Pankkihuijauksissa pankeilla on tiedollinen ylivoima. Ne vetoavat pankkisalaisuuteen eivätkä kerro tarkemmin, miten huijaus onnistui. Se on tavallaan ymmärrettävää, koska silloin wanna-be huijarit eivät saa turhaan opetusta. Toisaalta tapausten avaaminen auttaisi muita suojautumaan ja arvioimaan, ovatko pankkien omat ohjeet ja suojaustoimet riittäviä. Nyt tässäkin kaikki valta on pankeilla itsellään.
Pahinta on, etteivät uhrit itsekään saa kaikkia tietoja. Moni ihmettelee, miten kummassa eläkesäästöni vietiin, vaikka en antanut tunnustani mihinkään. Kafkamainen tilanne. Uhrit uskovat, että puhelimessa (tai jopa pankin järjestelmässä) on täytynyt olla haittaohjelma.
Pankit vaikenevat, mutta Vakuutus- ja rahoitusneuvonta FINE avaa päätöksissään tapahtumien taustoja. Esimerkiksi elokuussa annettu lautakunnan ratkaisu FINE-72843-D4F5P4 käsittelee kahden vuoden takaista tapahtumia. Tapahtumainkuvaus vaikuttaa hyvin samanlaiselta kuin eräässä tämän kevään tapahtumassa. Siinäkin uhri on ymmällään mitä hänelle oikein tapahtui.
FINEn ratkaisu on pitkä, joten yritän tiivistää siitä avainkohdat. Uhri oli saanut pankilta tekstiviestin, jonka mukaan verkkopankki ja pankkikortti on jäädytetty epätavallisen toiminnan vuoksi. Viestissä oli linkki pankkia muistuttavaan com-loppuiseen osoitteeseen, jonka luvattiin palauttavan käyttöoikeuden.
Uhri meni halpaan ja syötti valesivulle pankkitunnuksensa. Sen jälkeen alkoi tapahtua.
Pankki lähetti englanninkielisen (!) tekstiviestin "Read carefully!..." jossa kerrottiin pankkitunnusohjelman asentamisesta uuteen puhelimeen ja annettiin koodi 03705, joka piti syöttää pankin mobiilisovellukseen.
Saatuaan uhrin tilin näin haltuunsa rosvot siirsivät kolmella Visa-kortin pankkisiirrolla 36 500 euroa, luottokortilta 1258 euroa Revolut-pankkiin ja ottivat vielä 15 000 euron täsmäluoton. Kaikki menivät läpi pankin järjestelmistä, vaikka tunnistusvälineen aktivointi juuri siirtoja ennen uudessa laitteessa oli selkeä hälytysmerkki.
Ensimmäinen tekstiviesti tuli maanantaina 24.7.2023 klo 11.03 irlantilaisesta numerosta. Yli 70-vuotias uhri lähti välittömästi selvittämään asiaa pankin konttoriin, mutta havaitsi konttorin olevan suljettu.
Samaan aikaan rosvot hakivat uhrin operaattorilta eSIM-kortin ja siirsivät uhrin puhelinnumeron itselleen, jolloin uhrin soitto pankin turvallisuusnumeroon katkesi kesken puhelun. Uhri soitti uudelleen vaimonsa puhelimella ja sai pankkitunnukset kuoletettua. Vahinko oli kuitenkin jo tapahtunut. Kokonaisuutena tapahtumiin kului 2 tuntia 10 minuuttia. Tästä varsinaiset siirrot ja sulku toteutuivat 37 minuutin sisällä.
FINE-lautakunnan neljän jäsenen yksimielinen kanta on, että uhri oli toiminut törkeän huolimattomasti eikä se suosita korvauksia. Koko tappio jää uhrin itsensä maksettavaksi, ellei hän lähde käräjöimään asiasta oikeuteen ja onnistu vakuuttamaan tuomaria. Siinä vielä kukaan ei ole onnistunut.
Tapaus herättää lukuisia kysymyksiä, joiden reiluutta jokainen voi mielessään arvioida. Avainkohtia ovat nähdäkseni seuraavat:
- Uhri ei tiedä, miten rosvot pääsivät hänen tililleen. Uhrin mielestä mobiilipankkiohjelmassa oli tuolloin mahdollisuus liittää pankkikortti Google Pay-järjestelmään ilman pankkikortin tietoja, eikä liittäminen vaatinut erillistä vahvistamista.
