Puhelimeen kilahtelee jatkuvasti kalasteluviestejä, joilla yritetään saada uhri luovuttamaan pankkitunnuksensa. Juuri nyt aktiivisena on ovela kampanja, jossa ilmoitetaan ajanvarauksesta lääkäriin tai sosiaalitoimen palveluun, ja tarjotaan linkki perumista varten. Peruminen vaatii tietenkin tunnistautumisen, johon kelpaavat vain pankkitunnukset.
Minulta kysytään usein, miksi huijarit kalastelevat pankkitunnuksia. Eihän yhdellä tunnistuskerralla voi edes siirtää rahaa.
Yksikin tunnistuskerta saattaa riittää pankin tunnistusohjelman asentamiseen rosvon puhelimeen, jolloin tilin hallinta menetetään täydellisesti. Toinen mahdollisuus on mobiilivarmenteen kaappaaminen.
Mobiilivarmenne omaan puhelimeen voidaan hakea pelkällä pankkitunnistamisella. Juju on siinä, ettei hakemisen yhteydessä tarkisteta, kenen puhelimeen varmenne varsinaisesti tulee. Jos uhri erehtyy syöttämään pankkitunnuksensa kalastelusivulle, rosvo saa hänen mobiilivarmenteen omaan puhelimeensa ja pystyy siitä eteenpäin todentamaan itsensä vahvasti moniin viranomais- ja lainapalveluihin.
Pahinta tässä on se, että uhri luulee selvinneensä säikähdyksellä. Tilille ei päästy eikä rahaa kadonnut. Vahinko paljastuu vasta myöhemmin, kun mobiilivarmenteella on otettu esim. pikavippejä tai asioitu uhrin puolesta viranomaisiin päin. Myös epäluotettava (ex-)puoliso voi napata identiteetin omaan puhelimeensa ja aiheuttaa monenlaista vahinkoa.
Olen yrittänyt herättää tästä keskustelua, mutta laihoin tuloksin. Viranomaiset suosittelevat mobiilivarmennetta pankkien ulkopuoliseen asiointikäyttöön, joten olisi kohtuullista että ne myös varoittaisivat väärinkäytön mahdollisuuksista tai vaatisivat lisää suojakeinoja.
Kokeilin asiaa käytännössä tuttavan puhelimella. Hänellä sattui olemaan Telian liittymä, joten esimerkit ovat sieltä. Käsittääkseni käytäntö on sama kaikilla operaattoreilla.
 |
| Erittäin turvallinen, helppokäyttöinen. |
Mobiilivarmenteen aktivointi käynnistyy operaattorin sivulta.
 |
| Voit itse valita numeron, johon varmenne asennetaan. |
Puhelinnumeroa kysytään, mutta missään ei tarkisteta, kenelle liittymä kuuluu. Mahdotonta se olisikin, koska liittymä voi olla yrityksen nimissä. Aiemmin mobiilivarmenteen pystyi hakemaan vain henkilökohtaisella käynnillä asiointipisteeseen ja vain henkilökohtaiseen liittymään, mutta vaatimuksista luovuttiin kilpailun lisäämiseksi. Se johti turvallisuuden heikkenemiseen.
Asiakas hyväksyy Palvelun erityisehdot, joiden kohta 2. Palvelun käyttöönotto käsittelee juuri tätä tilannetta:
Palvelun voi rekisteröidä itselleen sen matkapuhelinliittymän tunnistettu käyttäjä, jonka matkapuhelinliittymään Palvelua ollaan liittämässä. Telia tekee tarvittaessa tarkistuksen, onko liittymä Käyttäjän hallussa.
Käyttäjä vastaa siitä, että hänellä on liittymän omistajan (”Asiakas”) valtuutus Palvelun tilaamiseen.
Operaattori varaa itselleen oikeuden tehdä tarvittaessa tarkistuksia liittymän todellisen käyttäjän henkilöllisyydestä. Oikeus siis on, mutta sen käyttäminen lienee harvinaista. Joka tapauksessa riski on tiedostettu myös operaattorin päässä.
