maanantai 11. syyskuuta 2023

Lisää hitautta verkkopankkiin (kolumni)

Kolumnini elokuun Tivi-lehdessä:

Elokuussa 21-vuotias mies tuomittiin viideksi vuodeksi vankeuteen S-pankin asiakkaisiin kohdistetuista miljoonahuijauksista. Vuosi sitten samassa pankissa oli neljä kuukautta kestänyt tekninen häiriö, joka avasi pääsyn väärille tileille. Äskettäin Sisä-Suomen poliisi varoitti kansalaisia viesteistä, joilla oli huijattu pankin asiakkailta kymmeniä tuhansia euroja yhden vuorokauden aikana.

Uutisointi yllättää, sillä Suomea on pidetty turvallisen pankkiasioinnin mallimaana. Entiselle ylpeydenaiheelle on käynyt kuten Pisa-tuloksille: asema ei säily ilman jatkuvaa kehitystyötä.

Verkkopankki on edelleen hyvin turvallinen. Viime vuoden 600 miljoonasta maksutapahtumasta rikollisia oli vain 0,003 promillea. Silti uutisointi rapauttaa asiakkaiden luottamusta ja käsitystä muunkin verkkoasioinnin turvallisuudesta. Jotain pitäisi tehdä.

Tähän asti nähdyt huijaukset olisi voitu estää, jos pankeilla olisi riittävästi kiinnostusta asiaan. Rahanpesun kitkeminen, mobiilipalvelut ja kiristyvä sääntely ovat pitäneet pankkien it-osastot niin kiireisinä, että turvallisuuden kehittäminen on jäänyt vähemmälle.

Pankeissa tekoäly seuraa koko ajan tilitapahtumia. Jos tilille tulee tunnistamaton rahalähetys tai käteistalletus, pankki penää selitystä rahojen alkuperästä, koska sääntely vaatii sitä.

Lähtevien rahojen valvonta on paljon vähäisempää. Huijauksen kohteeksi joutunut uhri on omillaan. Pankin mielestä hän on toiminut huolimattomasti, eikä menetyksiä useinkaan korvata.

Verkkopankin ongelmat eivät johdu tekniikasta vaan ihmisistä. Esimerkiksi isoihin rahansiirtoihin pyydettävät lisävarmistukset ovat tehottomia, koska palveluun päässyt rosvo pystyy kuittaamaan ne omistajan puolesta.

Pankkitunnusten käyttö viranomaispalveluihin kirjautumiseen on suomalainen erikoisuus. Moni uhri on luullut kirjautuvansa Omakantaan tai verottajalle, vaikka onkin tullut antaneeksi huijarille pääsyn tililleen.

Kirjautumisikkunat pitäisi erottaa selkeästi pankin omista maksuikkunoista. Viime vuosina tilanne on vain pahentunut, kun erilaiset maksunvälittäjät vaativat oman kirjautumisensa ja siinä viidakossa kokenutkin käyttäjä voi mennä vipuun.

Monissa pankkipalveluissa kielen voi vaihtaa englanniksi. Ei tehdä tätäkään liian helpoksi ulkomaiselle huijarille vaan sidotaan kieliasetus tiliin ja tehdään siitä pysyvä. Mummolla ei ole tarvetta vaihtaa yhtäkkiä kieltä englanniksi.

Huijauksissa nopeus on kaikki kaikessa. Usein uhri huomaa virheensä heti, mutta iltaisin ja viikonloppuisin pankista ei saa ketään kiinni. Pankkien pitäisi perustaa vaikka yhteinen 24/7-hätänumero, johon soittamalla tilin saisi hetkeksi suljettua ja rikolliset siirrot pysäytettyä.

Suurin osa meistä ei siirrä rahaa suoraan ulkomaille eikä tyhjennä tiliään uusille kotimaisille tileille. Tekoälyn olisi helppo havaita tällaiset anomaliat.

Miksei ulkomaansiirtoja voi estää tai rajoittaa niitä vain tunnettuihin verkkokauppoihin? Miten on mahdollista, että aiemmin vain kotimaisia laskuja maksaneen asiakkaan tili voidaan tyhjentää kryptovaluuttapörssiin, mistä rahoja on mahdotonta palauttaa?

Vähintäänkin siirroissa ulkomaisille tileille, joille ei aiemmin ole maksettu mitään, pitäisi olla 48 tunnin viive. Se antaisi uhrille aikaa reagoida.

Ahkerat nettiostajat eivät tarvitse lisäsuojauksia. Iäkkäämmät ja peruskansalaiset tarvitsevat. Siksi rajoitusten pitäisi olla valinnaisia mutta niin, että kerran päälle kytkettynä niiden poistaminen vaatii vähintään vuorokauden odottelun.

