puheluita ei laskuteta, mutta täytyyhän operaattoreilla edelleen olla lokitiedot keskinäisten laskutusepäselvyyksien varalta."

Kyse on ulkomailta saapuvasta = vastaanotetusta puhelusta, jolloin suomalainen operaattori ei laskuta siitä ketään yksittäistä käyttäjää suoraan, vaikka caller id olisikin suomalainen numero. Rahan siirto tapahtuu suomalaisen operaattorin ja puhelun ulkomailta Suomeen välittävän kv operaattorin välillä perustuen koko puhelumassaan. Alkuperäverkossa jossa huijarin systeemit puhelun soittavat huijari maksaa sitten puhelustaan sen hinnan jonka on tämän palveluntarjoajan kanssa sopinut. Huijari siis todennäköisesti maksaa puhelustaan Suomeen jotain, mutta ilmeisesti toiminta on sen verran kannattavaa että puhelun hinta kannattaa maksaa.

Lisähuomiona että vain vastatut puhelut laskutetaan, ts. hutipuhelut ovat loiskuormaa operaattorien verkoissa. Kaikki yritykset virheelliseen kohdenumeroon tai vastaamattomat puhelut ovat siis ilmaisia huijarille, eli virheprosentista ei tarvitse välittää. Robotti soittaa puheluita ja kytkee huijarin linjalle vasta kun joku erehtyy vastaamaan puheluun.

Jukka-Pekka Juutinen / Liikenne- ja viestintävirasto Traficom kirjoitti...

Hei,

Teknisesti ongelma on globaali eikä siihen ole vielä löytynyt tehokasta ratkaisua. Huijaussoittoja soitetaan lähes poikkeuksetta ulkomaalaisista liittymistä. Suomalaisista liittymistä soitetut huijauspuhelut ovat poikkeuksellisia puhumattakaan luvattomasti toisen käyttäjän numerolla soitetuista puheluista. Pelkän numeron perusteella on hankala sanoa, millä tarkoituksella soittaja soittaa. Lisäksi ongelmana ovat nämä luvattomat toisen numerolla soitetut puhelut. Ulkomailta tulevien huijaussoittojen estäminen on haasteellista johtuen siitä, ettei suomalaisilla operaattoreilla ole keinoa varmistaa puheluissa käytetyn numeron oikeaa "haltijaa" ja siten estää soitettuja puheluita. Jossain määrin operaattoreilla on mahdollisuuksia seuloa ns. heinäkasasta pahimpia tapauksia ja estää niitä, mutta tämä on erittäin työlästä. Kun haltijaa ei voida varmistaa, on myös riskinä, että suodatustoimenpiteet kohdistuvat myös oikeisiin puheluihin. Ulkomailta tulevissa puheluissa lähtökohtaisesti luotetaan siihen, että soittajan käyttämä ulkomaalainen operaattori on varmistanut ns. numeron haltijan. Valitettavasti näin ei kuitenkaan aina ole ja huijaussoittoja pääsee läpi. Virasto on käynyt keskusteluja huijaussoittoihin liittyvistä ongelmista teleyritysten kanssa. Virasto myös parhaillaan käy läpi mahdollisia toimenpiteitä ongelmien vähentämiseksi. On myös tärkeää, että kansalaiset ovat tietoisia huijaussoitoista ja osaavat tunnistaa ne. Tästä syystä virasto on aktiivisesti muiden viranomaisten kanssa pyrkinyt tiedottamaan huijaussoittoista. Virasto on mm. erikseen tiedottanut aiheesta helmikuussa ja tiedotetta on päivitetty viimeksi elokuussa. Virasto on myös antanut medioille lukemattomia haastatteluja asiasta.

Pertti Ilmari kirjoitti...

Eivät operaattorit välitä edes omien logojensa käyttämisestä huijaus-tarkoituksiin. Yritin muutama vuosi sitten ilmoittaa tällaisesta tapauksesta Elisalle. Pitkän etsiskelyn jälkeen sain jonkun myyntipuolen ihmisen langan päähän, jota ei todellakaan kiinnostanut koko asia. Kun puhelimella on turha yrittääkään tavoittaa puhelinoperattorilta muita kuin myyntimiehiä, annoin asian olla.

Petteri Järvinen kirjoitti...

"Rahan siirto tapahtuu suomalaisen operaattorin ja puhelun ulkomailta Suomeen välittävän kv operaattorin välillä perustuen koko puhelumassaan"

Niinpä, mutta ainakin aikaisemmin kotimaisen ja ulkomaisen operaattorin keskinäisissä tiedoissa oli eroja, jolloin piti selvittää kumpi oli (enemmän) oikeassa, ja silloin piti vertailla/analysoida molempien lokeja. Ovatko laskutusjärjestelmät nykyään niin kehittyneitä, ettei epäselvyyksiä enää synny?

Jv kirjoitti...

