Digitaalisen pankkirosvon iskiessä pankit vetoavat asiakkaan törkeään huolimattomuuteen. Pitäisi aina noudattaa tietoturvan yleisiä ohjeita, jotka mm. kieltävät klikkaamasta sähköpostilla tulevia linkkejä ja varsinkin kirjautumasta niiden perusteella palveluihin.
Mutta mitä tehdä, kun palvelut itse rikkovat ohjeita vastaan?
 |
| DNA:n sähköposti kehottaa kirjautumaan ja tunnistautumaan |
Huolestunut käyttäjä lähetti ruutukaappauksen DNA:lta aiemmin syksyllä saamastaan tiedotteesta. Tiedote kertoi webmail-palveluun tulevista muutoksista, jotka vaativat kaikkia asiakkaita kirjautumaan uudelleen. Ilman kirjautumista sähköposti uhkasi lakata toimimasta.
Sähköpostissa oli painike "Tunnistaudu tästä", jolla piti tehdä juuri se kielletty asia: kirjautua linkin perusteella. Kuulin, että DNA on saanut paljon huolestuneita asiakaskyselyitä sähköpostistaan, mikä kertoo ohjeiden menneen hyvin perille.
Myös digitaalisesti allekirjoitettavat sopimukset tulevat sähköpostilla, jolloin ne pitää hyväksyä klikkaamalla. Niin ikään olen nähnyt vakuutusyhtiön lähettämän tekstiviestin, jossa pyydettiin klikkaamaan mukana ollutta linkkiä ja menemään palveluun. Ei näitä pysty välttämään.
Säännöt ovat hyviä, mutta niistä on aina poikkeuksia. Ei ole kansalaisen tietoturvallinen digielämä helppoa, ei.
Sain eilen puhelun kansalaiselta, joka oli hämmentynyt mobiilivarmenteesta. Hänellä (kuten monella muullakin) oli käsitys, että mobiilivarmenne kannattaa hankkia, koska sillä ei voi kirjautua verkkopankkiin.
Hän oli kuitenkin huomannut, että ainakin Norwegian Bank, Alisa Pankki ja joukko muita pieniä pankkia käyttää yleistä Signicatin kirjautumissivua, jossa on perinteisten pankkien lisäksi myös mobiilivarmenne. Mobiilivarmenteella pääsee sittenkin pankkeihin!
.png) |
| Norwegian pankkiin mobiilivarmenteella. |
En tiedä, onko joku oikeasti luvannut, ettei mobiilivarmenteella voi kirjautua pankkiin. Kyse on yhdestä vahvan tunnistuksen muodosta, jota myydään palveluna yrityksille. Toistaiseksi isot pankit eivät ole halunneet tukea mobiilivarmennetta, vaan ne suosivat mieluummin omaa järjestelmäänsä. Mobiilivarmenne on jäänyt lähinnä viranomaispalveluihin.
Mobiilivarmenteen turvallisuutta parantava vaikutus perustuu siihen, ettei käyttäjä kirjaudu vahingossa (asiaa ymmärtämättä) viranomaispalvelun sijaan verkkopankkiinsa. Perinteisissä pankkitunnuksissa kirjautuminen perustuu pankin asiakasnumeroon, jolloin esimerkiksi valesivun kautta Verottajalle pyrkivä kansalainen tuleekin vahingossa avanneeksi pankkiyhteyden.
Mobiilivarmenteessa tällaista vaaraa ei ole, koska siinä on vain PIN-koodi, joka ei lähde puhelimesta mihinkään. Tunnistaminen yksilöi henkilön SATUn perusteella ja varmistaa henkilöllisyyden, mutta siinä ei ole mukana pankin asiakasnumeroa. Tältä osin mobiilivarmenne on turvallisempi, vaikka sitä käytettäisiinkin pankkiin kirjautumisessa.
Lisäksi yksittäinen kirjautuminen, tapahtui se tahallaan tai vahingossa, ei koskaan riitä tilin tyhjentämiseen. Pankkitunnuksia ei voi "kaapata" kuten salasanaa. Asiakkaan omien tilien väliset siirrot eivät välttämättä vaadi tunnistusta, mutta siirrot ulos pankista on aina vahvistettava erikseen.
Tietoturvan yleisohjeet ovat hyviä ja tarpeellisia, mutta valitettavasti aina niitä ei voi noudattaa. Siksi on mahdotonta sanoa, että jokin yleisohjeiden vastainen teko olisi automaattisesti törkeää huolimattomuutta.
