Pankkihuijauksissa pankeilla on tiedollinen ylivoima. Ne vetoavat pankkisalaisuuteen eivätkä kerro tarkemmin, miten huijaus onnistui. Se on tavallaan ymmärrettävää, koska silloin wanna-be huijarit eivät saa turhaan opetusta. Toisaalta tapausten avaaminen auttaisi muita suojautumaan ja arvioimaan, ovatko pankkien omat ohjeet ja suojaustoimet riittäviä. Nyt tässäkin kaikki valta on pankeilla itsellään.
Pahinta on, etteivät uhrit itsekään saa kaikkia tietoja. Moni ihmettelee, miten kummassa eläkesäästöni vietiin, vaikka en antanut tunnustani mihinkään. Kafkamainen tilanne. Uhrit uskovat, että puhelimessa (tai jopa pankin järjestelmässä) on täytynyt olla haittaohjelma.
Pankit vaikenevat, mutta Vakuutus- ja rahoitusneuvonta FINE avaa päätöksissään tapahtumien taustoja. Esimerkiksi elokuussa annettu lautakunnan ratkaisu FINE-72843-D4F5P4 käsittelee kahden vuoden takaista tapahtumia. Tapahtumainkuvaus vaikuttaa hyvin samanlaiselta kuin eräässä tämän kevään tapahtumassa. Siinäkin uhri on ymmällään mitä hänelle oikein tapahtui.
FINEn ratkaisu on pitkä, joten yritän tiivistää siitä avainkohdat. Uhri oli saanut pankilta tekstiviestin, jonka mukaan verkkopankki ja pankkikortti on jäädytetty epätavallisen toiminnan vuoksi. Viestissä oli linkki pankkia muistuttavaan com-loppuiseen osoitteeseen, jonka luvattiin palauttavan käyttöoikeuden.
Uhri meni halpaan ja syötti valesivulle pankkitunnuksensa. Sen jälkeen alkoi tapahtua.
Pankki lähetti englanninkielisen (!) tekstiviestin "Read carefully!..." jossa kerrottiin pankkitunnusohjelman asentamisesta uuteen puhelimeen ja annettiin koodi 03705, joka piti syöttää pankin mobiilisovellukseen.
Saatuaan uhrin tilin näin haltuunsa rosvot siirsivät kolmella Visa-kortin pankkisiirrolla 36 500 euroa, luottokortilta 1258 euroa Revolut-pankkiin ja ottivat vielä 15 000 euron täsmäluoton. Kaikki menivät läpi pankin järjestelmistä, vaikka tunnistusvälineen aktivointi juuri siirtoja ennen uudessa laitteessa oli selkeä hälytysmerkki.
Ensimmäinen tekstiviesti tuli maanantaina 24.7.2023 klo 11.03 irlantilaisesta numerosta. Yli 70-vuotias uhri lähti välittömästi selvittämään asiaa pankin konttoriin, mutta havaitsi konttorin olevan suljettu.
Samaan aikaan rosvot hakivat uhrin operaattorilta eSIM-kortin ja siirsivät uhrin puhelinnumeron itselleen, jolloin uhrin soitto pankin turvallisuusnumeroon katkesi kesken puhelun. Uhri soitti uudelleen vaimonsa puhelimella ja sai pankkitunnukset kuoletettua. Vahinko oli kuitenkin jo tapahtunut. Kokonaisuutena tapahtumiin kului 2 tuntia 10 minuuttia. Tästä varsinaiset siirrot ja sulku toteutuivat 37 minuutin sisällä.
FINE-lautakunnan neljän jäsenen yksimielinen kanta on, että uhri oli toiminut törkeän huolimattomasti eikä se suosita korvauksia. Koko tappio jää uhrin itsensä maksettavaksi, ellei hän lähde käräjöimään asiasta oikeuteen ja onnistu vakuuttamaan tuomaria. Siinä vielä kukaan ei ole onnistunut.