It-maailma on tottunut kehittämään palveluista yhä nopeampia ja monipuolisempia. Pankit eivät halua rajoittaa asiakkaitaan tai hidastaa maksuja, koska se koetaan huonoksi palveluksi ja tukipuheluiden määrän pelätään lisääntyvän.

Muutetaan siis ajattelua ja markkinoidaan vapaaehtoisia rajoituksia positiivisena asiana. Moni ottaisi mielellään vanhempiensa tilin suojaksi uusia turvaominaisuuksia. Niistä voisi jopa veloittaa lisähintaa.

---

Samana päivänä kun yllä oleva kolumni ilmestyi lehdessä, Satakunnan käräjäoikeus antoi tuomion jutussa, jossa Jarmo ja Ritva Sivula menettivät verkkohuijarille 44 900 euroa. Tapauksen paljastuttua pankki onnistui saamaan osan rahoista takaisin, jolloin lopulliseksi menetykseksi jäi 25 950 euroa. Hurja summa kenelle tahansa. 

Uhri oli kirjoittanut Bing-hakukoneeseen Omakanta, mutta joutunut valesivulle. Sivu kysyi tunnuksia ja siirsi uhrin lopulta oikeaan paikkaan Omakannassa, missä näkyivät halutut laboratoriotulokset. Sitä ennen uhrin puhelimeen oli tullut pankista varmistuskysely, jonka uhri myönsi lukeneensa huolimattomasti. Saatuaan puhelimeen lähetetyn koodin huijari onnistui asentamaan verkkopankkiohjelman omaan puhelimeensa ja sai näin täyden hallinnan tiliin. 

Tuomion mukaan uhrin toiminta oli huolimatonta, mutta ei törkeän varomatonta. Pankin lähettämä ilmoitus ei ollut kovin selkeä, siinä mm. varoitettiin, että asiakkaan tiedot saattavat olla vaarassa. Ilmoituksen olisi pitänyt sanoa suoraan, että uhrin rahat saattava olla vaarassa, jos hän ei ole itse pyytänyt mobiilipankin asennusta. Ei ollut, hän käytti verkkopankki vain tietokoneen selaimella.

Jos Satakunnan käräjäoikeuden päätös saa lainvoiman (eli pankki ei hae valituslupaa hovioikeudesta), sillä tulee olemaan ohjaava vaikutus tuleviin kiistoihin. Rajanveto on kieltämättä vaikeaa ja tehdään aina tapauskohtaisesti. Miten paljon asiakkaalta voidaan edellyttää omaa varovaisuutta, kun pankki on kuitenkin tiedollisesti ylivoimaisessa asemassa ja voisi parantaa verkkopankin turvallisuutta mm. yllä kuvatuilla nikseillä. Ovatko pankin lähettämät varoitukset varmasti riittävän selkeitä?

Jäämme kiinnostuneena odottamaan jatkoa ja seuraavia kiistoja. Tähän asti harva asiakas on halunnut lähteä kiistämään FINEn suositusta ja käräjöimään suurta pankkia vastaan. FINE on suosituksissaan edellyttänyt myös asiakkaalta tarkkaavaisuutta ja osaamista.

14 kommenttia:

Markus kirjoitti...

Ja kaikkea parannusta odotellessa, Suomessa on käytössä se toinenkin varmennustapa, jonka voi sille mummolle asentaa.

Se on mobiilivarmenne.

Sillon ei tarvitse seikkailla pankin sivuilla ollenkaan. Mobiilivarmenteesta myöskään nuo rosvot eivät tunnu tietävän yhtään mitään. Se suurin suojaus siinä kun liittyy nimenomaan siihen, että se ei liity rahan siirtoihin yhtään millään tavalla vaan sillä voi nimenomaan käyttää ihan kaikkea muuta.

Mutta sekin on kyllä totta, että nämä identifiointiasiat pitäisi tässä pohjolan japanissa viimeinkin saada kuntoon. Ruotsissakin on joka kodissa oma "pin-pääte", mihin pitää henkilökortti lykätä fyysisesti. Nordealla on vähän vastaavantyylinen ratkaisu, muovinen elektroninen avainlaite. Se on kuitenkin niin kökkö käyttöliittymältään, että ei voi suositella mummojen käyttöön. Eikä Nordea itse asiassa asiaa kovin paljoa edes mainosta. Se maksaa heille enemmän kuin mobiili-appsi tunnistautuminen. Mutta tämäkin on olemassa. Toisekseen, tämäkin on vain nordealla.

