Puhelimeen kilahtelee jatkuvasti kalasteluviestejä, joilla yritetään saada uhri luovuttamaan pankkitunnuksensa. Juuri nyt aktiivisena on ovela kampanja, jossa ilmoitetaan ajanvarauksesta lääkäriin tai sosiaalitoimen palveluun, ja tarjotaan linkki perumista varten. Peruminen vaatii tietenkin tunnistautumisen, johon kelpaavat vain pankkitunnukset.
Minulta kysytään usein, miksi huijarit kalastelevat pankkitunnuksia. Eihän yhdellä tunnistuskerralla voi edes siirtää rahaa.
Yksikin tunnistuskerta saattaa riittää pankin tunnistusohjelman asentamiseen rosvon puhelimeen, jolloin tilin hallinta menetetään täydellisesti. Toinen mahdollisuus on mobiilivarmenteen kaappaaminen.
Mobiilivarmenne omaan puhelimeen voidaan hakea pelkällä pankkitunnistamisella. Juju on siinä, ettei hakemisen yhteydessä tarkisteta, kenen puhelimeen varmenne varsinaisesti tulee. Jos uhri erehtyy syöttämään pankkitunnuksensa kalastelusivulle, rosvo saa hänen mobiilivarmenteen omaan puhelimeensa ja pystyy siitä eteenpäin todentamaan itsensä vahvasti moniin viranomais- ja lainapalveluihin.
Pahinta tässä on se, että uhri luulee selvinneensä säikähdyksellä. Tilille ei päästy eikä rahaa kadonnut. Vahinko paljastuu vasta myöhemmin, kun mobiilivarmenteella on otettu esim. pikavippejä tai asioitu uhrin puolesta viranomaisiin päin. Myös epäluotettava (ex-)puoliso voi napata identiteetin omaan puhelimeensa ja aiheuttaa monenlaista vahinkoa.
Olen yrittänyt herättää tästä keskustelua, mutta laihoin tuloksin. Viranomaiset suosittelevat mobiilivarmennetta pankkien ulkopuoliseen asiointikäyttöön, joten olisi kohtuullista että ne myös varoittaisivat väärinkäytön mahdollisuuksista tai vaatisivat lisää suojakeinoja.
Kokeilin asiaa käytännössä tuttavan puhelimella. Hänellä sattui olemaan Telian liittymä, joten esimerkit ovat sieltä. Käsittääkseni käytäntö on sama kaikilla operaattoreilla.
 |
| Erittäin turvallinen, helppokäyttöinen. |
Mobiilivarmenteen aktivointi käynnistyy operaattorin sivulta.
 |
| Voit itse valita numeron, johon varmenne asennetaan. |
Puhelinnumeroa kysytään, mutta missään ei tarkisteta, kenelle liittymä kuuluu. Mahdotonta se olisikin, koska liittymä voi olla yrityksen nimissä. Aiemmin mobiilivarmenteen pystyi hakemaan vain henkilökohtaisella käynnillä asiointipisteeseen ja vain henkilökohtaiseen liittymään, mutta vaatimuksista luovuttiin kilpailun lisäämiseksi. Se johti turvallisuuden heikkenemiseen.
Asiakas hyväksyy Palvelun erityisehdot, joiden kohta 2. Palvelun käyttöönotto käsittelee juuri tätä tilannetta:
Palvelun voi rekisteröidä itselleen sen matkapuhelinliittymän tunnistettu käyttäjä, jonka matkapuhelinliittymään Palvelua ollaan liittämässä. Telia tekee tarvittaessa tarkistuksen, onko liittymä Käyttäjän hallussa.
Käyttäjä vastaa siitä, että hänellä on liittymän omistajan (”Asiakas”) valtuutus Palvelun tilaamiseen.
Operaattori varaa itselleen oikeuden tehdä tarvittaessa tarkistuksia liittymän todellisen käyttäjän henkilöllisyydestä. Oikeus siis on, mutta sen käyttäminen lienee harvinaista. Joka tapauksessa riski on tiedostettu myös operaattorin päässä.
Lisäksi sopimus mainitsee erikseen, että jos rekisteröijä ei ole liittymän haltija, asiakassuhde syntyy käyttäjän ja operaattorin välille:
Jos henkilö, joka on rekisteröimässä itselleen Palvelua, ei ole kyseisen matkapuhelinliittymän omistaja, syntyy Palvelua koskevan hakemuksen hyväksymisen seurauksena asiakassuhde varmenteen hakijan ja Telian välille. Käyttäjää koskevat Palveluun liittyvät velvoitteet ovat Käyttäjän ja Telian väliset
Kohdassa 6 todetaan vielä, että Käyttäjä on velvollinen säilyttämään Tunnistusvälinettä huolellisesti, eikä sitä saa luovuttaa toisen käyttöön.