"Niinpä, mutta ainakin aikaisemmin kotimaisen ja ulkomaisen operaattorin keskinäisissä tiedoissa oli eroja, jolloin piti selvittää kumpi oli (enemmän) oikeassa, ja silloin piti vertailla/analysoida molempien lokeja. Ovatko laskutusjärjestelmät nykyään niin kehittyneitä, ettei epäselvyyksiä enää synny?"

Kyllä lokitiedot kerätään, mutta niistä ei suoranaisesti ole apua huijauspuheluiden estämisessä. Loki syntyy jälkikäteen. Näiden perusteella voidaan toki yrittää jäljittää askel kerrallaan taaksepäin puhelun alkuperä ja puuttua huijarin toimintaan sitä kautta. Tämä on kuitenkin sitä hidasta, työlästä ja epävarmaa toimintaa johon myös tuossa Traficomin kommentissa yllä viitataan.

Jv kirjoitti...

Rautalankaesimerkki vielä:

Huijari ostaa jossain (Euroopan ulkopuolella) operaattorilta A SIP yritysliittymän, jossa on sallittu käyttää mitä tahansa soittajan numeroa (caller id). Huijarin järjestelmä ohjelmoidaan soittamaan satunnaisiin suomalaisiin kohdenumeroihin käyttäen soittajan numerona myös satunnaisesti generoitua, vaihtuvaa suomalaista numeroa.

Puhelut kulkevat operaattorilta A kansainvälisten operaattoreiden B ja C kautta Suomeen operaattorille D, jonka verkossa kohdenumero on. Näistä toimijoista ainut joka nykyisen teknologian puitteissa pystyisi teknisesti varmistamaan, että huijarilla on oikeus käyttää valitsemaansa caller id:tä, on operaattori A. Muut operaattorit välittävät vain saamansa puhelun tiedot sellaisenaan läpi vastaanottajalle.

Operaattori A laskuttaa huijarilta yritysliittymästä soitetut puhelut oman hinnastonsa mukaan. Operaattori A tilittää operaattorien välisen sopimuksen mukaan osan tästä tulosta operaattori B:lle kattamaan puhelun välityksen kustannuksia. Samoin rahaa siirtyy B -> C ja C -> D.

Operaattori D ei tiedä mitään operaattorista A. Jos puhelun vastaanottaja valittaa operaattorilleen D huijauspuhelusta, operaattori D voi tehdä tästä selvityspyynnön operaattorille C, C taas B:lle ja B A:lle. Jos A on rehellinen ja asiallinen toimija, niin he saattavat blokata huijarin verkostaan pois tai ainakin estää vieraiden numeroiden käytön. Usein kuitenkin huijareilla on useita eri operaattoreita puheluilleen joten samat huijauspuhelut saattavat siirtyä tulemaan eri reittiä välittömästi.

Väärän numeron käytössä ei ole varsinaisesti uudesta teknologiasta vaan kuten myös Zarr yllä esittää, tekniikka a-numeron väärentämiseen on ollut verkoissa kymmeniä vuosia. Tämä huijaus on yleistynyt enemmän siksi, että kansainvälisen puheluliikenteen hinnat ovat pudonneet merkittävästi IP-pohjaisen puhelun välityksen myötä. Suomessa tai EU:ssa tällaiset huijarit eivät menesty kauaa, koska operaattoreiden ja viranomaisten yhteistyöllä ne saadaan blokattua verkosta kohtuullisessa ajassa. Nykyään kuitenkaan puhelukustannus ei enää ole este puheluspammille lähes mistä tahansa maailmassa, ja maailmalta löytyy operaattoritasoisia toimijoita, joita ei välttämättä kiinnosta tämän tyyppisten huijausten estäminen niin kauan, kun huijari maksaa puhelulaskunsa.

Zarr kirjoitti...

Jätin mainitsematta tämän mutta koska Petteri otti sen esiin, STIR/SHAKEN ei auta diversioihin ainakaan vielä. Extension joka ottaa diversiot huomioon on vasta draft-asteella, https://tools.ietf.org/html/draft-ietf-stir-passport-divert-09 - ja kuten speksiä lukee, ei sekään ota kantaa muuhun kuin siihen että puhelun on välittänyt legitiimi taho. Jos firmani puhelinvaihde korkataan niin se ihan varmasti signeeraa scammerien puhelut iloisesti kohteilleen.

Petteri Järvinen kirjoitti...

"joita ei välttämättä kiinnosta tämän tyyppisten huijausten estäminen niin kauan, kun huijari maksaa puhelulaskunsa" - tähän kaatuvat monet muutkin tietoturvan parannukset. Aina löytyy maita, joissa kyseenalainen toiminta sallitaan tai lahjotut virkamiehet katsovat sitä läpi sormiensa. Eikä tarvitse mennä EU:ta kauemmaksi (Bulgaria ja Onecoin).