Tapaus herättää lukuisia kysymyksiä, joiden reiluutta jokainen voi mielessään arvioida. Avainkohtia ovat nähdäkseni seuraavat:
- Uhri ei tiedä, miten rosvot pääsivät hänen tililleen. Uhrin mielestä mobiilipankkiohjelmassa oli tuolloin mahdollisuus liittää pankkikortti Google Pay-järjestelmään ilman pankkikortin tietoja, eikä liittäminen vaatinut erillistä vahvistamista.
- Uhrin mielestä Android-selaimessa on ollut päällä automaattinen tekstiviestin vahvistuskoodi, joka on syöttänyt pankin lähettämän turvakoodin automaattisesti. Uhri ei ollut tietoinen tästä automatiikasta (olisitko itse ollut?) eikä huomannut sitä. Pankit eivät ole varoittaneet tästä ominaisuudesta (ei tullut itsellekään mieleen, vaikka olen seurannut useita tapauksia).
- Tekstiviesti on tullut englanniksi, eikä uhri ole täysin ymmärtänyt sen sisältöä. Rosvot olivat vaihtaneet nettipankin kielen englanniksi hämätäkseen uhria.
- Kuin kirsikkana kakun päällä pankki on vielä klo 16 lähettänyt uhrille tekstiviestillä linkin palautekyselyyn (ilmeisesti luokkaa "kuinka hyvin palvelumme tänään onnistui?").
- FINEn ratkaisukäytännön perusteella tunnusten ja avainlukulistan koodin syöttäminen valesivulle ei vielä ollut törkeän huolimatonta, mutta uhrin reagointi mobiilisovelluksen asentamiseen liittyvään englanninkieliseen viestiin oli.
- Pankin mielestä korttitietoja ei voi saada pankin nettipalvelusta, vaan uhrin on täytynyt kirjoittaa tiedot ja antaa aktivointikoodi. Uhri itse kiistää tämän.
- Vastineessaan pankki pahoittelee asian selvittämiseen liittyvää viestinnän epäselvyyttä reklamaatioprosessin aikana; viestintä uhrin suuntaan kärsi, koska tietopyyntöjä selvitettiin usean eri tahon toimesta eikä tieto kulkenut luotettavalla tavalla. Pankki tulkitsi aikajanaa aluksi väärin ja korvasi 96 euron tilisiirron vasta yli vuosi tapahtumien jälkeen.
Jos ilmoitus olisi ollut suomeksi, uhri olisi varmaankin reagoinut siihen paremmin. Tältä osin ratkaisu toteaa seuraavaa: "lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä... Pankkilautakunta on ratkaisukäytännössään (kuten FINE-057082, annettu 6.6.2024) katsonut, että mikäli asiakas ei kielimuurin vuoksi ymmärrä tai voi olla varma, mihin esimerkiksi pankin tekstiviestitse toimittama koodi on tarkoitettu, tulisi hänen huolellisesti toimiessaan keskeyttää asiointinsa ja olla esimerkiksi yhteydessä pankkiinsa varmistuakseen menettelyn tarkoituksesta ja asianmukaisuudesta. Pankkilautakunta katsoo tässäkin tapauksessa, että asiakkaan olisi vetoamastaan kielimuurista huolimatta ja myös kielimuurista johtuen tullut ymmärtää keskeyttää asiointinsa, koska hän ei ole voinut varmistua pankilta tekstiviestitse saamansa koodin käyttötarkoituksesta."
Toisin sanoen pankeilla on velvollisuus viestiä asiakkaille ymmärrettävästi, mutta jos viestit tulevat vieraalla kielellä, vastuu siirtyy uhrille. Tämä on aika kova linjaus.
Miksi ihmeessä pankit sallivat asiointikielen vaihdon, jolla huijataan uhreja? Kuinka moni asiakas haluaa oikeasti kesken pankkiasioinnin vaihtaa palvelun kielen suomesta englanniksi?
Pankki tai lautakunta eivät pysty kertomaan tarkasti, minkä virheen uhri on tehnyt, mutta päättelevät hänen toimineen väärin, koska muutakaan selitystä ei ole. Säästönsä menettäneen uhrin kannalta tämä on tylyä. Pitäisikö pankin järjestelmien olla sellaisia, että niissä jäisi riittävä ja myös käyttäjän ymmärtämä jälki kaikesta tapahtuneesta?
