Huijarien lähettämät tekstiviestit ja sähköpostit houkuttelevat liki päivittäin kansalaisia kirjautumaan verottajan, Postin, Omakannan tai Suomi.fi-sivun palveluihin. Tässä suomalaisella digiajalla on rakenteellinen ongelma: käytämme tunnistautumiseen pankin tunnuksia, jotka mahdollistavat rikolliselle pääsyn tilille. Uutiset kertovat uhreista, jotka ovat menettäneet kaikki tilillä olevat rahat.
Emme tiedä, kuinka laajasta ongelmasta on kyse, sillä pankit eivät oma-aloitteisesti raportoi onnistuneista rikoksista. Ne tulevat julki lähinnä oikeudenkäyntien kautta. Harva kuitenkaan lähtee käräjöimään pankkiaan vastaan, sillä pankilla on juridinen ja tiedollinen ylivoima. Häviämien voi tulla kalliiksi. Vuonna 2017 juttunsa Nordeaa vastaan hävinneet vanhukset tuomittiin maksamaan 37 000 euroa oikeudenkäyntikuluja.
Finanssineuvonta FINE arvioi asiakkaiden ja pankkien välisiä riitoja ja yleensä pankit noudattavat sen suosituksia korvauksista. Pankki voidaan katsoa maksajaksi, mikäli asiakas on toiminut huolellisesti. Törkeän huolimaton asiakas saa kärsiä itse seuraukset.
Pankin tekniset virheet ovat oma, harvinainen lukunsa (paitsi S-pankin laaja tapaus kesältä 2022). Yleensä huijaukset onnistuvat, koska asiakas ei lue saamaansa viestiä huolellisesti, ei ymmärrä sen merkitystä tai tarkista selaimen osoiterivillä näkyvää tekstiä. Vika on siis asiakkaan päässä. Mutta asia ei ole näin yksinkertainen. Pankit ovat tehneet kaikkensa, jotta asiakkaat siirtyisivät sähköiseen itsepalveluun. Vaihtoehtoista tapaa ei useinkaan ole.
Etenkään vanhemmilta ihmisiltä ei voi edellyttää samaa tarkkaavaisuutta kuin aktiiviväestöltä. Koska pankit ovat avainasemassa on kysyttävä, ovatko ne varmasti tehneet kaikkensa palvelujen helppokäyttöisyyden ja turvallisuuden eteen? Miten on mahdollista, että eri tilien saldot voi yhdistää ja siirtää ulos pankista? Pienillä muutoksilla turvallisuutta voisi parantaa, mutta pankit eivät ole toteuttaneet niitä.
Kuva tilien tyhjennyksistä syntyy nyt median uutisista ja voi olla vääristynyt. Ehkä uhreja on niin vähän, ettei pankkien kannata tehdä ongelmalle mitään. Uutisointi laskee kuitenkin asiakkaiden luottamusta ja myös se tulee kalliiksi. Pankit pitäisi velvoittaa raportoimaan tapahtumista oma-aloitteisesti.
Pankit eivät liioin kerro, miten tilien tyhjentämisessä on onnistuttu. Pidetään turvallisuusriskinä, jos tapahtumia lähdetään avaamaan julkisuuteen. Kuitenkin se auttaisi asiakkaita suojautumaan nykyistä paremmin ja kertoisi viranomaisille, tarvitseeko sääntelyä kiristää. Yksi yleinen kikka tuntuu olevan se, että Veron tai Omakannan varjolla saatua tunnuslukua käytetään mobiilipankin asentamiseen. Sen jälkeen mikään perinteinen suojakeino tai lisävarmistukset eivät auta, koska rosvo hallitsee ohjelmaa.
Viranomaisten omakin toiminta on ollut hapuilevaa. Kun verottaja avasi henkilökohtaisen Omavero-palvelun, sitä varten ei varattu fi-osoitetta, vaan asiakkaiden piti käyttää osoitetta vero.fi/omavero. Onneksi omavero.fi rekisteröinyt henkilö oli kujeilija, joka ei yrittänytkään käyttää tilaisuutta väärin.
On helppo kritisoida huijauksen uhreja huolimattomuudesta, mutta itse uskon, että kuka tahansa voi mennä halpaan, jos viesti tulee juuri sopivalla hetkellä tai joutuu jostain syystä toimimaan kiireessä. Ja vaikka tämän päivän palvelut tuntuvat aktiiviväestöstä selkeiltä, miten uskot pärjääväsi sitten, kun olet 80-vuotias ja pankkipalvelut ovat aivan erilaisia kuin nyt?
Pankit velvoittavat asiakkaita huolellisuuteen, mutta niiden omat palvelut muuttuvat koko ajan. Nordean sivulla oli syksyllä kirjoitusvirhe, joka herätti epäilyksen huijauksesta.
Pahinta ovat kuitenkin maksuvälittäjät, jotka tulevat asiakkaan ja myyjän väliin. Tunnuksia kysytään moneen kertaan, kielikin saattaa vaihtua. Kokenutkaan käyttäjä ei voi olla varma, että on laillisessa palvelussa.
Finnairin lentolipun maksu muuttuu välillä englanniksi. Onko tämä huijausta? |
Aina yhtä hämmentävää on nähdä samassa ikkunassa sekä Nordea että OP tai Telia. Vaikka maksu menee Nordean tililtä ja sen tunnuksilla, ikkunassa lukee toisenkin pankin nimi.