Siitä huolimatta ihmettelen, mikseivät suomalaiset operaattorit voi edes keskenään verrata, tuleeko numerosta 050 1234567 lähtenyt puhelu oikeasti kyseisestä numerosta (joko omasta verkosta tai kysyä kilpailevalta operaattorilta) ja yhdistää se vasta, jos vertailu täsmää. Eikö tähän voi suomalaisten operaattorien yhteistyöllä jotain tarkistustekniikkaa (startupeille töitä, luulisi kiinnostavan muuallakin)?

Zarr kirjoitti...

Siitä huolimatta ihmettelen, mikseivät suomalaiset operaattorit voi edes keskenään verrata, tuleeko numerosta 050 1234567 lähtenyt puhelu oikeasti kyseisestä numerosta (joko omasta verkosta tai kysyä kilpailevalta operaattorilta) ja yhdistää se vasta, jos vertailu täsmää.

Eivät voi, jo tuon puhelunvälityksen vuoksi, jonka pitää kuitenkin palveluna toimia.

Jos soitan Innopolin vaihteeseen omasta puhelimestani ja pyydän yhdistämään PJOYn Petteri Järviselle, näet puhelun (luultavasti) tulevan omasta numerostani, vaikka se tuleekin Innopolin liittymästä jonka saattaa omistaa joku täysin eri operaattori.

Joo, minun puhelinnumeroni omistava operaattori voi sanoa että joo, ei ole tämmöistä puhelua Petterin kännykkään käynnissä. Entä sitten? Jos blokataan, kaikki mobiilivaihdepalvelut lakkaavat juuri toimimasta etkä saa enää oikeitakaan puheluita vaihteen kautta. Jos sallitaan, niin samalla sallitaan "välitetyt" puhelut mistä tahansa numerosta.

Puheluiden välityspalvelu on vain yksi keino. Lisäksi on toimijoita (isoja kansainvälisiä operaattoreita) joitten koko bisnes perustuu erittäin halpoihin puhelinkuluihin, ja ne sallivat soittamisen suoraan ihan mistä tahansa numerosta. Pyytävät kauniisti että ois kiva jos soittaisitte vain sellaisista numeroista jotka omistatte, ja jonkin verran heuristiikkaakin on mukana, mutta verrattavissa spammifiltteröintiin. Aina menee jotain läpi.

Pitää myös muistaa että erityisesti softapuhelimet lisäävät ongelmaa toiseen potenssiin. Esim. MS Teamssia voi käyttää puheluihin. Sopiva Windows-mato ja kas kummaa, meillä on puheluspooffaus mahdollista.

Ongelma on sähköpostispammiin verrattava ja ratkaisuun menee varmasti vuosikymmen tai pari.

Petteri Järvinen kirjoitti...

No edes operaattorin omassa verkossa? Jos kaksi Elisan asiakasta soittaa toisilleen, eikö operaattori pysty vertaamaan tietoja ja tarkistamaan, että puhelu oikeasti lähtee ilmoitetusta numerosta? Meneehän sinne soittajalle laskukin.

Kategorinen esto voisi estää mm. markkinointipuheluita, joissa ulkoistettu soittaja Kuusamosta esiintyy vaikka helsinkiläisen lehtitalon tilausmyyjänä, mutta jos tällainen esto olisi asiakkaan itsensä valittavissa, moni luultavasti kytkisi sen päälle. Etenkin tulevaisuudessa, jos huijaukset yleistyvät ja siirtyvät kotikutoisiksi.

Jv kirjoitti...

"No edes operaattorin omassa verkossa? Jos kaksi Elisan asiakasta soittaa toisilleen, eikö operaattori pysty vertaamaan tietoja ja tarkistamaan, että puhelu oikeasti lähtee ilmoitetusta numerosta? Meneehän sinne soittajalle laskukin."

Suodatusta voidaan toki periaatteellisesti tehdä, käytännössä tällä hetkellä ei. Tämän tyyppisiä ominaisuuksia ei puhelinkeskuksissa yksinkertaisesti ole, koska ongelma on tässä mittakaavassa kuitenkin suhteellisen uusi asia. Viime aikoihin saakka on voitu yleisesti ottaen luottaa siihen että caller id on oikea, eikä siihen sidottuja suodatustekniikoita ole tarvittu.

Vertaus laskutukseen ei toimi, koska laskutusdata kerätään ja käsitellään yleensä viiveellä. Sama ongelma siis kuin muidenkin puhelulokien kanssa, siinä vaiheessa kun puhelua kytketään ja suodatus tai esto pitäisi tehdä ei sitä lokidataa vielä ole käytettävissä. Käytännössä suodatus ja alkuperän varmistus pitäisi perustua reaaliaikaiseen puhelusignalointiin.

In-house tai 3rd party -toteutuksina toki voitaisiin kehittää monenlaista, mutta niiden pitää olla yhteensopivia muun verkon kanssa ja riittävän luotettavia ja järeitä, että verkon puhelumassaa voidaan käsitellä reaaliajassa.