Lisäksi sopimus mainitsee erikseen, että jos rekisteröijä ei ole liittymän haltija, asiakassuhde syntyy käyttäjän ja operaattorin välille:
Jos henkilö, joka on rekisteröimässä itselleen Palvelua, ei ole kyseisen matkapuhelinliittymän omistaja, syntyy Palvelua koskevan hakemuksen hyväksymisen seurauksena asiakassuhde varmenteen hakijan ja Telian välille. Käyttäjää koskevat Palveluun liittyvät velvoitteet ovat Käyttäjän ja Telian väliset
Kohdassa 6 todetaan vielä, että Käyttäjä on velvollinen säilyttämään Tunnistusvälinettä huolellisesti, eikä sitä saa luovuttaa toisen käyttöön.
Pankkitunnuksissa on samat velvoitteet, mutta pankit todella tarkistavat asiakkaan ennen verkkopankkitunnusten luovuttamista. Jos esimerkiksi vanhus vaikuttaa epävarmalta eikä kykene nettiasiointiin, tunnuksia ei luovuteta.
Mobiilivarmenteen saa ilman mitään tarkistuksia, vaikka molemmilla on sama vahvan todennuksen luottamusasema.
Sitten tulee kriittinen kohta: mobiilivarmenteen hakijan pitää tunnistautua pankkitunnuksilla tai varmennekortilla. Jostain syystä HighTrust-ohjelma ei kelpaa, vaikka se on Suomi.fi-portaalin listalla.
 |
| Tähän kohtaan kalasteluhuijarit iskevät. |
Tässä kohdassa kalasteluhuijarit iskevät. Kun uhri saadaan kirjautumaan edes kerran omilla pankkitunnuksillaan, rosvo saa asennettua hänen mobiilivarmenteensa itselleen.
Kaikki ilmoitukset uuden varmenteen käyttöönotosta tulevat alussa annettuun puhelinnumeroon, joten uhri ei näe niitä. Uhri ei välttämättä havaitse lainkaan, että hänen vahva sähköinen identiteettinsä on siirtynyt toiseen puhelimeen ja siten toisen henkilön käyttöön. Tämä antaa huijarille aikaa toimia.
Samanaikaisesti voimassa olevia mobiilivarmenteita voi hakea useisiin puhelimiin, mitään rajoitusta ei ole. Vähintäänkin pitäisi olla palvelu, josta voisi itse tarkistaa, kuinka monta mobiilivarmennetta omalla HETUlla on käytössä, missä numeroissa ne ovat ja mihin niillä on viimeksi tunnistauduttu.
Muutama huomautus on paikallaan. Puhelimessa voi olla vain yksi varmenne, joten tarvitaan liittymä, johon varmennetta ei vielä ole aktivoitu. Varmennetta ei voi saada prepaid-liittymiin, joten rosvo tarvitsee "oman" puhelimen.
Liittymää avattaessa operaattori tarkistaa asiakkaan henkilöllisyyden, koska kyse on luotollisesta postpaid-sopimuksesta. Huono juttu rosvon kannalta. Siksi huijarit käyttävät varastettuja puhelimia tai muuleja, jotka luovuttavat puhelimensa pientä korvausta vastaan. Liittymän pitää olla sellainen, ettei siihen ole aiemmin aktivoitu mobiilivarmennetta.
