keskiviikko 8. marraskuuta 2017

Pankki voitti tiedonkalastelun uhrin oikeudessa

Iäkäs, 77-vuotias rouva joutui verkkopankissa huijauksen uhriksi ja menetti 4800 euroa rahaa. Kun pankki kieltäytyi korvaamasta menetystä, uhri vei asian oikeuteen ja hävisi, jolloin mokan hinnaksi tuli ainakin 45 000 euroa. Kyseessä on tietääkseni ensimmäinen kerta, kun asiakkaan ja pankin välistä tietoturvavastuuta on käsitelty oikeudessa, joten asialla on suurta periaatteellista merkitystä.

Olin yksi oikeuden kuulemista asiantuntijatodistajista, joten seuraavat kommentit perustuvat vain uutisen julkisiin tietoihin sekä Nordean verkkopankin jo 1980-luvulla alkaneeseen omaan asiakkuuteeni, ja kommentoin asiaa vain yleisellä tasolla.

Uutisesta päätellen kyseessä ei ollut ihan peruskalastelu, koska huijarit olivat saaneet haltuunsa useita tunnuslukuja ja onnistuivat kiertämään myös tekstiviestivahvistuksen. Lopputuloksena tililtä hävisi tuhansia eruoja.

Oikeuden päätöksen mukaan "rouvan menettely oli pankin sopimusehtojen vastaista ja törkeän huolimatonta".

Mikä sitten on törkeää huolimattomuutta? Esimerkiksi tunnusluvun säilyttäminen samassa lompakossa pankkikortin kanssa, jolloin lompakkovaras voi tyhjentää koko tilin. Selvä se.

Mutta kun verkkohuijari iskee, mihin vedetään huolimattomuuden ja törkeän huolimattomuuden raja? Etenkin, jos uhri on iäkäs, eikä tunne verkkoon liittyviä vaaroja. Entä jos koneella on haittaohjelma? Miten koneen puhtaus voidaan varmistaa poliisitutkinnassa kuukausia myöhemmin? Minkälaista huolellisuutta vaaditaan, jotta pankki korvaisi haittaohjelman viemät rahat?

Entä jos joku soittaa poliiksi esittäytyen ja pyytää tunnuslukuja? Valepoliiseista on kuluvan vuoden aikana tehty yli 500 rikosilmoitusta, rahaa on viety satojatuhansia euroja. Ovatko kaikki nämäkin uhrit menetelleet törkeän huolimattomasti?

Asiakkaan törkeän huolimattomuuden kynnys tulisi asettaa korkealle, ja vastuun olla ensisijaisesti pankilla. Se hyötyy sähköisestä itsepalvelusta eniten ja sillä on paras tieto uhkakuvista sekä tekniikka niiden torjumiseen. Pankkien pitäisi ensin tehdä kaikki mahdollinen tietoturvan hyväksi, ja vasta sen jälkeen voidaan puhua uhrin velvollisuuksista.

Ovatko pankit tehneet kaiken mahdollisen tietoturvan varmistamiseksi? Yksi tapa on vaatia tekstiviestivahvistus isoista tilisiirroista. Puhelinnumeron voi kuitenkin vaihtaa netissä. Nordealla vaihdosta lähtee ilmoitus alkuperäiseen numeroon, mutta kuten valepoliisien soitot ovat osoittaneet, social engineer -tekniikoilla ilmoituksen merkitys on mitätöitävissä.

Turvallisempaa olisi, jos puhelinnumeron voisi vaihtaa vain asioimalla pankissa henkilökohtaisesti. Puhelinnumeroa ei ole sidottu operaattoriin, joten numeron vaihtuminen on harvinainen tapahtuma. Kaiken lisäksi Nordea sallii ison tilisiirron heti numeron vaihtamisen jälkeen, mikä on erittäin epäilyttävää, ja pitäisi laukaista hälytyksen. Luottokorttiyhtiöt ovat tehneet fraud detection -tekniikoista melkein taidetta, pankkien pitäisi pystyä samaan.