Pankeilla on aina ollut tekninen ja juridinen tiedon ylivoima. Miksei niiden järjestelmä havainnut selkeää rosvousta ja estänyt sitä? Pankin olisi pitänyt soittaa asiakkaalle eikä päinvastoin.
 |
| OP-pankin selkeä ilmoitus uuden puhelimen aktivoinnista (ei liity tähän tapaukseen). |
Ei ole oikein, että pankkitunnuksilla voi sulkea tai siirtää uhrin puhelinliittymän, jolloin kaikki uudet vahvistuskoodit ja varoitukset tulevat rosvon puhelimeen. Yksikin virhe voi siis johtaa koko tilin hallinnan menettämiseen. Tilille asetetuilla siirto- tai maksurajoituksilla ei ole merkitystä, koska rosvo poistaa ne. Yllä olevan kuvan varoitus on siis äärimmäisen tärkeä lukea ja ymmärtää!
 |
| Tämä asetus kannattaa tarkistaa Android-puhelimissa. |
Onko automaattinen tekstiviestikoodin syöttö vielä käytössä sivustoilla? Ilmeisesti kyse on tästä ominaisuudesta, joka voi olla vaarallinen. Kannattaa tarkistaa Asetukset > Google > Kaikki palvelut > Vahvistuskoodit tekstiviestillä.
Kun lautakunta kerran avaa tapahtumat näinkin selvästi, mikseivät pankit itse voi tehdä samaa? Tässä on paljon opittavaa kaikille.
Nähdäkseni pankit eivät ole myöskään mainostaneet tarpeeksi pankkitunnusten sulkunumeroa.
Tekstiä täydennetty 3.11.2025
3 kommenttia:
Suurin ongelma noissa kaikissa on nopeus.
Uuden laitteen aktivointi? Miksi ei voi olla vaikka 24h tai pankkipäivän pituista viivettä?
Tilien ja luottokorttien nostorajojen muutos, sama juttu.
Luottokortin käteisnosto tilille jos summa on > 50 euroa, edelleen sama juttu.
Tilisiirto ulkomaiselle SEPA-tilille, miksi eräpäiväksi voi asettaa HETI?
Jos on tilanne että on *oikeasti* kiire, niin tämän voisi ohittaa vain soittamalla asiakaspalveluun jossa langan päässä oleva ihminen voisi arvioida onko huijaus käynnissä. "Niin tässä on nyt tullut uusi laite käyttöön ja IP-osoite sanoo että se on Hong Kongissa" - "Joo, oon täällä reissussa, puhelin hajosi" - "Ok, vastailepa vähän lisäkysymyksiin ensin niin sit laitellaan sit heti käyttöön"
Ja tosiaan toisena seikkana on se mistä ranttasin edellisessä postauksessa että ainakin OP:lla mobiilipankissa näkyvät *kaikki* pankkiasiat, myös jos sinulle on annettu valtuutuksia, eli fyysisen tietoturvan ongelmat. Tämän vuoksi minulla ei ole enää puhelimessa OP:n pankkisovellusta.
Palvelu on ajateltu bisneksen ehdoilla. Rahan pitää liikkua nopeasti, nyt 10 sekunnissa. Pankit vetoavat myös velvollisuuteensa siirtää rahat ilman viivyttelyä, mutta mikään ei estäisi toteuttamasta vapaaehtoisia, itse asetettavia viiveitä. Nordealla on tällainen tilimuoto Ruotsissa ja puolitoista vuotta sitten yritys lupaili sen tulevan myös Suomeen. Sen jälkeen mitään ei ole kuulunut.
Erityisesti ihmetyttää tuo uuden laitteen aktivointi, joka on ISO hälytysmerkki pankille ja teknisesti aivan yksinkertainen havaita. Uudesta laitteesta ei pitäisi voida heti ottaa luottoja tai tyhjentää tiliä. Tämän riskin on täytynyt olla pankin tiedossa.
On todella mielenkiintoista, miten kokonaisturvallisuusajattelu ei yksinkertaisesti mahdu pankkien päähän.
Lähetä kommentti