Tarkkaavainen uhri voi ihmetellä, miksi pankkivarmennuksessa otsikossa lukee "Mobiilivarmenne rekisteröinti" eikä kirjautuminen terveyskeskuksen tai sosiaalipalvelun portaaliin.
 |
| Tämä voi paljastaa huijauksen, jos on tarkkana. |
Vielä viimeinen yksityiskohta: mobiilivarmenne on voimassa viisi vuotta. Joissakin tapauksissa sim-kortti pitää käydä vaihtamassa uuteen, joillakin operaattoreilla varmenteen voi uusia verkkopalvelussa tunnistautumalla. (Tekstiä muokattu) Elisalla varmenne on aina sidottu sim-korttiin eikä sitä voi uusia netissä, vaan kortti pitää vaihtaa asiakaspalvelussa. DNA:lla ja Telialla (?) uusinta onnistuu nettisivulta.
eSIMiä käyttävät puhelimet ovat vielä oma lukunsa. Yleensä niissä on myös tavallinen SIM-paikka, ilmeisesti iPhone Air on ainoa Suomessa myytävä puhdas eSIM-malli (?). Telia tarjoaa mobiilivarmenteen myös eSIMiin.
Sitten on vielä toinenkin tapa huijata uhria, mutta se on erillisen kirjoituksen asia.
Lisäys: suojakeinoista: uuden mobiilivarmenteen käyttöönotto pitäisi vaatia vähintään kaksi pankkitunnistusta. Se ainakin vaikeuttaisi aktivointia.
Vaatimus henkilökohtaisesta käynnistä asiointipisteessä voi olla liikaa vaadittu, etenkin jos halutaan säilyttää käyttö myös yritysliittymissä. Lisäksi uutta varmennetta käyttöönotettaessa operaattorin pitäisi tarkistaa, onko samalla SATUlla jo aiempia varmenteita, ja informoida niiden omistajia (vaikka tekstiviestillä?). Pitäisi myös olla palvelu (SATUja hallinnoiva DVV?) josta näkee, kuinka monta mobiilivarmennetta itsellä on ja mihin niitä on viimeksi käytetty.
Ennen kaikkea pitää olla tietoinen tästäkin väärinkäytön mahdollisuudesta. Jos uhri ei tunnista nimissään tehtyjä sitoumuksia, hänen tai poliisin pitäisi osata tarkistaa, onko käytössä ollut muita uhrin identiteettiin liittyviä varmenteita.
22 kommenttia:
erinomainen artikkeli, itse hankin mobiilivarmenteen, mutta en ole käyttänyt sitä vaistomaisesti esittämääsi yksinkertaisesta syystä - mobiilivarmenne on "pysyvä", kun pankkitunnuksilla tunnistautuminen vaatii joka kerta kolme eri "tunnusta", joista yksi on uusi ja vain minun tiedossa: tunnusluku. Kun jäin vuosi sitten eläkkeelle käräjätuomarin tehtävästä ei vielä ollut mobiilivarmenteen väärinkäyttötapauksia. Toivottavasti vanhimmat ja helpoiten hyväksikäytettävät eivät osaa hankkia mobiilivarmennetta.
Mobiilivarmenteen voimassaolosta (5v): Ainakin DNA:lla varmenteen uusiminen onnistui samalle SIM-kortille, eli uutta SIM-korttia ei tarvittu.
Eikö häirinnänestokoodi ole tarkoitettu tätä varten?
Näin oli minullakin. Eikä tarvinnut mennä palvelupisteeseen uusimaan mobiilivarmennetta vaan soitto DNA:han riitti. Sanoivat irti varmenteen ja pystyin aktivoimaan sen uudestaan omalla DNA:n sivulla.
Pankkien olisi todennäköisesti helppo tehdä sellainen muutos että mobiilivarmenteen vahvistamisesta tulee ilmoitus tilinhaltijalle ja tekstiviesti-ilmoitus tapahtumasta.
jatkoa. Ilmoituksessa on tietysti oltava mainittuna se puhelinnumero, mihin mobiilivarmiste asennettiin. Tämän kertominen tilinhaltijalle on laillista koska pankin kannaltahan haltija loi mobiilivarmisteen itse.
Mutta tähänkin mobiilivarmenteen kaappaamiseen tarvitaan ensin niiden pankkitunnusten kaappaaminen. Jos niitä ei ole kaapattu, ei voi kaapata mobiilivarmennettakaan. Ja samalle kortille sain itse kyllä Telialla uusittua mobiilivarmenteen kun sen voimassaolo päättyi.