Nordea vai Telia? |
Ilmeisesti tilanne on aidosti paha, sillä verottaja kertoo huijausriskin räjähtäneen käsiin. Näin ei voi jatkua. Viranomaisasiointia varten pitää hankkia mobiilivarmenne, eikä tunnistusta saisi tehdä pankkitunnuksilla. Koska mobiilivarmenne toimii kaikilla puhelimilla, jopa vanhoilla älyttömillä nokialaisilla, valtio voisi suorastaan velvoittaa varmenteen hankkimiseen ja tukea sitä.
Suomessa sähköinen tunnistaminen jäi markkinavoimille, jolloin päätökset teki se, jolla oli eniten voimaa (=pankit). Tässä asiassa olisi kaivattu sääntelyä ja valtion ohjausta.
Seuraava kirjoitus: Ruotsissa Nordealla tili, jossa viive-ominaisuus.
9 kommenttia:
Todellakin! Kiinnostuin ja kirjauduin N-verkkopankkiin. Yritin löytää tiedon, mille puhelinnumerolle ja laitteelle minulla on tunnistautumissovellus tai verkkopankkiapplikaatio (tai miksi sitä nyt nimitetäänkään) asennettuna. En löytänyt tietoa. En viitsi tarkistaa muista pankeista joissa minulla on tili. Oletan että tilanne on sama.
Asiakas ei siis pysty tarkistamaan onko rosvo varastanut tällaisen identiteetin.
Blogisti käänsi kiven jonka alta löytyy enemmänkin ötököitä ja bugeja.
@Anonyymi:
Ainakin Osuuspankilla saa siistin listan laitteista. Verkkopankin puolelta oikean ylänurkan tunnusvalikosta "Tunnusten hallinta" => Käytössäsi olevat mobiiliavaimet. Sieltä näkyy oikein nätisti kaikki laitteeni.
Omat 70-vuotiaat vanhempani hankkivat 10 eurolla Amazonista henkilökortin lukijat ja HST-kortit. Hyvin on toiminut, eikä tartte pankkitunnuksia. Käyttävät melkein enemmän julkishallinnon palveluita kuin pankkeja.
Tämä on niin totta. Ehdottomasti pankkitunnukset pitäisi olla vain pankkipalveluihin. Omakannastakin puhutaan koko ajan vaikka virallinen sivu on kanta.fi:n ja sen alta löytyy omakanta. Kuka on enää varma, mikä on minkäkin sivuston oikea osoite. Mistäpä muualta sen tarkistaa kuin netistä ja siellä voi olla huijaussivusto. Kierre on valmis.
ja kaikkein karmeinta on että osa pankeista ulkoistanut aspan ulkomaille... onhan kalastelut lisääntynyt räjähdysmäisesti kun asiakastietoja myydään basaareissa ulkomailla.
"Aina yhtä hämmentävää on nähdä samassa ikkunassa sekä Nordea että OP. Vaikka maksu menee Nordean tililtä, sen välittää OP."
Tämä todellakin!
Ja sen voin myös sanoa, että vaikka olen vasta nuori kuusikymppinen, niin nyt jo kylläsyttävät kaikki päivitykset, applikaatiot ja muu digihyppely, jota ns. "kehitys" pakottaa ihan jokaisen suorittamaan. En ole halunnut yhtään omapalvelua, mutta kuinkahan monta niitäkin on minulle pakotettu. Kun haluaisi jotakin kysyä, niin netissä on vain jokin chat, josta saa vastauksia asioihin, joita ei kysynyt, muttei siihen mitä kysyi. Puhelinnumeroa, johon voisi soittaa on melkein mahdotonta löytää. Elisa ym puhelinpalvelut pahimpia tässä, samoin pankit. Aktia on tosin parantanut palveluaan huomattavasti viime aikoina. Olen päässyt puhumaan ihan ihmisen kanssa, joka osasi sanoa asiat ymmärrettävästi.
Mobiilivarmenne tuo turvallisuutta! Telialla on ilmainen, muilla ei.
"Yksikään teksti ei vastaa kyselyä YubiKey"
Tällä foorumilla ei ole koskaan jupistu YubiKey:sta?
Vähän alkuperäisen asian vierestä tässä.
Vuosia sitten seurasin verkkopankkini tapahtumia ja noin viitisen kertaa tiliäni veloitettiin ostoksesta jota en ollut tehnyt. Haamuveloitus oli tehty saman kaupan tapahtumana missä juuri olin käynyt ruokaostoksilla. Tosin kaikki havaitsemani haamuveloitukset korjattiin, mutta tuossa se juuri on, että kun pankki oli asian selvittänyt, niin mihinkään historiaan ei jäänyt pysyvää merkintää haamuveloituksesta. Nykyisin en ole enää havainnut haamuveloituksia tililtäni. Kuinka paljon tuollaista tapahtui, jääkin rvailujen varaan.
Viime viikolla kuulin tapauksesta, jossa asiakkaan tililtä oli veloitettu monta kertaa isoja summia Hesburgerin nimissä. Jokin tekninen vika? Kannattaa tosiaan seurata tilitapahtumia eikä luottaa pankkien automatiikkaan.
Lähetä kommentti