- Uhrin mielestä Android-selaimessa on ollut päällä automaattinen tekstiviestin vahvistuskoodi, joka on syöttänyt pankin lähettämän turvakoodin automaattisesti. Uhri ei ollut tietoinen tästä automatiikasta (olisitko itse ollut?) eikä huomannut sitä. Pankit eivät ole varoittaneet tästä ominaisuudesta (ei tullut itsellekään mieleen, vaikka olen seurannut useita tapauksia).
- Tekstiviesti on tullut englanniksi, eikä uhri ole täysin ymmärtänyt sen sisältöä. Rosvot olivat vaihtaneet nettipankin kielen englanniksi hämätäkseen uhria.
- Kuin kirsikkana kakun päällä pankki on vielä klo 16 lähettänyt uhrille tekstiviestillä linkin palautekyselyyn (ilmeisesti luokkaa "kuinka hyvin palvelumme tänään onnistui?").
- FINEn ratkaisukäytännön perusteella tunnusten ja avainlukulistan koodin syöttäminen valesivulle ei vielä ollut törkeän huolimatonta, mutta uhrin reagointi mobiilisovelluksen asentamiseen liittyvään englanninkieliseen viestiin oli.
- Pankin mielestä korttitietoja ei voi saada pankin nettipalvelusta, vaan uhrin on täytynyt kirjoittaa tiedot ja antaa aktivointikoodi. Uhri itse kiistää tämän.
- Vastineessaan pankki pahoittelee asian selvittämiseen liittyvää viestinnän epäselvyyttä reklamaatioprosessin aikana; viestintä uhrin suuntaan kärsi, koska tietopyyntöjä selvitettiin usean eri tahon toimesta eikä tieto kulkenut luotettavalla tavalla. Pankki tulkitsi aikajanaa aluksi väärin ja korvasi 96 euron tilisiirron vasta yli vuosi tapahtumien jälkeen.
Jos ilmoitus olisi ollut suomeksi, uhri olisi varmaankin reagoinut siihen paremmin. Tältä osin ratkaisu toteaa seuraavaa: "lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä... Pankkilautakunta on ratkaisukäytännössään (kuten FINE-057082, annettu 6.6.2024) katsonut, että mikäli asiakas ei kielimuurin vuoksi ymmärrä tai voi olla varma, mihin esimerkiksi pankin tekstiviestitse toimittama koodi on tarkoitettu, tulisi hänen huolellisesti toimiessaan keskeyttää asiointinsa ja olla esimerkiksi yhteydessä pankkiinsa varmistuakseen menettelyn tarkoituksesta ja asianmukaisuudesta. Pankkilautakunta katsoo tässäkin tapauksessa, että asiakkaan olisi vetoamastaan kielimuurista huolimatta ja myös kielimuurista johtuen tullut ymmärtää keskeyttää asiointinsa, koska hän ei ole voinut varmistua pankilta tekstiviestitse saamansa koodin käyttötarkoituksesta."
Toisin sanoen pankeilla on velvollisuus viestiä asiakkaille ymmärrettävästi, mutta jos viestit tulevat vieraalla kielellä, vastuu siirtyy uhrille. Tämä on aika kova linjaus.
Miksi ihmeessä pankit sallivat asiointikielen vaihdon, jolla huijataan uhreja? Kuinka moni asiakas haluaa oikeasti kesken pankkiasioinnin vaihtaa palvelun kielen suomesta englanniksi?
Pankki tai lautakunta eivät pysty kertomaan tarkasti, minkä virheen uhri on tehnyt, mutta päättelevät hänen toimineen väärin, koska muutakaan selitystä ei ole. Säästönsä menettäneen uhrin kannalta tämä on tylyä. Pitäisikö pankin järjestelmien olla sellaisia, että niissä jäisi riittävä ja myös käyttäjän ymmärtämä jälki kaikesta tapahtuneesta?
Pankeilla on aina ollut tekninen ja juridinen tiedon ylivoima. Miksei niiden järjestelmä havainnut selkeää rosvousta ja estänyt sitä? Pankin olisi pitänyt soittaa asiakkaalle eikä päinvastoin.
 |
| OP-pankin selkeä ilmoitus uuden puhelimen aktivoinnista (ei liity tähän tapaukseen). |
Ei ole oikein, että pankkitunnuksilla voi sulkea tai siirtää uhrin puhelinliittymän, jolloin kaikki uudet vahvistuskoodit ja varoitukset tulevat rosvon puhelimeen. Yksikin virhe voi siis johtaa koko tilin hallinnan menettämiseen. Tilille asetetuilla siirto- tai maksurajoituksilla ei ole merkitystä, koska rosvo poistaa ne. Yllä olevan kuvan varoitus on siis äärimmäisen tärkeä lukea ja ymmärtää!
 |
| Tämä asetus kannattaa tarkistaa Android-puhelimissa. |
Onko automaattinen tekstiviestikoodin syöttö vielä käytössä sivustoilla? Ilmeisesti kyse on tästä ominaisuudesta, joka voi olla vaarallinen. Kannattaa tarkistaa Asetukset > Google > Kaikki palvelut > Vahvistuskoodit tekstiviestillä.
