Tämä on neljäs ja tällä erää viimeinen kirjoitukseni todennuksen ja verkkopankkien turvallisuudesta.
Pistää vihaksi, että huijarit tyhjentävät vanhusten elinikäiset säästöt, eikä kukaan voi tehdä mitään. Tuoreen Ylen uutisen mukaan poliisi saa 200-500 ilmoitusta kuukaudessa kalasteluista, joissa menetetään 2-4 miljoonaa euroa.
Tuore esimerkki on Kokkolasta, jossa 88-vuotiaan lääkärin tililtä vietiin 88 409,09 euroa. Uhri oli erehtynyt syöttämään S-pankin tunnukset kalastelusivulle, jolloin rosvot saivat asennettua verkkopankin omaan puhelimeensa ja tyhjensivät tilin yön aikana yli sadalla erillisellä siirrolla. Eikä pankki huomannut mitään.
Uuden päätelaitteen käyttöönotto ja heti seuraavana yönä tilin tyhjentäminen on niin selvä merkki rikoksesta kuin vain voi olla. Sen tunnistamiseen ei tarvita edes tekoälyä, muutama IF-lause riittää. Jos pankin valvonta ei havaitse näin räikeää tekoa, pankki on itse toiminut huolimattomasti.
Miksi uhri hyväksyi rikollisten tunnistuspyynnön? Hän oli samaan aikaan itse asioimassa verkkopankissa, jolloin huijauspyynnöt sekoittuivat aitoihin kuittauksiin. Tällainen moka voi sattua kenelle tahansa.
On helppo neuvoa pankkeja ja vaatia niiltä parempia suojauksia tai tekoälyn tehokkaampaa käyttöä. Teknisten muutosten tekeminen pankin järjestelmiin on kuitenkin iso ja raskas operaatio. Muutokset tuottavat aina vääriä hälytyksiä ja kuormittavat asiakaspalvelua. Siksi pankit pyrkivät viimeiseen asti ratkaisemaan ongelmat sisäistä valvontaa tehostamalla. Se ei vain näytä riittävän.
Huijaukset ja niiden yritykset kuormittavat jo nykyisellään raskaasti pankkien asiakaspalvelua. Lisäksi parempien suojausten tarjoaminen, vaikka asiakkaat eivät niitä ottaisikaan, olisi pankeille keino välttää omaa vastuuta tyyliin ”me tarjosimme kyllä tällaista viivästettyä tilimuotoa/turvatiliä, mutta asiakas ei sitä ottanut”. Operaattorit ovat tehneet turvallisuudesta kilpailuedun, pankkien pitäisi toimia samoin.
Olen esitellyt lukuisia ideoita turvallisuuden parantamiseen: viivästetyt siirrot, hyväksynnän vaatiminen uhrin sijaan luottohenkilöltä, ulkomaanestot, toimintaan kytketyt värit ja äänimerkit, puhelinsoiton vaatiminen asennettaessa mobiilipankkiohjelmaa uuteen päätelaitteeseen, pankkien yhteinen 24/7 puhelinpalvelu ja niin edelleen. Näitä voisi keksiä lisääkin, jos pankit kertoisivat, miten onnistuneet huijaukset tapahtuvat. Turvallisuuteen ja yksityisyydensuojaan vedoten tapauksia ei avata, joten tiedollinen ylivoima ja velvollisuus toimia jää niille itselleen. Me ulkopuoliset voimme vain spekuloida.
Spekuloidaan siis. Voisiko pankkitunnusten protokollaan jotenkin lisätä tiedon siitä, mistä ip-osoitteesta yhteys on lähtenyt tai mihin url-osoitteeseen se liittyy? Pankkitunnusten luvallisilla hyödyntäjillä pitää olla sopimus pankin kanssa, koska he maksavat jokaisesta tunnistamisesta. Auttaisiko tämä tunnistamaan kalastelusivuja?
Myös käyttäjällä on vastuu rahojensa turvallisuudesta. Miksi ihmiset seisottavat isojakin rahasummia tavallisilla tileillä, jotka on helppo yhdistää ja siirtää ulos? Mikään siirtoraja tai ulkomaanesto ei auta, jos asiakas voi itse asettaa ja rosvo yhtä helposti poistaa sen. Pakollisen aikaviiveen lisääminen näihin ei olisi pankille vaikeaa.
Vaarassa ovat varsinkin vanhemmat ihmiset, joille on kertynyt eläkesäästöjä. Mikä olisi sellainen turvatili, johon varat voisi siirtää ilman pelkoa tyhjennyksestä? Kaikki eivät halua sijoittaa säästöjään osakkeisiin tai rahastoihin, joiden arvo voi myös laskea. Rahojen palautus turvatililtä kestäisi esimerkiksi kolme pankkipäivää, mikä oli pankin oman edun mukaista.