Ilmoitus tietysti pankkitilin ilmoituksiin. Silloin tapahtuma jää pysyvästi talteen.
Siitä ei ole apua, koska aktivointi tehdään pankkitunnistuksella.
Eikö häirinnänestokoodi ole tarkoitettu tätä varten?
Häirinnänestokoodi ei tässä auta, koska rosvo luo uuden varmenteen uhrin nimissä, ja voi asettaa sille haluamansa estokoodin (tai olla asettamatta mitään). On tärkeä ymmärtää, että alkuperäistä varmennetta tai sen koodeja EI varasteta eikä kopioida - uhrin nimissä luodaan uusi, rinnakkainen varmenne rosvon valitsemilla koodeilla. Itselläni on mobiilivarmenne kolmessa eri puhelimessa (ja eri liittymissä), mutta ne on kaikki kytketty samaan HETU/SATU:un eli voin asioida niistä millä tahansa.
Kiitos Petteri, erinomainen ja tarpeellinen avaus. Arvostan erityisesti sitä, että kuvasit prosessin askel askeleelta ja testasit käytännössä – tämä tekee riskistä konkreettisen myös niille, joille “vahva tunnistus” kuulostaa automaattisesti turvalliselta. Olen samaa mieltä: jos mobiilivarmennetta suositellaan pankkien ulkopuoliseen asiointiin, käyttöönoton pitäisi sitoa varmenne luotettavasti juuri siihen liittymään/puhelimeen ja käyttäjälle pitäisi olla helppo tapa tarkistaa omat aktiiviset varmenteet. Toivottavasti tämä herättää operaattorit ja viranomaiset korjaamaan aukon ennen kuin tästä tulee seuraava massailmiö.
Hämmentävän vähäisin varmistuskeinoin tapahtuu asiakkaan antama valtuutus vahvan sähköisen identiteetin käyttöön, kun mobiilivarmenteen tilaa joku muu kuin liittymän omistaja. Se, että olisi paikka, jossa on omaan hetuun liitetyt tunnistusvälineet olisi kyllä erinomainen uudistus.
Itse muistan vieläkin kun uusin oman mobiilivarmenteen omaan liittymääni ja siihen aikaan ei kelvannut liikkeessä käynti plus ajokortti. Asiointi oli tehtävä uudelleen PASSIN kanssa. Luulin että tämä on vieläkin yhtä tarkkaa, kyseessä on kuitenkin henkilöllisyystodistus.
Kaikki eivät hahmota mobiilivarmenteen merkitystä: se on sähköinen identiteetti, jolla voi tehdä myös sitovia sopimuksia. Pikavipin lisäksi voit (ainakin teoriassa) allekirjoittaa sillä sähköisesti asuntosi myynnin (allekirjoitus-PIN). Se on tältä osin jopa kriittisempi kuin pankkitunnukset, joilla voi ainoastaan todentaa itsensä (todennus-PIN). Ensi sijassa tämä korostaa kalastelusivujen vaarallisuutta ja huolellisuutta pankkitunnusten käytössä. Jos menee KERRAN halpaan, mitään ei ehkä näytä tapahtuvan, eikä uhri huomaakaan että hänen digitaalinen identiteettinsä on lähtenyt elämään omaa elämäänsä toisessa laitteessa.
Hassua, mä en oo saanu laisinkas tollasia huijausviestei. Mitähä mä oon tehny väärin (tai oikein)?
Uudesta käyttöönotetusta mobiilivarmenteesta voisi lähettää Suomi.fi-viestin, jossa kerrotaan mihin numeroon rekisteröinti on tehty. Ja ohje miten toimia, jos kyseessä on väärinkäyttö.
Hightrust ID:tä pitäisi ylipäätään tukea tunnistautumisessa enemmän. En tosin tiedä, voiko joku kopioida toisen henkkarit oman puhelimensa Hightrust ID:hen, jos saa uhrin henkkarit haltuunsa.