Varsinkin iäkkäiden ihmisten kohdalla pankin vastuu turvallisuudesta korostuu. Tässä tapauksessa vaarana on, että tieto yli 45 000 euron menetyksestä kääntyy verkkopankkeja vastaan. Vai laskevatko pankit jo sen varaan, ettei ihmisillä ole vaihtoehtoja? Uskotko sinä, että omat vanhempasi tai isovanhempasi pystyvät pitämään puolensa verkkohuijareita vastaan?

Ensi vuodesta alkaen asiakkailla on vaihtoehtoja. Laskut voi maksaa vaikka Facebookin tai Applen kautta. Tietoturvasta tulee todellinen kilpailutekijä. Jos kotimaiset pankit häviävät tietoturvan mielikuvakilpailun, ne menettävät asiakkaita.

Iäkkäät eivät pelkää tunnisteiden joutumista vääriin käsiin.
Yllättäen pelko tunnisteiden joutumisesta vääriin käsiin on suurin 45-54-vuotiaiden ja toisaalta 25-34-vuotiaiden joukossa. Vähiten sitä pelkäävät 65-74-vuotiaat. (Lähde: Verkkopankin ja verkkopankkitunnisteiden käyttö 2015, http://www.finanssiala.fi/materiaalipankki/tutkimukset/Sivut/default.aspx).

Suomalaisia verkkopankkeja pidetään erittäin turvallisina, mutta laakereilla ei ole vara levätä.

Kuinka turvallista on lähettää uusi luottokortti postissa niin, että pankin logo näkyy?
Sain siitä muistutuksen taas tänään, kun Nordean lähettämä pankkikortti kolahti postilaatikkoon. Kortti tuli käyttövalmiina tavallisessa kirjekuoressa, jossa näkyi vielä Nordean logo. Jos varas olisi iskenyt laatikkoon, hän olisi saanut käyttövalmiin kortin kaikkine numeroineen, ja voinut vielä allekirjoittaa sen itse. Edellinen kortti tuli samalla tavalla, mutta uskoin Nordean jo muuttaneen käytäntöään turvallisemmaksi. Ei ollut. Pankissa ei edes kysytty, halusinko kortin kotiin vai tulisinko hakemaan konttorista.

Kortin lähettäminen suoraan kotiin on käyttäjäystävällistä, mutta tietoturvan kannalta kyseenalaista, etenkin kun postilaatikoihin ja postinkantajien kärryihin murtaudutaaan jatkuvasti. Vähintäänkin kortti pitäisi kuitata vastaanotetuksi verkkopankissa ennen kuin sitä voi käyttää.

Lisäys 12.11.2017: Sofort kysyy pankkitunnuksia aivan laillisen maksun yhteydessä. Asiakkaalle tulee yhä vaikeammaksi erottaa lailliset ja laittomat palvelut toisistaan.

13 kommenttia:

Anonyymi kirjoitti...

Täällä Ranskassa uusi pankkikortti tulee samalla tavalla postissa. Mutta se ei ole aktiivinen ennen kuin sillä on tehty yksi salaisen tunnusluvun vaativan toimenpiteen (automaattinosto, maksu kaupassa).

Jari kirjoitti...

On käsittämätöntä, ettei netissä tapahtuville tilisiirroille voi asettaa rajoituksia. Kyselin tätä muutamia vuosia sitten, kun aloitin käyttämään verkkopankkia (ei Nordea). Virkailijan viimeinen vastaus oli, että "pahimmassa tapauksessa pankki kyllä korvaa".

Mutta onko tällä väliä? Olisiko fiksumpaa hajauttaa osa rahoista S-Pankkiin, ja lopettaa nykyisen pankin nettipalvelut. Hajauttaminen on alkaa olla välttämätöntä.

Anonyymi kirjoitti...

Englannissa kaikki pankin kortit ja tiliotteet tulevat "hämäys" kuoressa jossa lukee ihan muuta.

Näin on ollut jo vuosia.

Unknown kirjoitti...

Oliko muuten tarkistettu kuinka pitkällä dementia oli iäkkäällä henkilöllä.
Merkkejä on jo varmasti.
Yksi on se että yrittää peitellä, eli ei ainaakaan itse ota asiaa esille. Päinvastoin

Anonyymi kirjoitti...