5 kommenttia:
Sähköpostiviestien mukana tulevat linkit ovatkin varsin kinkkinen ongelma. Tilannetta parantaisi, jos sähköpostiviestistä näkisi luotettavalta tavalla, miltä taholta se on tullut. Jos voisi todentaa, että viesti todella on pankilta, operaattorilta tai viranomaiselta, niin sen sisältöön voisi luottaa. Toinen ratkaisumalli on, että sähköpostissa olevaa linkkiä painaessa avautuisi ensin ruutu, jossa kerrotaan, mikä taho hallitsee linkin kohteena olevaa sivua. Näin voisi varmistaa, että linkki todella on operaattorin palveluun. Toki tämä haittaa käytettävyyttä, kun jokaista linkkiä painaessa pitää ensin tarkastaa sivuston tiedot. Jälkimmäiseen teknologia on jo olemassa, eli TLS-yhteyden sertifikaatit.
Molempiin on ratkaisu, paremmat sähköpostiohjelmat linkkeihin ja sähköpostien allekirjoittaminen. S/MIME ja sähköpostin allekirjoittaminen on ollut mahdollista kolmisenkymmentä vuotta. Tasan sama sertifikaatti joka kertoo että olet osuuspankin weppisivulla voisi olla myös sähköpostissa mukana. Kaikki sähköpostiohjelmat ja -palvelut tukevat näitä nykyään. Yksittäisellä ihmisellä voi olla hankalaa saada certtiä, mutta organisaatioille ei mitään ongelmaa.
Linkkien obfuskoinnin suhteen taas pitäisi vain tehdä selkeämmäksi mihin on menossa klikatessa. Käytän edelleen sähköpostiohjelmanani (al)pinea, ja yksi ominaisuus on juuri tämä.
Esimerkkinä, kävin taannoin Tallinnassa. Vahvistussähköposti näkyy Alpinessa näin. Alla olevassa kohdassa teksti "Tallink Spa & Conference" on klikattava linkki. Alpine lisää hakasulkeissa linkin perään mihin linkki oikeasti vie.
-----
Kiitos että valitsitte yöpymispaikaksenne Tallink Spa & Conference
[hotels.tallink.com] hotellin.
----
Toinen kohta samaa viestiä. Teksti TÄÄLTÄ on linkki. Mutta tämä ei viekään Tallinkin sivuille!
----
Pysäköintialueen portti ei avaudu
automaattisesti poistuessasi, jos pysäköintimaksua ei ole
suoritettu. Lisätietoja löytyy TÄÄLTÄ [res.cloudinary.com]
----
Ei ole vaikeaa, kun jo 30-vuotias sähköpostiohjelmakin tuon osaa...
Löysin Googlella noin 10 vuoden takaa ensimmäiset varoitukset pankkihuijauksista. Tässä ajassa olisi ehditty opettamaan kansa paremmille tavoille ja tunnistamaan se linkin osoite tai ainakin verkkotunnus ennen kuin syöttää mitään tietojen millekään sivulle. Pankkien ja muiden virallisten tahojen verkko-osoitteet on helppoja muistaa ja verrata muistista viestissä olevan linkin verkkotunnukseen. Kyberturvallisuusvirasto teki taannoin ohjeenkin tästä, harmi vaan, että vuosikausia liian myöhään, linkkien maine ehti tahriintua jo paljon ennen sitä.
Tuskin koskaan asiaan liittyvissä uutisissa on sanallakaan edes mainittu, että linkin osoitteen voi tarkastaa ennen kuin sitä klikkaa. Puhelimissa sen voi tehdä niin, että pitää sormea painettuna pitkään osoitteen päällä niin esiin tulee popup joka näyttää koko osoitteen. Ja vaikka sivulle menisikin niin sielläkin on vielä aikaa tarkastaa se selaimen osoiteriviltä. Harva silti uskaltaa koskea siihen, kun varoitukset on luokkaa "rahat lähtee tililtä, jos menet tälle sivulle".
Qr-koodeilla näyttää olevan linkkien kohtalo, tie on jo avattu. Vaikka en itse Tampereen ratikan mainosta saanutkaan niin vahva veikkaus on, että mainossivulle ohjautuminen aiheutui jonkun epämääräisen qr-koodilukijan takia tai mahdollista sekin on, että markkinointifirman bitly-tili kaapattiin ja huijari muutti qr-koodin ohjauksen tälle huijaussivulle. Kummallisesti vaan unohti ohjata esitteessä olleen toisen lyhytlinkin samalla kalastelusivulle.
Yle artikkelissa suositellaan että mobiilivarmennetta käytettäisiin mualle kuin mobiilipankkiin https://yle.fi/a/74-20129250
Käyttäjätunnuksen ja salasanan voi tallettaa selaimen muistiin. Näin tietää onko menossa oikealle sivulle. Oikeastaan vielä parempi jos ei edes osaa käyttätunnusta/salasanaa ulkoa tai ei syötä niitä normaalikäytössä mihinkään.
Lähetä kommentti