Joten mobiilivarmenne toimii joka liittymässä ja nykyisin jopa eSimillä viimeinkin (ainakin telialla ja iphonella). Telialla se on vieläpä jopa maksuton. Muilla sen voi saada maksuttomaksi liittymäkilpailutuksen yhteydessä.

Käyttö on helppoa. Tunnistautumislistasta valitsee vain sen mobiilivarmenteen. Laittaa puhelinnumeronsa kirjotuskenttään (usein automaattinen), sitten puhelimella pin-koodi sisään ja avot - olet palvelussa.

Heikki kirjoitti...

Tuo mobiilihomma vaikuttaa hyvältä. Mutta aion siirtyä chromeen. Ei kiinnosta enää windows. Se riittää. Halvempi? Turvallisempi. Helpompi?

Anonyymi kirjoitti...

Muutamia vuosia olin alalla ja ihmettelen miten vähän näitä rikoksia tapahtuu, koska alalla tietoturvaan panostus on ihan olematonta ja hyvänä esimerkkinä nimeltä mainitsemattoman "pankin" tukipalvelut ulkomailla (huom EU:n ulkopuolella) sellaisten henkilöiden käsissä joilla ei ole pätkän vertaa tätä suomalaista "moraalia", en yhtään ihmettelisi jos pankin asiakastietokanta olisi joku kaunis päivä myynnissä verkossa.. Case V.....O ei jää kyllä ainoaksi, valitettavasti. Pankit ovat nykyisin vain niitä tallelokeroita siellä aseman seinällä, jos tallelokero tyhjennetään niin pankki ei kyllä ole "korvaamassa" lokeron sisältöä muutakuin pakon edessä.

Teemu kirjoitti...

Olen ihmetellyt myös miksei näitä eri tahojen pankkitunnuksilla kirjautumisia voida siirtää kokonaan vaikka suomi.fi:n alle. Sotealueet ja muut lähettelee asiakirjoja ja muita tietoja eri firmojen palveluportaalien kautta ja niiden osoitteet on yhtä sekasotkua (esim. wfcloudfi.service.tietoevry.com/WE.FCMyPage/?domain=&uiculture-fi-FI&idpmethod=&actor=Actor_Client). Tämä herättää pelkoja kaikkia linkkejä kohtaan eikä tuosta voi edes suoraan päätellä onko se todellinen vai huijaus.

Tietenkin se maksaa jotain lisää mutta enemmän rahat hukkaan menevät sellaisessa palvelussa jota ei uskalleta käyttää.

Anonyymi kirjoitti...

@Heikki

Tuo mobiilihomma vaikuttaa hyvältä. Mutta aion siirtyä chromeen. Ei kiinnosta enää windows. Se riittää. Halvempi? Turvallisempi. Helpompi?

No miten sen nyt ottaa, Chrome on jo pitkään ollut niin iso ja monimutkainen, että bugeja riittää varsin hyvin siinäkin, eilen viimeksi sitä piti korjata.

Google toki yrittää kaikkensa, ettei kukaan muu kuin se itse kykene urkkimaan käyttäjiä, se sen ensisijainen motivaatio on selaimen kehittäjänä ja siksi se nimenomaan panostaa tietoturvaan, että sen monopoli kerättyyn dataan säilyisi ja se voisi myydä siitä jalostettua tietoa mm. mainostajille.

Zarr kirjoitti...

Pankkien turvallisuudesta tosiaan ihmettelen sitä että yksikään suomalainen pankki ei tarjoa vaikkapa virtuaaliluottokortteja. Citibank, HSBC ja monet muut kansainväliset pankit niitä antavat. Voit siis tarvittaessa "luoda" luottokortteja vaikka joka transaktiota varten erikseen.

Itselläni oli jonkun palvelun kautta vuotanut Visan numero ja sille ilmaantui sitten 4000 USD edestä veloituksia. Toki nuo sai kiistettyä ja hommalla lopulta onnellinen loppu, mutta jos olisin voinut luoda n kpl rinnakkaiskortteja vain nettikauppoja varten, joille antaisi valtuutusta vain kun kyseistä palvelua käyttää, ei moista tapahtuisi. Fyysistä korttia ja sen numeroa käyttäisi vain maksupäätteellä.

Anonyymi kirjoitti...

Tarkoittaakohan Heikki nyt, että on siirtymässä Chromebookiin vai selaimeen. Nehän ovat vähän eri asioita, vaikka Chrome-selain toki löytyy myös Chromebookista. Ensiksi mainittuhan on tietokone, joka pyörittää Chrome OS-käyttistä ja viimeksi mainittu kaikkien tuntema www-selain.

Anonyymi kirjoitti...

