Helsingin Sanomat kertoi 25.3.2026 pankkihuijauksesta, jossa e-sim tekniikalla oli merkittävä rooli. Tällaisia huijauksia on osattu odottaa, poliisi varoitti asiasta jo viime syksynä omalla tiedotteellaan: Poliisi varoittaa puhelinliittymien kaappauksista. Liittymän kaappaaminen (sim swapping) on ollut ennenkin mahdollista, mutta e-sim tekee sen entistä helpommaksi.
Mikä siis on e-sim (eSIM)? Perinteinen SIM (Subscriber Identity Module) on pieni muistkortti (oik. älykortti), johon operaattorin asiakkuus on sidottu. Kymmenkunta vuotta sitten markkinoille tulivat ensimmäiset puhelimet, joihin sim-toiminnallisuuden voi ladata ohjelmallisesti suoraan verkosta. Tästä käytetään nimitystä e-sim.
Esimerkiksi turisti voi ostaa helposti paikallisen liittymän jo ennen matkaa (tai sen aikana), ja näin välttää kalliit roaming-hinnat reissun aikana. Itse olen käyttänyt Airalo-palvelua ja se on toiminut hyvin. Puhelimessa voi olla useita liittymiä, joita vaihdetaan puhelimen asetuksista tarpeen mukaan. Oikein näppärää - mutta juuri siksi myös vaarallista.
Verkkopankissa riski on suurin niillä, joiden tunnistus perustuu tekstiviestillä saataviin koodeihin eikä pankin omaan todennussovellukseen. Kaappaamalla liittymän itselleen rosvo pystyy tyhjentämään tilin, koska hän saa kaikki koodit ja lisävarmistukset itselleen.
Mitä tapahtui?
Tässä tapauksessa uhri yritti kirjautua Omavero-palveluun, ja kirjoitti iPadin osoitekenttään pelkän sanan Omavero. Se on tietenkin virhe, osoite pitäisi kirjoittaa aina kokonaisena, eikä luottaa hakukoneeseen. Uhri päätyi valesivulle, jolle hän yritti ensin kirjautua oikeaoppisesti mobiilivarmenteella. Se antoi kuitenkin virheilmoituksen (usein merkki huijaussivusta). Sen jälkeen uhri kokeili Aktian pankkitunnistusta. Hän syötti tunnukset neljä kertaa muutaman minuutin aikana, mutta virheilmoitus toistui itsepintaisesti.
Lopulta asiakas luovutti, mutta rosvot olivat jo saaneet haluamansa. Liittymän siirto e-simille vaati Telian sivulla kaksi vahvaa todennusta ja QR-koodin, joka näkyi rosvoille. Uhrin puhelimeen tuli vain viesti, että e-sim on aktivoitu.
Sen jälkeen liittymä lakkasi toimimasta alkuperäisessä puhelimessa ja rosvoilla oli täysi hallinta uhrin tilille. Rosvot yhdistivät rahaa toiselta tililtä päätilille ja ottivat vielä luottoa, minkä jälkeen kaikki siirrettiin Italiaan. Uhri menetti yhteensä 23 632 euroa. Vastaanottajien tileissä näkyy kaksi marokkolaista naisten nimeä, luultavasti muuleja. Myös ip-lokitieto viittaa Marokkoon.
Uhri ei ollut koskaan aiemmin siirtänyt rahaa ulkomaille. Eri tileillä olevien varojen yhdistämisen, luoton ottamisen ja sen jälkeen tilin tyhjentämisen olisi pitänyt olla punainen lippu pankille, mutta sen järjestelmät eivät reagoineet. Kiitos EU:n pikamaksun rahat lähtivät muutamassa sekunnissa Italiaan ja hävisivät.