Yksinkertaisin tapa estää tätä olisi tarjota asiakkaalle liittymäkohtainen mahdollisuus estää kaikki ulkomailta tuleva liikenne. Silloin ainakin ne joille ei normaalisti ulkomailta soiteta voisivat suojata itsensä. Toki tätäkään ei välttämättä operaattorien nykyisessä tekniikassa voi suoraan tehdä, mutta kehitystyönä olisi ehkä kevyimmästä päästä.

Jos teoretisoidaan enemmän, niin ulkomailta tulevan liikenteen osalta voitaisiin tehdä jokaiselle suomalaisella caller id:llä tulevalle puhelulle tarkistus, onko kyseinen numero sillä hetkellä roamaamassa jossakin ulkoimailla. Jos ei ole, niin puhelu estetään. Tämä vaatisi operaattorien yhteisen tietokannan reaaliaikaiselle roaming-tilanteelle, koska jos Elisan ulkomailla roamaava liittymä soittaa Telian liittymään Suomessa, puhelu voi tulla ulkoimailta DNA:n verkkoon, josta se välitetään edelleen Telialle, eikä Elisa tiedä sillä hetkellä tästä puhelusta mitään. Tällöin DNA:lla tai Telialla pitäisi olla reaaliaikainen tieto myös Elisan roamaavista liittymistä ja sama toisin päin. Ja tämä taas estäisi osittain myös oikeita puheluita, Elisan numero voi tulla esim. Zarrin mainitseman välityksen kautta ulkomailta vaikka matkapuhelin olisi Suomessa.

Teknisiä mahdollisuuksia on ja kehitystä tapahtuu, mutta se että suodatusta mahdollisesti parin tai viiden vuoden päästä kyetään tekemään, ei ymmärrettävästi lämmitä niitä jotka joutuvat huijarin uhriksi nyt. Kuitenkin lyhyellä tähtäimellä tiedotus ja valistus on se mihin pitää panostaa.

Petteri Järvinen kirjoitti...

Elisan asiakas A soittaa Elisan asiakas B:lle. Eikö keskukseen voisi lisätä ominaisuutta, joka soiton tullessa B:lle tarkistaisi reaaliajassa, onko A:lla puhelu käynnissä? Vaikka keskuksen LI-liitäntää hyödyntäen?

Myös ulkomaanpuhelujen suodatusidea on jatkokehittelyn arvoinen, silläkin uhalla että jokin legitiimi puhelu voi sitten jäädä saamatta. Ehkä tässä on tapahtunut asennemuutos: sähköpostissa hyväksytään, että roskapostisuotimeen tarttuu joskus aitojakin viestejä. Niin ikään ollaan valmiita maksamaan palvelusta, joka ESTÄÄ viestintää.

Puhelinverkossa tällainen ajattelu on uutta, mutta jos huijaukset jatkuvat, vaihtoehtoja ei juuri ole. Eniten kummastuttaa, etteivät operaattorit näytä kiinnostuvan asiasta ja tekevän tuotekehitystä, vaikka tällainen lisäpalvelu auttaisi erottumaan kovassa hintakilpailussa.

Nimetön kirjoitti...

Asian korjaaminen alkaa kiinnostaa operaattoreita vasta kun väärinkäytöksistä aiheutuu heille enemmän vahinkoa ja kustannuksia kun sen sietämisestä, että asiakkaat valittavat ongelmasta. Niin kauan kun ongelma ei tuloksessa sen korjaaminen kiinnostaa vain marginaalisesti.

Vastaavalla tavalla maksukorteissa ei ole korjattu turvallisuus ongelmia kun EMV:n korjaaminen maksaisi enemmän kun mitä ongelmia hyödyntävät vuosittain varastavat. Myös helposti kopioitavan magneettiraitaa ei voida poistaa. Ja se on joka kortissa, vaikka sitä ei meillä edes enää käytetä. Korttiyhtiöille pelko siitä, että asiakas ei ehkä saisi maksettua jossain timbuktussa kortilla estää suurelta enemmistöltä, joka ei aio vierailla timbuktussa, saamasta kortteja joissa ei enää olisi magneettiraitaa ja jota olisi mahdoton skimmata. Antaisivat edes mahdollisuuden saada rinnakkaiskortti, jossa sitä raitaa ei olisi ja ottaisi sen timbuktussakin käyvän kortin mukaan kun lähtee maasta. Mutta ei, ei kiinnosta kun se kaikki on niin vaikeaa ja maksaisikaan enemmän kun rosvot skimmaamalla vuosittain varastavat. Viis siitä mikä sotku ja kustannus korttien kopioinnista asiakkaalle aiheutuu.

Asia on niin, että raha on hyvä konsultti ja vasta kun huijaamisen mahdollistavat joutuvat siitä itseensä maksamaan, niin korjaamiseen alkaa löytyä enemmän kiinnostusta.

Teemu kirjoitti...