Voisiko pankki oma-aloitteisesti tarjota turvatiliä iäkkäämmille asiakkailleen, joilla on esimerkiksi yli 10 000 euroa tilillä? Tai voisiko osan tavallisen käyttötilin varoista jäädyttää niin, ettei uhri itse voisi tyhjentää kaikkia varoja, ei edes usealla pienellä siirrolla? Jonkinlainen minimisaldon vaatimus, siis. Tässäkin olisi tuotekehityksen paikka.
("Turvatili" -nimitys on tässä tarkoituksella, mutta sekaannusvaaran vuoksi pankin ei itse kannata nimetä turvatiliään juuri näin.)
19 kommenttia:
On kyllä käsittämätöntä, että pankit yhä uudelleen ja uudelleen onnistuvat pakoilemaan vastuutaan.
Tässä juuri sain OP:lta viestin, jossa kysyttiin kokemustani sellaisesta verkkoasioinnista, jota en taatusti ole itse voinut tehdä. Aspaa ei voisi vähempää kiinnostaa, mistä asia johtuu. Eli pankkien omat järjestelyt ja prosessit ovat vähintään yhtä retuperällä kuin käyttäjälle näkyvä osa.
Toinen OP:n kyseenalainen tapa on lähettää melko säännöllisesti sähköpostimarkkinointia joissa on linkki esim kortin uusista ominaisuuksista kertovalle sivulle josta edelleen yhdellä klikkauksella pankin tunnistautumiseen. Saman viestin alareunaan ovat kuitenkin laittaneet tekstin "Muistathan, että OP Ryhmä ei koskaan pyydä kirjautumaan OP:n digipalveluihin sähköpostissa tai tekstiviestissä olevan linkin kautta". Sekottaa huonosti digiasioita ymmärtävän ihmisen pään ja vesittää tietoturvaopetuksen merkitystä.
PS. Parhaan ymmärrykseni mukaan sähköpostit todella tulevat OP:ltä mutta, kuten edellisessä kommentissa, OP:ltä on vaikea saada vahvistusta puolesta tai vastaan.
Väestön ikääntyessä haasteet sen kuin kasvaa.
Linkkien ym. estot, laskujen automatisointi ja fyysiset laitteet voisi hieman auttaa parantamaan turvallisuutta.
Ruotsissa 2 päivä viivästys ja/tai itse asetettava raja jolloin tarvitaan 2 henkilön pankkitunnukset tilisiirron tapahtumiseen.
Nordealla on saatavilla fyysinen ID-laite. Jos samalla voisi kieltää ID-sovelluksen käytön, niin ainakin sen kaappaus estyisi.
Jos samalla voisi kieltää ID-sovelluksen käytön, niin ainakin sen kaappaus estyisi. Tämäkin on hyvä idea. Nordean uusi laite on kuulemani palautteen mukaan huonompi kuin vanha, jossa siinäkin oli onneton numeronäppäimistö.
Ruotsissa 2 päivä viivästys ja/tai itse asetettava raja jolloin tarvitaan 2 henkilön pankkitunnukset tilisiirron tapahtumiseen
Nämä ovat ilmeisesti vielä suomalaisen Nordean ratkaisuja. Vaikea ymmärtää, miksei niitä tarjota täällä Suomessakin.
Nordean ID-laitteen käyttöönotto vaatii palvelusta saatavan aktivointikoodin. Sama käytäntö voisi olla ID-sovelluksellakin, kun se otetaan käyttöön eri laitteilla.
Virolainen henkilökortti (ID-kaart). Pakollinen kaikille Virossa asuville: Kortti toimii virallisena henkilöllisyystodistuksena. Sillä voi: Kirjautua sähköisiin palveluihin, Allekirjoittaa asiakirjoja digitaalisesti, Äänestää vaaleissa, Hoitaa pankkiasioita, Toimii kanta-asiakaskorttina ja kirjastokorttina. Viro säästää digitalisaation avulla 2 % BKT:sta vuosittain.
Viron ID-kaart tarvitset USB-kortinlukijan ja ID-ohjelman. Korttiin liittyy kaksi PIN-koodia: PIN1: käytetään tunnistautumiseen, PIN2: käytetään sähköiseen allekirjoitukseen.
ID-kaart on yksi maailman edistyneimmistä sähköisistä henkilökorteista, ja sen turvallisuus on hyvä:
Kaksivaiheinen tunnistautuminen: Kortti vaatii PIN-koodin sekä fyysisen kortin lukemisen, mikä tekee luvattomasta käytöstä vaikeaa.