Mobiilivarmenne on useimmilla pankeilla maksullinen, enkä viitsi maksaa siitä. Ongelma on ne paperilistat, joita käyttävät ne, jotka eivät käytä mobiilipankkia. S-pankin mobiilipankilla tunnistautuminen on vielä helpompaa, sen kun lukee QR-koodin kameralla.

Anonyymi kirjoitti...

kertakäyttöisiä koodeja paperilla ei ole pakko käyttää kuten ei myöskään mobiilipankki- tai tunnistus sovellusta

esim. DanskeBank voi käyttää myös tunnuslukulaitetta

https://danskebank.fi/sinulle/paivittaispalvelut/digitaaliset-pankkipalvelut/tunnuslukulaite

Anonyymi kirjoitti...

"Purkkeja" käytettiin myös pankkimaailmassa. Asiakas pystyi ottamaan modeemiyhteyden purkkiin, maksamaan laskujaan ja tulostamaan matriisikirjoittimella omia tilitietojaan. Esimerkiksi Suomen Yhdyspankilla (SYP) oli oma purkki 1980-luvulla.
-- Wikipedia®

Tilulilulii 300 bittiä sekunnissa (1200!? Ooh tätä vauhdin hurmaa ;-). PROCOMM, Kermit, jne. .

Petteri Järvinen kirjoitti...

KOPilla oli myös modeemilla käytettävä DOS-pankkiohjelma, sitä käytin itsekin 1980-luvulla.

MH kirjoitti...

Pieni apu voisi olla, jos asiakas voisi määrittää tilisiirrolle ylärajan. Ei voi. Ylärajan saisi pois vaikka 24h:n kuluttua. Yläraja voisi olla aika alhainenkin, vaikka 5000 euroa.

Aika harvoin uutisoinnissa avataan tarkalla tasolla, miten pankkihuijaus oikein tehdään. Luuleeko lehdistö, että rikolliset saisivat vinkkejä huijauksiin? Eiköhän nämä keinot ole pankkihuijareilla olleet jo pitkään. Eniten tietojen paljastamisesta hyötyisivät tavalliset ihmiset. Osaisivat kunnolla varoa huijareita. Yleensä ei kerrota sitäkään, että onko huijatulla ollut käytössä tavallinen paperinen tunnuslukulista.

Petteri Järvinen kirjoitti...

Pelkkä yläraja ei riitä, koska kotimaiset huijarit käyttävät muuleja ja jakavat tilin rahat useiksi siirroksi eri osoitteisiin. Pitäisi olla päiväkohtainen yläraja, jonka nostaminen vaatisi 1-2 vrk odottelun.

Anonyymi kirjoitti...

"S-pankin mobiilipankilla tunnistautuminen on vielä helpompaa,"

Jos ei osaa AINA ja IHAN OIKEASTI varoa huijauksia, kannattaa jättää S-mobiili asentamatta. Aivan, S-mobiilin avulla (ilman sähköpostia/tekstiviestejä/hämärälinkkejä) voi päästä tekemään pahojaan tai ainakin urkkimaan toisten tietoja.

"Harri Hakkeri" menee vaikkapa kanta.fi palveluun ja valitsee tunnistautumistavaksi "S-pankki".

Seuraavaksi siinä kysytään asiakasnumeroa. Harri laittaa siihen satunnaisen asiakasnumeron, vaikkapa 123456.

Sitten jäädään odottelemaan, että joku asiakasnumeron 123456 omaava "Tauno Tallaaja" saa S-mobiilin kautta tapahtuman hyväksymispyynnön.

Jos Tauno on tarpeeksi tyhmä tai varomaton (kosketusnäytön riskit), hän vahingossa hyväksyy sen. Silloin Harrin selain jatkaa matkaansa ja pamauttaa Taunon kantatiedot Harrin ruudulle.

Jos Tauno on tarkka ja hylkää pyynnön, voi Harri laittaa seuraavan asiakasnumeron 98765432 ja odottaa että "Varpu Varomaton" menee lankaan ja hyväksyy yrityksen.

Hakkereilla riittää aikaa ja intoa uhrien hakuun. Niin, ja kai tuohon jonkin skriptin voi rakentaa, joka silmukkana pyörittää kaikki asiakasnumerot läpi ja kilahtaa, jos uhri iskee hyväksy-nappia tai tunnistautuu sormenjäljellä.


EPÄVARMAN MOBIILIKÄYTTÄJÄN LAITTEELLE EI PIDÄ ASENTAA TURHIA SOVELLUKSIA!

Kosketusnäyttöinen laite on iso riski vapiseville käsille. Täysin siitä riippumatta, mistä syystä ne vapisevat.