Ei kai näistä huijaussoitoista laskua tule muille kuin niille huijareille tai ei ehkä niillekään, jos tämä on mahdollista "Eli scammerin ei käytännössä tarvitse tehdä mitään muuta kuin etsiä firma jolla on reikäinen puhelinliittymä ja alkaa soittelemaan "välitettyjä" puheluita.". Ja miten nämä spoofing palvelut sitten. Niiden käyttö maksaa jotain mutta onko hinta niin alhainen, että se kannattaa ostaa.

Onhan noita soittoja ollut jo ties kuinka kauan joten jonkun liittymän virheellinen laskutus olisi tullut jotain kautta ilmi.

Jv kirjoitti...

"Elisan asiakas A soittaa Elisan asiakas B:lle. Eikö keskukseen voisi lisätä ominaisuutta, joka soiton tullessa B:lle tarkistaisi reaaliajassa, onko A:lla puhelu käynnissä? Vaikka keskuksen LI-liitäntää hyödyntäen?"

En tiedä mikä Elisalla on mahdollista ja mikä ei, mutta sen mitä yleisesti tekniikoita tunnen, sanoisin että ei onnistu puhelinkeskuksen vakio-ominaisuuksilla (ei myöskään LI). Tarvetta tehdä vastaanottajan B puolella päätöksiä puhelun vastaanottamisesta riippuen soittajan A tilasta ei palveluissa ole ollut, eikä tällaisia ominaisuuksia laitteissa ole. Jollain ulkoiselle IN älyverkkopalvelulla tämän tyyppinen voisi ehkä onnistua, mutta mikään off-the-shelf ratkaisu tämäkään ei ole vaan vaatisi että joku koodaa sen palvelun tarvittavine rajapintoineen.

Isompi ongelma on se, että esittämäsi operaattorikohtainen malli ei estäisi tätä huijausta oikeastaan millään tavalla. Koska epäonnistuneet (B puolella estetyt) puheluyritykset eivät maksa huijerille mitään, on heillä varaa testata jokaista kohdetta vaikka sadalla eri (väärennetyllä) A numerolla. Riittää että huijari löytää sen yhden A numeron jolla puhelu otolliselle huijattavalle menee läpi. Jos Elisan asiakkaalle ei voi soittaa Elisan numerosta mutta Telian tai DNA:n numerosta puhelu menee läpi (= onnistuvuus osapuilleen 2/3), niin esto on käytännössä hyödytön näiden ulkomaisten huijarien osalta.

Siksi esto pitää tehdä operaattorien yhteisesti (Suomessa vähintään kolme isointa), operaattorikohtaisiin estoihin ei kannata käyttää vaivaa vaikka ne olisivat helppoja ja edullisiakin (mitä ne eivät edes ole).

Nimetön kirjoitti...

Omalta osaltani huomasin viikko sitten uutisen jossa 50 000 suomalaisen nettikasinopelaajan rekisteröitymistiedot olivat vuotaneet julkiseen jakeluun viime viikolla. Olin itse rekisteröitynyt kyseiselle nettikasinolle. Kysyin erään sivuston ylläpitäjältä oliko minun tietoni vuotaneet. Kaveri tarkisti ja olivat vuotaneet ja laittoi minulle omat tietoni tsekattavaksi. Ja kyllä, puhelinnumeroista lähtien kaikki yksityistietoni nyt julkisesti ilmoilla.

Petteri Järvinen kirjoitti...

Mikä nettikasino tässä on kyseessä? En ole nähnytkään uutista.

Tuo A-esto on teknisesti hankala, mutta tätä ei pidä nähdä pelkkänä intialaisten puhelujen ongelmana. On vain ajan kysymys, milloin numeroita aletaan väärentää muistakin syistä. Tekstiviesteissä sitä tehdään jo nyt (saapumisilmoitukset, ehkä 2FA-koodit). Tähän olisi hyvä varautua ajoissa ja kehittää kotimaisten operaattorien välinen ratkaisu. Eston sijaan voisi lähettää vaikka tekstarin "VAROITUS: saamasi puhelun tai tekstiviestin lähettäjätieto voi olla väärennetty". Se auttaisi vastaanottajaa jo puhelun aikana.

Operaattorit hehkuttavat älyverkkoja, millisekunnin latenssia, gigabitin siirtonopeutta ja 5G IoT-ratkaisuja. Kaikkea on mahdollista tehdä. Paukut on laitettu sinne, mistä odotetaan saatavan tuottoa -- tai ainakin positiivista hypeä. Tavallinen puhelinturvallisuus ei näytä kiinnostavan.

Nimetön kirjoitti...

Spilleren, Svenbet ja Scadibet nettikasinoiden tiedot vuotaneet. Tuota uutisoi Foorumillaan eräs suomalainen affisivusto. Mutta ainakin ko. tiedot tarkistettu useamman pelaajan kautta.

Nimetön kirjoitti...