Sähköinen allekirjoitus: Kortilla voi allekirjoittaa asiakirjoja digitaalisesti, ja allekirjoitus on juridisesti yhtä pätevä kuin käsin tehty.
Salaus ja autentikointi: Kortti käyttää vahvaa salausta ja varmenteita, jotka estävät tietojen väärentämisen tai kaappaamisen.
Haavoittuvuudet: Vuonna 2017 havaittiin vakava haavoittuvuus kortin käyttämässä RSA-salauksessa, mikä johti korttien uusimiseen. Tämä osoittaa, että vaikka järjestelmä on turvallinen, se ei ole immuuni teknisille riskeille.
Se verkkopankin aktivointikoodi voisi olla joku muu kuin numerosarja. Jolloin sitä ei voisi laittaa tietokoneelle.
Tosi tuo S-pankin viesti on kyllä hyvin selkeä. Siinä kerrotaan S-mobiili asentamisesta. Jos sen lukee ei voi erehtyä. Ilmeisesti jotkut vain kaivavat sen koodin sieltä esiin ja syöttävät sivulle.
Niin ja miten toimii kännykällä? Elispäivän teknologiaa.
^ Aktivointikoodi pitää toimittaa tunnistetulle käyttäjälle turvallisesti.
Ohis. (ts. en ole mikään aiemmista kirjoittajista)
NFC kykyisiä älykortteja on kyllä ollut jo jonkin aikaa, sitähän lähimaksussa käytetään. Eikä USB liitäntäiset EMV -kortin lukijat maksa kun muutamia kymppejä.
Suuri osa tunnistus.suomi.fi palvelun viittaamat tunnistus menetelmät käyttää on Signicat AS palveluja tai tuotteita. Ja jolla on NFC -tunnistus tuotteena, Suomessa vain ei ole sellaisia henkilökortteja vielä joissa tätä ominaisuutta olisi käytettävissä. Joissakin EU maissa jo on, mm. Espanjassa sellainen on näköjään käytössä.
Mutta jotta ei innostuta liikaa tekniikasta, kannattaa pitää mielessä että huijauksissa hyödynnetään lähinnä tunnistuksen prosesseista aiheutuvia puutteita, muuttuvien tapojen ja toimintojen sekavuutta joiden perässä osa käyttäjistä ei pysy ja jotka sitten jättävät aukkoja ymmärryksessä joita huijarit hyödyntävät.
Kuten jonkin pankin edustaja jokin aika totesi, että ei mikään järjestelmä voi suojata jos ja kun käyttäjä itse tekee rahan siirron kun hänet on saatu huijattua se tekemään.
Näissä kyse on ns. social-engineering ongelmissa on se ongelma, että niiden täydellinen estäminen on vain teknisin keinoin täysin mahdotonta. Ja se joka muuta epäilee ettei häntä voi huijata, ei liene nähnyt hyvän taikurin silmänkääntötemppua ja joiden tekemiä temppuja eivät edes toiset taikurit oivalla miten temppu oikein tehtiin.
EMV maksu- ja ID-korteissa, jotka käyttävät ainakin osin samoja teknologioita, on ollut muitakin ongelmia kuin vain Viron 2017 joka on Wikipedian sivuilla mainittu. EMV, EMV2 ja SIM korttien valmistaja, joka ne Viron kortit on tehnyt on Gemalto, jolla on ollut useita ongelmia. Jos etsitte "Gemalto security incidents" niin löydätte näistä luettavaa.
Pankkien EMV ja EMV2 maksu järjestelmien toteutuksien protokollissa on ollut käsittämättömän yksinkertaisia hölmöyksiä, joista viime vuonna edesmennyt Ross Andersonin tutkimusryhmät löysivät ongelmia jo viitisentoista vuotta sitten.
Yksi esimerkki näistä oli se, että kun maksupäätteellä maksua tehdessä maksupääte palautti onnistuneen PIN koodin syötöstä vain "OK" ja väärästä "FAIL", niin väärälläkin PIN koodilla saattoi maksaa kun kortin ja maksupäätteen väliin sai laitettua järjestelmän, joka vaihtoi FAIL viestin aina OK viestiksi. Ross Anderson piti BlackHat konferenssissa esityksen, jossa hän edelliseen ongelmaan ja EMV:tä koskevia asioita käsitteli.
Siitä huolimatta, että maksukorteissa on ollut ongelmia, niin pankit korjailivat näitä varsin verkkaisesti, koska myönnettyjä kortteja on myönnetty valtavia määriä ja maksupäätteitä. Ja koska muutoksilla oli vaikutuksia ensin korttien toimintaan, josta seurasi menetettyä tuloa jne.