Näissä on kaksi puolta. Henkilökohtainen konttorikäynti kaupunkien ulkopuolella asuville on usein kohtuuttoman pitkä (voi olla kymmeniä tai satoja kilometrejä) eli puhelinnumeron vaihtokäytännön käytännön pitäisi olla jotenkin tapauskohtainen. Lisäksi tapaus vaikuttaa käräjäoikeuden asiakirjojen perusteella selvästi siltä, että uhrit ovat antaneet auliisti kaikki maksun luomiseen tarvittavat salaisuudet rikollisille. Jos näin selvässä tapauksessa olisi määrätty pankki hyvittämään vahingot, ennustan että kalastelijat siirtyisivät uuteen bisnesmalliin, missä hankitaan bulvaani, joka tekeytyy kalastelun uhriksi.

Torjuntajärjestelmät ovat toki oma lukunsa. Korttipuolella tuntuvat toimivan turhankin nihilistisesti, mutta silti harva se viikko kuulee tapauksista, joissa tuttujen kortille on ilmestynyt mystisiä ostoja. Voikohan myös maksujen välitysehdoilla olla tämän kanssa jotain tekemistä? Korttimaksun voi ehtojen mukaan pysäyttää, mutta maksun tulee olla tietyssä määräajassa perillä?

Anonyymi kirjoitti...

Tuota kortin postitusta kotia olen itsekin ihmetellyt, tosin nykyään itsellä olisi 60 km hakumatka pankista. Yhteen aikaan Nordea teki niin, että kortti piti aktivoida ennenkuin se oli käyttövalmis. Itselleni kävi kerran tuohon aikaan nolosti, kun menin maksamaan ensimmäistä kertaa kortilla eikä se onnistunutkaan. Kortin saatekirjeessä ei mainittu aktivoinnista. Työkaverini sitten kertoi, että josko se pitäisi aktivoida. Muistaakseni soitto pankkiin hoiti tilanteen. Parasta nykyään olisi, että aktivointi tehtäisiin itse verkkopankissa.
Kyllähän tuo vanhojen ihmisten pankkiasiointi huolettaa, kun kaikki pitäisi hoitaa itse netissä ja ymmärtää vaarat ja mahdollisuudet. Itse, kun on keski-ikäinen, ja hoitanut jo 30 v. työ- ja omat asiat tietokoneella, niin ymmärtää tuskan, jos joutuu vanhoilla päivillä opettelemaan kaiken alusta. Itselläkin on huoli pysyä koko ajan tietotekniikan mukana, kun ei ole lapsia, jotka auttaisivat 20 v. päästä.
Itse ajattelen, että tietotekniikka helpotti pitkälle työ- ja vapaa-aika. Nyt olen muutamana viime vuotena alkanut miettimään, että se on kääntynyt meitä vastaan. Monen työssä tietotekniikka on aiheuttanut paljon ongelmia (esim. apteekit) ja on monenlaista verkkouhkaa, tietojen kalastelua ym. koko ajan.


Anonyymi kirjoitti...

Verkkopankkissa pitäisi olla mahdollisuus rajata myös korttiostit per päivä, kuten nostot, internetkäytön ja laskujen maksun automaatilla pystyy rajaamaan (Nordea). Taitaa tosin noita laskun maksajia automaatilla olla vähemmän. Eli on pelottavaa, kun ei pysty mitenkään rajaamaan kortin käyttöä ennenkuin luottoraja tulee vastaan.

Anonyymi kirjoitti...

Jos mietitään perinteistä kirjautumista verkkopankkiin eli tunnuslukukortilla Nordeassa ja S-pankissa/Osuuspankissa, niin kyllä Nordean kirjautuminen vaikuttaa heikoimmin turvatulta. Nordeassa kirjautumiseen tarvitaan käyttäjätunnus ja tunnusluku, kun taas S-pankissa/Osuuspankissa käyttäjätunnus, salasana ja tunnusluku.
Nordean tunnuslukulaite parantaa tilannetta, jos laitetta ei ole anastettu. Jos on, niin portit ovat auki verkkopankkiin, kun tiedät laitteen käyttäjätunnuksen ja tunnusluvun, jotka ovat aina samat.

Anonyymi kirjoitti...

Tuli mieleen laki ja sen valmistelu. Paljonko pankkien lobbarit ovat aikoinaan vaikuttaneet.
Sitä ei taida saada enää selville.