Pankkitunnuksissa on samat velvoitteet, mutta pankit todella tarkistavat asiakkaan ennen verkkopankkitunnusten luovuttamista. Jos esimerkiksi vanhus vaikuttaa epävarmalta eikä kykene nettiasiointiin, tunnuksia ei luovuteta.
Mobiilivarmenteen saa ilman mitään tarkistuksia, vaikka molemmilla on sama vahvan todennuksen luottamusasema.
Sitten tulee kriittinen kohta: mobiilivarmenteen hakijan pitää tunnistautua pankkitunnuksilla tai varmennekortilla. Jostain syystä HighTrust-ohjelma ei kelpaa, vaikka se on Suomi.fi-portaalin listalla.
 |
| Tähän kohtaan kalasteluhuijarit iskevät. |
Tässä kohdassa kalasteluhuijarit iskevät. Kun uhri saadaan kirjautumaan edes kerran omilla pankkitunnuksillaan, rosvo saa asennettua hänen mobiilivarmenteensa itselleen.
Kaikki ilmoitukset uuden varmenteen käyttöönotosta tulevat alussa annettuun puhelinnumeroon, joten uhri ei näe niitä. Uhri ei välttämättä havaitse lainkaan, että hänen vahva sähköinen identiteettinsä on siirtynyt toiseen puhelimeen ja siten toisen henkilön käyttöön. Tämä antaa huijarille aikaa toimia.
Samanaikaisesti voimassa olevia mobiilivarmenteita voi hakea useisiin puhelimiin, mitään rajoitusta ei ole. Vähintäänkin pitäisi olla palvelu, josta voisi itse tarkistaa, kuinka monta mobiilivarmennetta omalla HETUlla on käytössä, missä numeroissa ne ovat ja mihin niillä on viimeksi tunnistauduttu.
Muutama huomautus on paikallaan. Puhelimessa voi olla vain yksi varmenne, joten tarvitaan liittymä, johon varmennetta ei vielä ole aktivoitu. Varmennetta ei voi saada prepaid-liittymiin, joten rosvo tarvitsee "oman" puhelimen.
Liittymää avattaessa operaattori tarkistaa asiakkaan henkilöllisyyden, koska kyse on luotollisesta postpaid-sopimuksesta. Huono juttu rosvon kannalta. Siksi huijarit käyttävät varastettuja puhelimia tai muuleja, jotka luovuttavat puhelimensa pientä korvausta vastaan. Liittymän pitää olla sellainen, ettei siihen ole aiemmin aktivoitu mobiilivarmennetta.
Tarkkaavainen uhri voi ihmetellä, miksi pankkivarmennuksessa otsikossa lukee "Mobiilivarmenne rekisteröinti" eikä kirjautuminen terveyskeskuksen tai sosiaalipalvelun portaaliin.
 |
| Tämä voi paljastaa huijauksen, jos on tarkkana. |
Vielä viimeinen yksityiskohta: mobiilivarmenne on voimassa viisi vuotta. Joissakin tapauksissa sim-kortti pitää käydä vaihtamassa uuteen, joillakin operaattoreilla varmenteen voi uusia verkkopalvelussa tunnistautumalla. (Tekstiä muokattu) Elisalla varmenne on aina sidottu sim-korttiin eikä sitä voi uusia netissä, vaan kortti pitää vaihtaa asiakaspalvelussa. DNA:lla ja Telialla (?) uusinta onnistuu nettisivulta.
eSIMiä käyttävät puhelimet ovat vielä oma lukunsa. Yleensä niissä on myös tavallinen SIM-paikka, ilmeisesti iPhone Air on ainoa Suomessa myytävä puhdas eSIM-malli (?). Telia tarjoaa mobiilivarmenteen myös eSIMiin.
Sitten on vielä toinenkin tapa huijata uhria, mutta se on erillisen kirjoituksen asia.
Lisäys: suojakeinoista: uuden mobiilivarmenteen käyttöönotto pitäisi vaatia vähintään kaksi pankkitunnistusta. Se ainakin vaikeuttaisi aktivointia.
Vaatimus henkilökohtaisesta käynnistä asiointipisteessä voi olla liikaa vaadittu, etenkin jos halutaan säilyttää käyttö myös yritysliittymissä. Lisäksi uutta varmennetta käyttöönotettaessa operaattorin pitäisi tarkistaa, onko samalla SATUlla jo aiempia varmenteita, ja informoida niiden omistajia (vaikka tekstiviestillä?). Pitäisi myös olla palvelu (SATUja hallinnoiva DVV?) josta näkee, kuinka monta mobiilivarmennetta itsellä on ja mihin niitä on viimeksi käytetty.
Ennen kaikkea pitää olla tietoinen tästäkin väärinkäytön mahdollisuudesta. Jos uhri ei tunnista nimissään tehtyjä sitoumuksia, hänen tai poliisin pitäisi osata tarkistaa, onko käytössä ollut muita uhrin identiteettiin liittyviä varmenteita.
