Tämä on neljäs ja tällä erää viimeinen kirjoitukseni todennuksen ja verkkopankkien turvallisuudesta.
Pistää vihaksi, että huijarit tyhjentävät vanhusten elinikäiset säästöt, eikä kukaan voi tehdä mitään. Tuoreen Ylen uutisen mukaan poliisi saa 200-500 ilmoitusta kuukaudessa kalasteluista, joissa menetetään 2-4 miljoonaa euroa.
Tuore esimerkki on Kokkolasta, jossa 88-vuotiaan lääkärin tililtä vietiin 88 409,09 euroa. Uhri oli erehtynyt syöttämään S-pankin tunnukset kalastelusivulle, jolloin rosvot saivat asennettua verkkopankin omaan puhelimeensa ja tyhjensivät tilin yön aikana yli sadalla erillisellä siirrolla. Eikä pankki huomannut mitään.
Uuden päätelaitteen käyttöönotto ja heti seuraavana yönä tilin tyhjentäminen on niin selvä merkki rikoksesta kuin vain voi olla. Sen tunnistamiseen ei tarvita edes tekoälyä, muutama IF-lause riittää. Jos pankin valvonta ei havaitse näin räikeää tekoa, pankki on itse toiminut huolimattomasti.
Miksi uhri hyväksyi rikollisten tunnistuspyynnön? Hän oli samaan aikaan itse asioimassa verkkopankissa, jolloin huijauspyynnöt sekoittuivat aitoihin kuittauksiin. Tällainen moka voi sattua kenelle tahansa.
On helppo neuvoa pankkeja ja vaatia niiltä parempia suojauksia tai tekoälyn tehokkaampaa käyttöä. Teknisten muutosten tekeminen pankin järjestelmiin on kuitenkin iso ja raskas operaatio. Muutokset tuottavat aina vääriä hälytyksiä ja kuormittavat asiakaspalvelua. Siksi pankit pyrkivät viimeiseen asti ratkaisemaan ongelmat sisäistä valvontaa tehostamalla. Se ei vain näytä riittävän.
Huijaukset ja niiden yritykset kuormittavat jo nykyisellään raskaasti pankkien asiakaspalvelua. Lisäksi parempien suojausten tarjoaminen, vaikka asiakkaat eivät niitä ottaisikaan, olisi pankeille keino välttää omaa vastuuta tyyliin ”me tarjosimme kyllä tällaista viivästettyä tilimuotoa/turvatiliä, mutta asiakas ei sitä ottanut”. Operaattorit ovat tehneet turvallisuudesta kilpailuedun, pankkien pitäisi toimia samoin.
Olen esitellyt lukuisia ideoita turvallisuuden parantamiseen: viivästetyt siirrot, hyväksynnän vaatiminen uhrin sijaan luottohenkilöltä, ulkomaanestot, toimintaan kytketyt värit ja äänimerkit, puhelinsoiton vaatiminen asennettaessa mobiilipankkiohjelmaa uuteen päätelaitteeseen, pankkien yhteinen 24/7 puhelinpalvelu ja niin edelleen. Näitä voisi keksiä lisääkin, jos pankit kertoisivat, miten onnistuneet huijaukset tapahtuvat. Turvallisuuteen ja yksityisyydensuojaan vedoten tapauksia ei avata, joten tiedollinen ylivoima ja velvollisuus toimia jää niille itselleen. Me ulkopuoliset voimme vain spekuloida.
Spekuloidaan siis. Voisiko pankkitunnusten protokollaan jotenkin lisätä tiedon siitä, mistä ip-osoitteesta yhteys on lähtenyt tai mihin url-osoitteeseen se liittyy? Pankkitunnusten luvallisilla hyödyntäjillä pitää olla sopimus pankin kanssa, koska he maksavat jokaisesta tunnistamisesta. Auttaisiko tämä tunnistamaan kalastelusivuja?
Myös käyttäjällä on vastuu rahojensa turvallisuudesta. Miksi ihmiset seisottavat isojakin rahasummia tavallisilla tileillä, jotka on helppo yhdistää ja siirtää ulos? Mikään siirtoraja tai ulkomaanesto ei auta, jos asiakas voi itse asettaa ja rosvo yhtä helposti poistaa sen. Pakollisen aikaviiveen lisääminen näihin ei olisi pankille vaikeaa.
Vaarassa ovat varsinkin vanhemmat ihmiset, joille on kertynyt eläkesäästöjä. Mikä olisi sellainen turvatili, johon varat voisi siirtää ilman pelkoa tyhjennyksestä? Kaikki eivät halua sijoittaa säästöjään osakkeisiin tai rahastoihin, joiden arvo voi myös laskea. Rahojen palautus turvatililtä kestäisi esimerkiksi kolme pankkipäivää, mikä oli pankin oman edun mukaista.
Voisiko pankki oma-aloitteisesti tarjota turvatiliä iäkkäämmille asiakkailleen, joilla on esimerkiksi yli 10 000 euroa tilillä? Tai voisiko osan tavallisen käyttötilin varoista jäädyttää niin, ettei uhri itse voisi tyhjentää kaikkia varoja, ei edes usealla pienellä siirrolla? Jonkinlainen minimisaldon vaatimus, siis. Tässäkin olisi tuotekehityksen paikka.