Monessa kohtaa on Suomen laki kohtuuton iäkkäitä kohtaan. On maita joissa on käsite heikommassa asemassa oleva ja jopa lait. Koskee iäkkäitä, lapsia jne ryhmiä. Suojelee heitä kohtuuttomuuksilta.

https://en.wikipedia.org/wiki/Vulnerable_adult#Legal_protection

Anonyymi kirjoitti...

Iäkäs pariskunta oli luovuttanut viisi eri tunnistautumistietoa kahdella eri kerralla ja yrittänyt tämän jälkeen vielä petkuttaa pankkia. Paljon vähempikin riittää "törkeäksi huolimattomuudeksi". Täysin oikea tuomio.

Anonyymi kirjoitti...

lähtökohtaisesti pankit ovat yrityksiä jotka tekevät rahaa,ei hyväntekijöitä, jos historiaa katsoo mm. rahoituskriisejä niin harvoin pankit ovat vastuussa mistään, asiakkaat lähtökohtaisesti luovuttavat rahat pankin käyttöön ja jos pankki sattuu ne tuhlaamaan tai kadottamaan niin syytä katsoa peiliin, pankit koskaan mitään korvannut, ihme fantasia maailmassa ihmiset elävät.Pankkien tietoturvat ja järjestelmät pyörivät vielä aatamiaikaisilla järjestelmillä, ainoastaan luottokortti yhtiöistä voi kuvitella saavansa jotain korvauksia. Jos tunnuksia luovuttaa eteenpäin niin sellaiselta henkilöltä ennemmin tai myöhemmin tullaan rahat viemään viimeistään siellä pankin "sijoitus" neuvonnassa.

KohtoKohto kirjoitti...

Jutusta ei selviä miten rahat on käytännössä pankilta saatu. Onko tehty rouvan nimissä tilisiirto toiselle tilille ja nostettu rahat käteisellä sieltä vai onko rahat siirretty ulkomaiselle pankkitilille.

Mielestäni tässä tapauksessa on kuitenkin selvää, ettei pankki voi olla enää tallaisesta huolimattomuudesta vastuussa. Rouvahan oli jutun mukaan vielä salannut mokailunsa alussa ja vasta myöhemmin sen myöntänyt.

Mikäli pankki joutuisi aina korvaamaan kaiken, siirtyisivät huijarit uuteen bisnesmalliin, jossa etsittäisiin esimerkiksi iäkäs ihminen, joka tarkoituksella luovuttaa pankkitunnuksensa huijarille. Sen jälkeen vain rahat tililtä ja pankille valittamaan asiasta. Pankki korvaa hukkuneet rahat ja iäkäs henkilö saa vielä esimerkiksi käteisellä pienen palkkion huijauksesta.

Uuden pankkikortin lähettäminen postitse vieläpä pankin kuoressa on ehkä pieni tietoturvariski. Näin kortti tulee myös allekirjoittaneelle. Mielestäni kuitenkin oma korttini pitää ensimmäisellä käyttökerralla aktivoida PIN-koodilla ennen kuin se toimii. Näin ollen korttia ei voi noin vain käyttää kuka vain. Tietysti kortin tiedot, numeron jne. näkee ja niillä voi tilata verkkokaupoista tavaraa, mutta toisaalta nämä menevät luottokorttiyhtiön piikkiin. Mitkään isot tilaukset tuskin onnistuisivatkaan.

Anonyymi kirjoitti...

N-pankin tekstiviestivahvistus on kökkö, oli ainakin viimeksi kun siihen jouduin vastaamaan.
Tulee viesti: "maksu xxx vastaa A" tai suunnilleen näin. Pyydetty vastaus on aina ollut A.

On pankkeja, jotka ilmoittava, mikä tunnusluku pitää kuitata maksutapahtumaan. Tällöin onkin oltava koko tunnuslukutaulukko käytettävissä, karsii siis osan "man in the middle" rosvouksista.

N-pankissa samoin kuin kai muissakaan ei voi asettaa tilikohtaisia varmistupuhelinnumeroita. Semmoinen voisi olla kätevä. Kotikonttorissa oma puhelimensa ja matkoilla mukana vain käyttelytiliin liitetty puhelinnumero. Kysyin tätä kerran N-pankin neuvonnasta mutta on kuulemma mahdotonta.