Kun lautakunta kerran avaa tapahtumat näinkin selvästi, mikseivät pankit itse voi tehdä samaa? Tässä on paljon opittavaa kaikille.
Nähdäkseni pankit eivät ole myöskään mainostaneet tarpeeksi pankkitunnusten sulkunumeroa.
Tekstiä täydennetty 3.11.2025
15 kommenttia:
Suurin ongelma noissa kaikissa on nopeus.
Uuden laitteen aktivointi? Miksi ei voi olla vaikka 24h tai pankkipäivän pituista viivettä?
Tilien ja luottokorttien nostorajojen muutos, sama juttu.
Luottokortin käteisnosto tilille jos summa on > 50 euroa, edelleen sama juttu.
Tilisiirto ulkomaiselle SEPA-tilille, miksi eräpäiväksi voi asettaa HETI?
Jos on tilanne että on *oikeasti* kiire, niin tämän voisi ohittaa vain soittamalla asiakaspalveluun jossa langan päässä oleva ihminen voisi arvioida onko huijaus käynnissä. "Niin tässä on nyt tullut uusi laite käyttöön ja IP-osoite sanoo että se on Hong Kongissa" - "Joo, oon täällä reissussa, puhelin hajosi" - "Ok, vastailepa vähän lisäkysymyksiin ensin niin sit laitellaan sit heti käyttöön"
Ja tosiaan toisena seikkana on se mistä ranttasin edellisessä postauksessa että ainakin OP:lla mobiilipankissa näkyvät *kaikki* pankkiasiat, myös jos sinulle on annettu valtuutuksia, eli fyysisen tietoturvan ongelmat. Tämän vuoksi minulla ei ole enää puhelimessa OP:n pankkisovellusta.
Palvelu on ajateltu bisneksen ehdoilla. Rahan pitää liikkua nopeasti, nyt 10 sekunnissa. Pankit vetoavat myös velvollisuuteensa siirtää rahat ilman viivyttelyä, mutta mikään ei estäisi toteuttamasta vapaaehtoisia, itse asetettavia viiveitä. Nordealla on tällainen tilimuoto Ruotsissa ja puolitoista vuotta sitten yritys lupaili sen tulevan myös Suomeen. Sen jälkeen mitään ei ole kuulunut.
Erityisesti ihmetyttää tuo uuden laitteen aktivointi, joka on ISO hälytysmerkki pankille ja teknisesti aivan yksinkertainen havaita. Uudesta laitteesta ei pitäisi voida heti ottaa luottoja tai tyhjentää tiliä. Tämän riskin on täytynyt olla pankin tiedossa.
On todella mielenkiintoista, miten kokonaisturvallisuusajattelu ei yksinkertaisesti mahdu pankkien päähän.
Monella vanhuksella saattaa helposti olla yli 100 000 euroa makaamassa talletustilillä. Kannattaa laittaa osa rahoista aina vuodeksi pitkäaikaistilille (määräaikaistili) kasvamaan korkoa. Määräaikaistililtä ei huijari pääse rahoja kavaltamaan, kuin vasta vuoden kuluttua.
Ainakaan itse en ole huomannut mediassa juttuja siitä, että tällaisia huijareita olisi saatu kiinni ja tuomiolle. Onkohan ketään edes tunnistettu? Minusta olisi tärkeää tietää, millaiset toimijat ovat kyseessä eli kenellä on vaadittavat tekniset kyvykkyydet, minne varastetut rahat päätyvät, kuka koodaa tarvittavat softat jne. Herää epäilys, että kyse ei ole ihan perushakkerista? Tavallinen pankkiasiakas ei voi neuvotella pankin kanssa esim. turvajärjestelyistä, ne tulevat annettuna. Jos itse ei voi parantaa omaa suojaansa, pankilla ei ole vastuuta ja huijarina on järjestäytynyt rikollisuus, niin kuluttajan asema on todella heikko. Ehkä pitäisi nostaa tilit tyhjäksi, silloin ainakin voisi huolehtia itse käteisestä.