Muiltakin nettikasinoilta vastaavia tietoja vuotanut vuoden aikana, ensin myyntiin (200-400€) ja sen jälkeen joku jakaa tiedot netissä vapaasti.
Usein kyseessä ne nettikasinot jotka ovat lopettaneet toimintansa.
Pelaajien ei kannata ihmetellä vuotaneita meiliosoitteitaa, puhelinnumeroitaan tai muita vastaavia...
KAm

Nimetön kirjoitti...

@Petteri

Tavallinen puhelinturvallisuus ei näytä kiinnostavan.

Kertaus on opintojen äiti: Raha on hyvä konsultti, kiinnostus lisääntyy kun vasta siitä aiheutuu itselle kustannuksia.

Lainsäätäjien pitää muuttaa pelisääntöjä kansallisella ja ylikansallisella tasolla niin, että toimintaa valvova viranomainen voi tehdä ei toivotusta toiminnasta niiden harjoittajalle kalliimpaa kun siitä bisneksestä saatava taloudellinen hyöty.

Kun tässä tapauksessa huijaussoitot alkavat aiheuttaa kuluja operaattoreille ja haitata bisnestä, niin he alkavat vaatia tarvittavia ominaisuuksia laitevalmistajilta käyttämiinsä laitteisiin. Laitevalmistajille tämä on uutta bisnestä ja ne laittavat toimeksi aina TIA ja ITU:a myöten, muuttavat olemassa olevia ja luovat uusia standardeja, joilla ongelma ratkaistaan kunnolla. Tämä on pitkä tie, mutta oikoteitä ei juuri ole kun kyse on perustavaa laatua olevan puutteen korjaamisesta järjestelmissä.

Niin kauan kun operaattoreille ei itselle aiheudu kuluja vaan päin vastoin ne saavat lisää tuloja myös huijaren soittojen välittämisestä, niin asian korjaaminen kiinnostaa vain marginaalisesti. Laitevalmistajien kiinnostusta ohjaa standardit ja asiakkaiden (operaattorit) tarpeet.

Julkisuuteen annetut lausumat ja tilanteen voivottelu teknisten vaikeuksien vuoksi, jotka ovat aivan todellisia, ei vie asioita parempaan suuntaan. Kustannuksia muutoksista aiheutuu, mutta me kaikki tiedämme sen, että me puhelinpalveluja käyttävät maksamme operaattoreiden muutokset ja käytön kulut laskuissamme.

Lyhyesti: ongelmaan ei ole pikakorjausta, tarvitaan isompia muutoksia ja jjoiden alkuun saattamisen kitkan voittamiseksi tarvitaan myös viranomaisten ja tarvittaessa lainsäätäjien toimia, jotta viranomaisilla on kaluunoita tehdä nykytilan jatkumisesta liian kallista operaattoreille.

.

Nimetön kirjoitti...

https://yle.fi/uutiset/3-11503135

Onhan tässä tietysti rikos tapahtunut...mutta ihan oikeasti, kyllä jotain vastuuta ihmisellä pitäisi ihmisellä itselläänkin olla. Eikö edes siinä vaiheessa kun aletaan menemään verkkopankin puolelle tapahdu mitään aavistusta että jotain outoa on tapahtumassa?

Olen melko varma että tällaisessa tapauksessa puhelinnumerolla ei olisi ollut mitään merkitystä, olkoon vaikka tuntemattomasta numerosta.

"On moraalitonta antaa tyhmän pitää rahansa".

Petteri Järvinen kirjoitti...

En syyllistäisi vanhempia ihmisiä, he voivat olla kädettömiä näissä digiasioissa. Ulkomaanpuhelujen vastaanoton esto olisi lapsille tehokas keino estää ulkomaiset huijarit.

Sen sijaan jo yleisen elämänkokemuksen nojalla pitäisi tietää, ettei säilytä 100 000 euroa tavallisella tilillä. Se ei ole digiasia (toisaalta emme tiedä, millaisen järjestelyn takana rahansiirrot olivat).

Ei pidä kuitenkaan ajatella tätä liian kapeasti. Nyt kyse on teknisen tuen huijauksista, mutta on vain ajan kysymys milloin väärillä numeroilla aletaan huijata myös yrityksiä ja avainhenkilöitä.

Zarr kirjoitti...

Nyt kyse on teknisen tuen huijauksista, mutta on vain ajan kysymys milloin väärillä numeroilla aletaan huijata myös yrityksiä ja avainhenkilöitä.

Näitähän tapahtuu jatkuvasti, perusformaatti on väärennetty lasku, tai puhelu/meili "johtajalta" joka pyytää laittaan rahaa määrän X tilille Y.

Meidänkin alle 100 hengen firmaa on yritetty kalastella niin että "toimitusjohtajalta" tulee meiliä (täysin väärästä domainista, vain displayname on oikein - ihmettelen suuresti miksei O365:n spammifiltteri blokkaa moisia) joka kysyy "Hei, oletko kiireinen". Jos erehtyy vastaamaan tuleekin jo pyyntö ostaa omalla luottokortilla kamaa paikasta X ja tehdä kululasku...

