Helsingin Sanomat kertoi 25.3.2026 pankkihuijauksesta, jossa e-sim tekniikalla oli merkittävä rooli. Tällaisia huijauksia on osattu odottaa, poliisi varoitti asiasta jo viime syksynä omalla tiedotteellaan: Poliisi varoittaa puhelinliittymien kaappauksista. Liittymän kaappaaminen (sim swapping) on ollut ennenkin mahdollista, mutta e-sim tekee sen entistä helpommaksi.
Mikä siis on e-sim? Perinteinen SIM (Subscriber Identity Module) on pieni muistkortti (oik. älykortti), johon operaattorin asiakkuus on sidottu. Kymmenkunta vuotta sitten markkinoille tulivat ensimmäiset puhelimet, joihin sim-toiminnallisuuden voi ladata ohjelmallisesti suoraan verkosta. Tästä käytetään nimitystä e-sim.
Esimerkiksi turisti voi ostaa helposti paikallisen liittymän jo ennen matkaa (tai sen aikana), ja näin välttää kalliit roaming-hinnat reissun aikana. Itse olen käyttänyt Airalo-palvelua ja se on toiminut hyvin. Puhelimessa voi olla useita liittymiä, joita vaihdetaan puhelimen asetuksista tarpeen mukaan. Oikein näppärää - mutta juuri siksi myös vaarallista.
Verkkopankissa riski on suurin niillä, joiden tunnistus perustuu tekstiviestillä saataviin koodeihin eikä pankin omaan todennussovellukseen. Kaappaamalla liittymän itselleen rosvo pystyy tyhjentämään tilin, koska hän saa kaikki koodit ja lisävarmistukset itselleen.
Mitä tapahtui?
Tässä tapauksessa uhri yritti kirjautua Omavero-palveluun, ja kirjoitti iPadin osoitekenttään pelkän sanan Omavero. Se on tietenkin virhe, osoite pitäisi kirjoittaa aina kokonaisena, eikä luottaa hakukoneeseen. Tässä tapauksessa uhri ohjautui valesivulle, jossa hän yritti kirjautua neljä kertaa antamalla Aktian pankkitunnukset. Tuloksena oli virheilmoituksia ja pyyntö syöttää tunnukset uudestaan.
Sen jälkeen asiakas luovutti, mutta rosvot olivat jo saaneet haluamansa. Liittymän siirto e-simille vaati Telian sivulla vain kaksi vahvaa todennusta ja QR-koodin, joka näkyi rosvoille. Uhrin puhelimeen tuli vain viesti, että e-sim on aktivoitu.
Sen jälkeen liittymä lakkasi toimimasta alkuperäisessä puhelimessa ja rosvoilla oli täysi hallinta uhrin tilille. Rosvot siirsivät kaikki rahat Italiaan ja ottivat vielä luottoa, jolloin uhri menetti 23 000 euroa.
Uhri ei ollut koskaan siirtänyt rahaa ulkomaille. Tilien tyhjentäminen ulkomaille ja luoton maksimointi olisi pitänyt olla punainen lippu pankille, mutta sen järjestelmät eivät reagoineet. Kiitos EU:n pikamaksun rahat lähtivät muutamassa sekunnissa Italiaan ja hävisivät.
Uhri huomasi asian vasta seuraavana aamuna, kun hänen puhelimensa oli lakannut toimimasta. Yhteydenotto pankkiin toisella puhelimella ei enää auttanut, rahat olivat poissa. Poliisi otti vastaan rikosilmoituksen, mutta lopetti tutkinnan viikon päästä, koska summa oli alle 10 000 euroa ja kyse kansainvälisestä rikollisuudesta. Koko summa oli yli 20 000 euroa, mutta tiedon korjaaminen ei enää vaikuttanut poliisin toimintaan.
Onneksi tällä kertaa FINE asettui uhrin puolelle ja suositteli Aktiaa korvaamaan vahingon. Vaikka asiakas oli kieltämättä huolimaton, pankki itse oli vielä huolimattomampi eikä kantanut omaa vastuutaan tietoturvasta.
Pankkien ja operaattorien vastuu?
Aktia-pankilla on oma todennussovellus, joka olisi luultavasti estänyt rahojen siirron. Sen kuittaus on sidottu nettiyhteyteen ja laitteen sisäiseen tunnisteeseen, ei liittymän puhelinnumeroon. Miksi Aktia edes sallii vanhan ja turvattoman menetelmän käytön? Varmaan siksi, ettei kaikilla asiakkailla vieläkään ole älypuhelinta. Se ei kuitenkaan vapauta pankkia vastuusta: kaikkien tunnistustapojen pitää olla turvallisia asiakkaalle.