FINE on selkeästi puolueellinen elin tähän. Pitäisi olla riippumaton elin, jonka jäsenilllä ei olisi mitään kytkentöjä pankkimaailmaan. On suorastaan outoa sanoa, että pankki on vastuussa viestinnästä, mutta sitten kuitenkin kaataa vastuu asiakkaan niskaan.
Kun talletat rahoja, pankki vaatii näyttämään mistä on saatu, mutta pois voivat siirtää asiakkaan rahat ilman mitään. Rehellistä asiakasta kiusataan ja rikkollisia autetaan.
Nämä loppuisivat kuin seinään, jos vastuu pantaisiin pankille.
"Hei äiti" -huijareita ja "Turvatili"-soittajia on saatu kiinni, Kuopiossa tuomittiin juuri ensimmäiset syylliset isosta huijauksesta. Nämä tilien tyhjennykset tehdään luultavasti ulkomailta, kotimaassa saattaa olla apuna muuleja, mutta laki estää pankkeja ilmoittamasta muuleista toisille pankeille ja jopa poliisille.
Se, että syötekenttä verkkosivulla tai pankin sovelluksessa osaa imaista koodin saapuvasta tekstiviestistä pitää ymmärtääkseni koodata siihen erikseen. Jos kenttä on niin tärkeä että virheliikkeellä menettää kaikki rahansa, niin ehkäpä pankit voisivat jättää tämän automaation pois, jolloin numerot pitäisi aina syöttää käsin.
Totta, tuntuu epätodennäköiseltä että suomalaisella pankilla olisi tällainen järjestely. Muutama vuosi sitten törmäsin tällaiseen kuitenkin Suomessa, saattoi olla Uber-rekisteröinti tms., ja hämmästyin sitä itsekin. Kätevää ja nopeaa kyllä. Selostus ei kerro, mistä uhri on tällaisen idean saanut. Tästäkin syystä pankkien kannattaisi kertoa avoimemmin tapauksista. Nyt uhrin muistikuvista jää turhia epäilyksiä.
Muiden juttujen lisäksi toivoisin muutosta uuden laitteen tai mobiilipankin aktivointikoodiin. Muistelisin, että olet näin joskus itsekin sanonut. Mielestäni se saisi olla oleellisesti erilainen kuin muut vahvistuskoodit, mielellään ehkä jopa vähän vaikea, vrt. vaikka menneinä aikoina käsin syötettävät ohjelmistojen lisenssiavaimet.
Rahojen liikuttamiseen käytetyn koodin pitäisi erota selvästi kirjautumiseen käytettävästä koodista, koska tehtävät ovat niin erilaisia. Vähintäänkin kirjautumis- ja maksamistunnusta kysyvän sivun pitäisi kertoa värikoodilla, kummasta on kyse. Muuten on riski, että kalastelusivuilla saadaan ihmisiltä koodi rahansiirtoon, vaikka uhri luulee olevansa kirjautumassa viranomaispalveluun. Tällainen muutos olisi vieläpä teknisesti helppo toteuttaa.
Lieneekö puhdasta sattumaa vai mitä, mutta juuri tuo Revolut-pankki on kovasti mainostanut ainakin Youtubessa viime viikkoina Roni Back-nimisen tubettajan kasvoilla.
Kävin kokeeksi maksamassa laskun puhelimen (iPhone) selaimella oman pankin verkkopankissa, ja tekstiviestissä tullut vahvistuskoodi hyppäsi yhdellä klikkauksella sitä kysyvään kenttään -- ei siis kuitenkaan täysin itsestään -- ja painoi vielä virtuaalisesti enteriä, mikä sinetöi maksutapahtuman. Tuossa käytön helpottaminen on mielestäni vielä ok, mutta toivottavasti samaa ei harrasteta kun kyseessä on koodi, joka voi avata rikollisille kaikki portit. Automaattitäytön asetuksiin en ole koskenut.
Mikä pankki oli kyseessä?
Revolut on laajentunut ja mainostanut aggressiivisesti, houkutellen varsinkin nuoria nettikäyttäjiä pieniin kryptosijoituksiin.
Tuosta tilisiirtoon vaaditusta nopeudesta: Ainakin Nordealla on erikseen yritystilit sekä yksityistilit (ja edellisissä ihan saatanalliset palvelumaksut joihin törmännyt pienen yhdistyksen rahastonhoitajana). Ei olisi vaikeaa heille pitää salamannopeat tilisiirrot yritystileillä ja vaikkapa oletusarvoisesti tunnin viive yksityistileillä.
Lähetä kommentti