Edellisellä videolla esitetyt ongelmat EMV2:ssa on nyt kerrottu korjatuksi. Mutta ongelmia on löytynyt muitakin ajan mittaan ja sen osoittaminen, ettei enää mitään ongelmia ole on tietysti mahdotonta eikä sitä voida edellyttää.
Kirjoitin nämä kommentit tänne sillä, että keskusteltaessa ei unohdettaisi olla olla luottamatta mihinkään yksittäiseen esitettävään tekniikkaan vain niitä myyjien ja käyttävien vakuutteluista uskoen kaiken mitään kyseenalaistamatta. Järjestelmien valmistajien, toimittajien ja myyjien intresseissä ei ole aina kertoa näistä asioista. Eikä usein edes järjestelmän käyttäjät halua kertoa harmittavista ongelmista, ei ainakaan niin että kilpailijat voisivat sitä heikkoutta omaksi eduksi käyttää.
Ja toiseksi sillä, että ymmärrettäisiin että siihen uskominen, että pelkästään teknisin ratkaisuin kaikki ongelmat ratkeavat. Koska sosiaalisia ongelmia on erittäin vaikea ratkaista teknisin keinoin.
Minusta osa Petterin esittämistä keinoista, ne jotka voisi hidastaa ja vaikeuttaa huijausten tekemistä sekä niiden ajoissa havaitsemista olisi ainakin väliaikaisena keinoina ihan toteuttamiskelpoisia.
Mutta edellisten lisäksi, tunnistamisen kokonaisuutta pitäisi pankkien yhdessä viranomaisten kanssa ja velvoittamana yhdessä ryhtyä pohtimaan. Selvittää mitä muualla EU:ssa ja EU-maissa on tehty ja tekeillä, eikä vain kunkin pankkiryhmän omassa siilossaan kehittelemään omia ratkaisujaan joka ajan myötä yhä monimutkaistuvaan ja käyttäjien kannalta sekalaiseen ja vaikeammin ymmärrettäviin palveluihin.
Nämä kaikki on ihan vanhaa tietoa jo ja täysin turhaa miettimistä. Lokakuussa olikos se 9. päivä kaikki tilisiirtojen osalta muuttuu joka tapauksessa. Eikä muutos ole vain Suomessa vaan yleiseurooppalainen. Tällöin tulee pikatilisiirrot käyttöön. Etu on se, että rahat siirtyy kaikkien euro-pankkien välillä samantien ja ympäri vuoden/vuorokauden. Samoin tulee muita kosmeettisia eroja, kuten tilin vastaanottajan pitää vastata lähettäjän kirjoittamaa tai tulee varoitusteksti. Kuitenkin nurjana puolena entisestään vastuuta siirretään asiakkaalle, jos hyväksyy tuosta varoitustekstistä huolimatta maksut eteenpäin. Tämä on vain siitä tärkeää, että vastuu on jos maksaja on tilin haltija itse. Vasta käytännössä nähdään mitä tapahtuu jos tili on otettu haltuun näillä metodeilla joista blogit on. Kuitenkin koko konsepti muuttuu.
Suomessahan on käytössä moderni "sähköinen henkilökortti" eli tuo hightrust.id jossa paritat oman fyysisen henkilökortin kännykkäappsiin, jolla voit kirjautua sähköisiin palveluihin. Samoin kuten fyysisessä Suomalaisessakin henkilökortissa on kortinlukija-mahdollisuus mutta yhtäläisesti tuossa hightrust.id:ssä on tismalleen samat ominaisuudet ja niihin kuuluu tuo PIN1 ja 2, eli on erillinen tunnistuskoodi ja allekirjoitus koodi. Suomen ongelma ei ole se, etteikö henkilökortilla voisi kirjautua. Sen voi tehdä jopa virolaisia kehittyneemmin tuolla hightrust-appsilla ja kännykällä, face id:llä, qr koodilla yms. Ongelma Suomessa on se, että juuri PANKIT eivät suostu käyttämään tätä. Heillä kaikilla on omat sävelmänsä. Suomessa pitäisi kieltää pankeilta omat viritelmät (jotka heillä on niin rahan säästö kuin tienaamissyistä), sekä kaikki pitäisi keskittää henkilökortin ja "hightrust" systeemin ympärille (tuonkin kyllä voisi ottaa valtio hoitaakseen erillisen firman sijaan). Kun ilmiselvästi pankit eivät osaa tätä vastuutaan hoitaa, silloin se pitää ottaa niiltä pois!
No miten käyttäjien turvallisuus tuossa muutoksessa sitten paranee?
Lähetä kommentti