Petteri Järvinen kirjoitti...

Lähinnä mielessä oli esim. tapaukset, joissa soitetaan uhrin puhelinnumerosta operaattorin asiakaspalveluun ja pyydetään esim. vaihtamaan salasanaa tai jotain asetusta. Näitähän on jenkeissä ollut useita korkean profiilin tapauksia.

Operaattorina olisi aika huolissani, jos en pysty varmistamaan edes soittavan oman asiakkaan aitoutta. Ei, se henkilötunnuksen loppuosa EI OLE todiste mistään.

Nimetön kirjoitti...

"Sen sijaan jo yleisen elämänkokemuksen nojalla pitäisi tietää, ettei säilytä 100 000 euroa tavallisella tilillä."

Mitäköhän tarkoitat tässä? Millaisella tilillä voi säilyttää 100 000 euroa? Miten säilyttäisit esim. 5 miljoonaa euroa?

henris42 kirjoitti...

"Vastaavalla tavalla maksukorteissa ei ole korjattu turvallisuus ongelmia kun EMV:n korjaaminen maksaisi enemmän kun mitä ongelmia hyödyntävät vuosittain varastavat. Myös helposti kopioitavan magneettiraitaa ei voida poistaa. Ja se on joka kortissa, vaikka sitä ei meillä edes enää käytetä."

Vähän off topic, mutta mahtaako nykyään tulla mitään damagea jos antaa noille magneettiraidoille kunnon käsittelyn vaikka neodyyminagneetilla? Eihän niitä kai tarvi enää yhtään missään? Tossapa aihetta uuten blogi artikkeliin..

Nimetön kirjoitti...

@henris42

Vähän off topic, mutta mahtaako nykyään tulla mitään damagea jos antaa noille magneettiraidoille kunnon käsittelyn vaikka neodyyminagneetilla?

Kortti on sen myöntäjän omaisuutta ja et saa muuttaa tai turmella sitä. Muuttaminen on käyttöehtojen vastaista. Käyttöehtojen vastaisesta käytöstä kortin myöntäjä voi perua korttisi ja kieltäytyä antamasta uutta korttia.

En kehota kokeilemaan, mutta magnetismin voi poistaa myös lämpökäsittelyllä ja voimakkailla iskuilla kun sitä tekee riittävän paljon.

Korttien raitoja on kopioitu joskus kauan sitten myös alkeellisella low-tech silitysrauta virityksellä, jossa VHS-nauhurin kertaakaan käyttämättömällä nauhan pätkään kopioitiin kortilla oleva data. Eristeenä päällä leivinpaperia tms. joka kestää kuumuutta ja estää silityraudan pohjaa tarttumasta nauhaan. Kortin data kopiotuu ja on luettavissa nauhasta, kun kuumentamisen jälkeen nauha on tiukasti kiinni kortin raidassa siihen asti, kun ne jäähtyvät takaisin huoneen lämpötilaan. Kortin raidan luettavuus heikkenee joka kerta, joten ei ainakaan kannata harjoitella tai tehdä vielä käytössä olevalla kortilla. Kopioidulta nauhalta voidaan lukea data ja sitten siirtää se toiseen tyhjään korttiin.

Eihän niitä kai tarvi enää yhtään missään?

Ei, eipä sitä enää suomalaiset Suomessa käytä täkäläisillä korteilla, mutta jos sinulla on ulkomailta kortti jossa ei ole EMV:tä niin kyllä sillä voi maksaa ja silloin käytetään magneettiraitaa tai kohokirjoitusta jos höylä löytyy. Samoin kun maista joissa ei ole EMV:tä tulevat käyttävät. Kohokirjoitus on se vanhin ja höylällä voi maksaa luotolla vaikka safarilla Afrikassa paikassa jossa ei ole sähköä lähimaillakaan.

Kauppialle muiden kuin EMV:n käyttö on täällä kallista ja ainakin suomalaisilla korteilla. En ole varma onko maksun välitysmaksu suurempi myös niiden osalta, joilla EMV:tä ei kortissa ole.

Mutta suomalainen ei sitä magneettiraitaa juuri koskaan täällä tarvitse ja siksi fiksuin ratkaisu olisi mangeettiraidaton rinnakkaiskortti pelkällä EMV:llä.

Mutta magneettiraidaton rinnakkaiskortti EMV:llä riittäisi Suomessa hyvin suomalaisille arjessa ja sitten sen pääkortin jossa on magneettiraita voisi ottaa ulkomaille reissuun kun sitä siellä voi tarvita. Tämä poistaisi sen mahdollisuuden että kortti skimmataan.

Tossapa aihetta uuten blogi artikkeliin..

Miksipä ei olisi.

Petteri Järvinen kirjoitti...