Itse kyllä mieluummin kirjaudun yli 20000 palveluun Mobiilivarmenteella kuin pankkitunnuksilla. Mutta jokainen tekee itse oman valintansa. Jonkun yhdistyken tai kuntosalin sivuille pankkitunnuksilla. Ei kiitos.
Pöytäkoneen selaimessa F-Securen pankkisuojaus: "Pankkitoimintojen suojaus tunnistaa verkkopankkisivustojen suojatut yhteydet automaattisesti ja estää kaikki yhteydet, jotka eivät siirry tarkoitettuun sivustoon. Kun avaat verkkopankkisivuston, yhteydet sallitaan vain niihin tai verkkopankkitoimintojen suorittamiseen turvallisiin sivustoihin." Entäs sitten ne 20000 muuta sivua, jossa käytetään pankkitunnistautumista.
Mistä pankki voisi tietää, mihin puhelinnumeroon mobiilivarmennetta ollaan liittämässä? Operaattorilla tämä tieto on, samoin se tietää ko. asiakkaan puhelinnumeron ja voisi lähettää varoitusviestiä aktivoinnista, niin kuin Petteri taisi ehdottaakin.
Onkohan ainoa tapa saada selville tilaamansa mobiilivarmenteet soittaminen jokaiselle sellaista tarjoavalle operaattorille? Onnistuukohan edes?
Omasta mielestani nain tarkeassa asiassa vaatimus henkilokohtaisesta asioinnista ei ole kovin suuri. Kerran viidessa vuodessa kayda jossain konttorissa....
Eikö tässäkin ole suurin osa pankkitunnusten käytössä mobiilivarmenteen käyttöönotossa. Miksi pitää käyttää pankkitunnuksia muuhun kuin pankkiasiointiin? Pitääkö tehdä lakialoite pankkitunnusten kieltämisestä tunnistautumisen yhteydessä?
Ajokortti ei ole kelvannut enää pitkään aikaan viralliseksi henkilötodistukseksi. Syy on siinä, että Suomi ei voi edellyttää EU säädösten mukaan, että se hyväksyisi vain Suomessa myönnetyn ajokortin., Sellainen syrjisi muiden maiden EU ajokortin haltijoita.
Koska EU ajokorttien myöntämisen kontrolli ei ole ollut jokaiseessa EU-maassa niin hyvin hoidetttu, luottamus siihen että ei olei myönnetty väärillä tiedoilla oikeille henkilöille ja väärille henkilöille. Suomessakin kun vaihdettiin pahvisia ja sitten niitä isompia muovisia ajokortteja EU-ajokorteihin, ei vielä ymmärretty tarkistaa hakevan ihmisen henkilötietoja niin hyvin kun olisi pitänyt tehdä.
Minäkin vaihdoin EU-ajokorttiin pahvisesta -98 ja poliisi kirjasi tiedot vain vanhasta kortista ja katsoi, että 20v aikaisemmin ollut kuva muistutti etäisesti vielä minua.
Niin kun piti tehdä päätös mitkä asiakirjat hyväksytään virallisiksi vahvan tunnistamisen henkilötodistuksiksi niin piti EU-ajokortti jättää pois tästä listasta.
Ajokortti kelpaa silti vielä paikoissa jossa tavanomainen tunnistaminen riittää, ei siellä missä lainsäädäntö edellyttää vahvaa tunnistamista.
Pankeissa edellytetään vahvaa tunnistamista, koska pankkitunnistautumista käytetään viranomaisten kanssa asiointiin.
Siinä on taustat sille, miksi EU-ajokortti ei ole enää virallinen henkilötodistus jolla voi todistaa vahvasti henkilöllisyyden.
Onhan siitä puhuttu, että pitäisi olla joku pankeista riippumaton tunnistuspalvelu mutta mitään ei (kai) ole sen osalta tapahtunut.
Lähetä kommentti