Uhri luuli kirjautuvansa Omaveroon, mutta koodit tulivatkin kirjautumisesta pankkiin. Tämä tieto ei näkynyt tekstiviestissä, vaikka se olisi ollut helppo lisätä. Tekstiviesti oli samanlainen myös Telian liittymäsiirtoa tehtäessä. Kohteen maininta tekstiviestissä voi olla teknisesti mahdotonta, mutta ainakin pankin oma kirjautuminen pitäisi näkyä viestissä ("Olet kirjautumassa Aktian pankkipalveluun..." vs. "Olet kirjautumassa johonkin muuhun kuin Aktian palveluun, varmista osoitteen oikeellisuus").
Telian e-sim -aktivointiviesti ei myöskään sisältänyt mitään varoitusta luvattomasta käyttöönotosta. Tämän pitäisi olla yleinen käytäntö, kuten nettipalvelujen sähköposti-ilmoitukset osoittavat: "Yrititkö kirjautua tilillesi... jos et ollut sinä, vaihda salasanasi" tms. Uhri ei ymmärtänyt, mikä on e-sim, ja miksi hän sai siitä operaattoriltaan ilmoituksen.
Tämä jaksaa aina ihmetyttää minua. Pankkien ja operaattorien pitäisi tietää riskit. Heillä on tietoturvaihmisiä, jotka työkseen seuraavat uhkia ja tapahtumia maailmalla. Silti he eivät mieti väärinkäytön mahdollisuuksia ja varaudu niihin ennakolta. Kaikki on aina asiakkaan vastuulla ja ongelmat hänen huolimattomuuttaan.
Monella on myös vääriä käsityksiä huijarien oveluudesta. Uskotaan, että pankkien siirtorajoitukset estävät suuret vahingot. Eivät estä, sillä jos tilin saa hallintaansa, rajoitukset voi poistaa. Osa pankeista tekee sen vielä helpommaksi sallimalla lennossa kielen vaihdon englanniksi.
Tai että "ei vaaraa, koska siirtoihin vaaditaan vahva tunnistaminen". Rosvot osaavat kiertää nämä huijaamalla uhria. Edes IT-ammattilaiset eivät aina näe heikkouksia siellä, missä ne ovat.
Olen ehdottanut pankeille turvaparannuksia niin monta kertaa, että toistan ne vain lyhyesti: viiveelliset siirrot ulkomaille, ulkomaansiirtojen lukitus jos ei siirtoja ulkomaille kahteen vuoteen, isojen siirtojen lisävarmistus etukäteen nimetylle varahenkilölle, tilin tyhjennyksen + luoton estäminen ilta-aikaan... Kaikki nämä keinot ovat Ruotsin pankeilla käytössä, Suomessa ei kellään. Kukaan ei halua olla ensimmäinen, koska silloin muut joutuisivat seuraamaan.
Suomi oli joskus verkkopankkien turvallisuuden edelläkävijä. Nykyinen tilanne harmittaa ja suututtaa. Sekin harmittaa, ettei asia tunnu kuuluvan kenellekään. Odotetaan, että markkinat ratkaisevat ongelman. Lupauksista huolimatta mitään näkyvää ei ole tapahtunut. Pankit eivät halua nähdä vaivaa ja hankkia lisäkustannuksia ellei niitä velvoiteta siihen.
Niinpä ongelmista räksyttäminen jää minulle, vaikka olen täysin ulkopuolinen enkä haluaisi kritisoida pankkeja tai operaattoreita.
Lopuksi erittäin tärkeä neuvo: varmista omalta lähipiiriltäsi (isä, äiti, isoisä, isoäiti ym) ettei heillä ole käytössä pelkkään tekstiviestitunnistukseen perustuvaa verkkopankkia. Tekstiviesteihin ei voi enää luottaa!
PS. E-sim mahdollistaa myös tupla-sim-huijauksen, jossa rosvo voi saada tekstiviestillä tulevat varmistuskoodit huomaamatta omaan puhelimeensa.
1 kommentti:
Kiitos Petteri, että jaksat räksyttää! Muutkin asiantuntijat saisivat pitää meteliä tärkeästä asiasta. Yksikin väärä klikkaus saattaa olla ihmiselle katastrofi, ei näin pitäisi olla.
Lähetä kommentti