"Mitäköhän tarkoitat tässä? Millaisella tilillä voi säilyttää 100 000 euroa? Miten säilyttäisit esim. 5 miljoonaa euroa?"

Pankit varmaan tarjoavat turvallisia sijoitusmuotoja (olemattomalla korolla), jotta ei tarvitse miljoonia pitää käyttötilillä. Ainakin ennen määräaikaistalletukset olivat suosittuja.

Uutisesta ei käy ilmi, miten varat oli suojattu. Ilmeisesti uhri oli itse antanut luvan ja kuitannut siirrot. Noin suuret summat eivät lähde tililtä ilman tekstiviestivahvistusta.

Teemu kirjoitti...

On tuollaisia joskun näkynyt. Ei euroja eikä miljoonia mutta kymmeniä/satojatuhansia käyttötilillä ainakin sen automaatille jätetyn kuitin perusteella.

Nimetön kirjoitti...

"Pankit varmaan tarjoavat turvallisia sijoitusmuotoja (olemattomalla korolla), jotta ei tarvitse miljoonia pitää käyttötilillä. Ainakin ennen määräaikaistalletukset olivat suosittuja."

Ihmisten rahatilanteet vaihtelevat. Se että on isompi määrä rahaa käyttötilillä, ei mitenkään poissulje, sitä ettei rahaa olisi jo jossain vielä enemmän myös hyvinkin erilaisissa sijoitus instrumenteissa hajautettuna monipuolisesti sijoituskohteissa.

Määräaikaistalletusten ongelmia on käyttötilin tapaan olemattoman koron lisäksi, se että niissä on usein myös nostorajoituksia ja varoja ei voi nopeasti siirtää johonkin kohteeseen johon haluaa sijoittaa tai tuhlata ts. ostaa jotain mitä ei voi sijoitukseksi mieltää esim. autoon.

On myös hyvä ymmärtää, että ei niitä parhaita sijoituskohteita näissä meidän yleisissä pankeissa piensijoittajille juuri välitetä. Parhaat kohteet menee nopeasti ja pienemmälle valikoidulle joukolle. Jos niitä tarjotaan, niin kynnyssijoitus on korkeampi ja se pitää saada irti nopeasti, jotta niitä saa ostettua. Harkinta-aikaa jää joskus varsin vähän.

Minulla on parillakin käyttötilillä useita kymmeniätuhansia, toisella lähemmäksi satatonnia toisella vain lähemmäksi viisikymppiä. Kun tuloja on enemämn kun menoja, niin varoja tahtoo kertyä ja niitä pitäisi sitten välillä vaivautua siirtelemään muualle tai etsiä järkevä sijoituskohde, ettei talletussuojaraja ylity. Tämä siitä huolimatta, kuukausittaiset sijoitukset on ollut käytössä varsin pitkään ja olen ollut private-banking asiakas kahdessa paikassa kohta jo 20v, jotka huolehtivat suurimmasta osasta sijoituksiani, mutta joiden ei ehkä sitten kuitenkaan kannata antaa huolehtia vapaasti aivan kaikesta varallisuudesta.

Joillekin valitettavasti rahan puute on ongelma, toisille enemmänkin on puute omasta ajasta ja mielenkiinnosta käyttää sitä etsiäkseen asiallisia sijoituskohteita.

Nimetön kirjoitti...

Luuria käytän vain mobiilipankkiin, YouTuben katseluun ja kuvaamiseen. Jos on asiaa meilatkoon.

Nimetön kirjoitti...

En löytänyt muualta keskustelua eilen ilmenneestä ongelmasta. Hyvä, että Petteri sinä otat asian esiin! Minulle on alkanut tulla ihan tavallisten suomalaisten numeroista huijaussoittoja. En nykyään enää vastaa tuntemattomiin numeroihin, mutta kun niitä tuli monta parin päivän aikana, päätin soittaa parille muutaman minuutin päästä, kunhan olin ensin tsekannut Fonectasta, että kyseessä oli ihan oikeat ihmiset - tyyliin Marja-Liisa Seinäjoelta. Kummassakin tapauksessa nämä "soittajat" kielsivät soittaneensa minulle tai kellekään vähään aikaan.

Siitä Foodoran tietovuodosta asti minulle on tullut soittoja Isosta-Britanniasta, mutta niihin en ole koskaan vastannut tai soittanut takaisin, vaan suoraan estänyt. Nyt ilmeisesti vaihtoivat taktiikkaa.

Menee kyllä hemmetin vaikeaksi, jos tavallisten ihmisten numeroita spoofataan ja käytetään väärin. Jatkan tietty numeroiden tarkistamista Fonectasta tai googlaamalla, mutta kyllähän se aina vie aikaa... Yrittäjänä en voi laittaa sitä toiminnallisuutta päälle, että kaikki tuntemattomat numerot estetään. Puheluista on tullut nyt yksi maanvaiva!!!