("Turvatili" -nimitys on tässä tarkoituksella, mutta sekaannusvaaran vuoksi pankin ei itse kannata nimetä turvatiliään juuri näin.)
14 kommenttia:
On kyllä käsittämätöntä, että pankit yhä uudelleen ja uudelleen onnistuvat pakoilemaan vastuutaan.
Tässä juuri sain OP:lta viestin, jossa kysyttiin kokemustani sellaisesta verkkoasioinnista, jota en taatusti ole itse voinut tehdä. Aspaa ei voisi vähempää kiinnostaa, mistä asia johtuu. Eli pankkien omat järjestelyt ja prosessit ovat vähintään yhtä retuperällä kuin käyttäjälle näkyvä osa.
Toinen OP:n kyseenalainen tapa on lähettää melko säännöllisesti sähköpostimarkkinointia joissa on linkki esim kortin uusista ominaisuuksista kertovalle sivulle josta edelleen yhdellä klikkauksella pankin tunnistautumiseen. Saman viestin alareunaan ovat kuitenkin laittaneet tekstin "Muistathan, että OP Ryhmä ei koskaan pyydä kirjautumaan OP:n digipalveluihin sähköpostissa tai tekstiviestissä olevan linkin kautta". Sekottaa huonosti digiasioita ymmärtävän ihmisen pään ja vesittää tietoturvaopetuksen merkitystä.
PS. Parhaan ymmärrykseni mukaan sähköpostit todella tulevat OP:ltä mutta, kuten edellisessä kommentissa, OP:ltä on vaikea saada vahvistusta puolesta tai vastaan.
Väestön ikääntyessä haasteet sen kuin kasvaa.
Linkkien ym. estot, laskujen automatisointi ja fyysiset laitteet voisi hieman auttaa parantamaan turvallisuutta.
Ruotsissa 2 päivä viivästys ja/tai itse asetettava raja jolloin tarvitaan 2 henkilön pankkitunnukset tilisiirron tapahtumiseen.
Nordealla on saatavilla fyysinen ID-laite. Jos samalla voisi kieltää ID-sovelluksen käytön, niin ainakin sen kaappaus estyisi.
Jos samalla voisi kieltää ID-sovelluksen käytön, niin ainakin sen kaappaus estyisi. Tämäkin on hyvä idea. Nordean uusi laite on kuulemani palautteen mukaan huonompi kuin vanha, jossa siinäkin oli onneton numeronäppäimistö.
Ruotsissa 2 päivä viivästys ja/tai itse asetettava raja jolloin tarvitaan 2 henkilön pankkitunnukset tilisiirron tapahtumiseen
Nämä ovat ilmeisesti vielä suomalaisen Nordean ratkaisuja. Vaikea ymmärtää, miksei niitä tarjota täällä Suomessakin.
Nordean ID-laitteen käyttöönotto vaatii palvelusta saatavan aktivointikoodin. Sama käytäntö voisi olla ID-sovelluksellakin, kun se otetaan käyttöön eri laitteilla.
Virolainen henkilökortti (ID-kaart). Pakollinen kaikille Virossa asuville: Kortti toimii virallisena henkilöllisyystodistuksena. Sillä voi: Kirjautua sähköisiin palveluihin, Allekirjoittaa asiakirjoja digitaalisesti, Äänestää vaaleissa, Hoitaa pankkiasioita, Toimii kanta-asiakaskorttina ja kirjastokorttina. Viro säästää digitalisaation avulla 2 % BKT:sta vuosittain.
Viron ID-kaart tarvitset USB-kortinlukijan ja ID-ohjelman. Korttiin liittyy kaksi PIN-koodia: PIN1: käytetään tunnistautumiseen, PIN2: käytetään sähköiseen allekirjoitukseen.
ID-kaart on yksi maailman edistyneimmistä sähköisistä henkilökorteista, ja sen turvallisuus on hyvä:
Kaksivaiheinen tunnistautuminen: Kortti vaatii PIN-koodin sekä fyysisen kortin lukemisen, mikä tekee luvattomasta käytöstä vaikeaa.
Sähköinen allekirjoitus: Kortilla voi allekirjoittaa asiakirjoja digitaalisesti, ja allekirjoitus on juridisesti yhtä pätevä kuin käsin tehty.
Salaus ja autentikointi: Kortti käyttää vahvaa salausta ja varmenteita, jotka estävät tietojen väärentämisen tai kaappaamisen.
Haavoittuvuudet: Vuonna 2017 havaittiin vakava haavoittuvuus kortin käyttämässä RSA-salauksessa, mikä johti korttien uusimiseen. Tämä osoittaa, että vaikka järjestelmä on turvallinen, se ei ole immuuni teknisille riskeille.
Se verkkopankin aktivointikoodi voisi olla joku muu kuin numerosarja. Jolloin sitä ei voisi laittaa tietokoneelle.
Tosi tuo S-pankin viesti on kyllä hyvin selkeä. Siinä kerrotaan S-mobiili asentamisesta. Jos sen lukee ei voi erehtyä. Ilmeisesti jotkut vain kaivavat sen koodin sieltä esiin ja syöttävät sivulle.
Niin ja miten toimii kännykällä? Elispäivän teknologiaa.
^ Aktivointikoodi pitää toimittaa tunnistetulle käyttäjälle turvallisesti.
Lähetä kommentti