Uhri huomasi asian vasta seuraavana aamuna, kun hänen puhelimensa oli lakannut toimimasta. Yhteydenotto pankkiin toisella puhelimella ei enää auttanut, rahat olivat poissa. Poliisi otti vastaan rikosilmoituksen, mutta lopetti tutkinnan viikon päästä, koska summa oli alle 10 000 euroa ja kyse kansainvälisestä rikollisuudesta. Koko summa oli yli 20 000 euroa, mutta tiedon korjaaminen ei enää vaikuttanut poliisin toimintaan.
Onneksi tällä kertaa FINE asettui uhrin puolelle ja suositteli Aktiaa korvaamaan vahingon. Vaikka asiakas oli kieltämättä huolimaton, pankki itse oli vielä huolimattomampi.
Pankkien ja operaattorien vastuu?
Aktia-pankilla on oma todennussovellus, joka olisi luultavasti estänyt rahojen siirron. Sen kuittaus on sidottu nettiyhteyteen ja laitekohtaiseen tunnisteeseen, ei liittymän puhelinnumeroon. Miksi Aktia edes sallii vanhan ja turvattoman menetelmän käytön? Varmaan siksi, ettei kaikilla asiakkailla vieläkään ole älypuhelinta. Se ei kuitenkaan vapauta pankkia vastuusta: kaikkien tunnistustapojen pitää olla asiakkaalle turvallisia. Pankilla on tiedollinen ylivoima, joka tuo vastuuta.
Uhri luuli kirjautuvansa Omaveroon, mutta koodit tulivatkin kirjautumisesta pankkiin. Tämä tieto ei näkynyt tekstiviestissä, vaikka se olisi ollut helppo lisätä. Tekstiviesti oli samanlainen myös Telian liittymäsiirtoa tehtäessä. Kohteen maininta tekstiviestissä voi olla teknisesti mahdotonta, mutta ainakin pankin oma kirjautuminen pitäisi näkyä viestissä ("Olet kirjautumassa Aktian pankkipalveluun..." vs. "Olet kirjautumassa johonkin muuhun kuin Aktian palveluun, varmista osoitteen oikeellisuus").
Telian e-sim -aktivointiviesti ei myöskään sisältänyt mitään varoitusta luvattomasta käyttöönotosta. Tämän pitäisi olla yleinen käytäntö, kuten nettipalvelujen sähköposti-ilmoitukset osoittavat: "Yrititkö kirjautua tilillesi... jos et ollut sinä, vaihda salasanasi" tms. Uhri ei ymmärtänyt, mikä on e-sim, ja miksi hän sai siitä operaattoriltaan ilmoituksen.
Tämä jaksaa aina ihmetyttää minua. Pankkien ja operaattorien pitäisi tietää riskit. Heillä on tietoturvaihmisiä, jotka työkseen seuraavat uhkia ja tapahtumia maailmalla. Silti he eivät mieti väärinkäytön mahdollisuuksia ja varaudu niihin ennakolta. Kaikki jää asiakkaan vastuulle ja ongelmat ovat hänen omaa huolimattomuuttaan.
Monella on myös vääriä käsityksiä nykyisten suojakeinojen toimivuudesta, vaikka ne on tehty erilaiseen uhkaympäristöön. Kuvitellaan, että pankkien siirtorajoitukset estävät vahingot, koska sama periaate toimii pankkiautomaateilla. Verkkopankissa se ei auta, sillä jos tilin saa hallintaansa, rajoitukset voi poistaa. Osa pankeista tekee sen vielä helpommaksi sallimalla lennossa kielen vaihdon englanniksi.
Tai että "ei vaaraa, koska siirtoihin/sim-tilaukseen vaaditaan vahva tunnistaminen". Rosvot osaavat kiertää nämä huijaamalla uhria. Edes IT-ammattilaiset eivät aina näe heikkouksia siellä, missä ne ovat, koska he luottavat liikaa teknisiin suojakeinoihin. Yksi syy tähän on salailu: pankit eivät kerro tapauksista julkisesti vaan vetoavat aina tietosuojaan.
Olen ehdottanut pankeille käytännön turvaparannuksia niin monta kertaa, että toistan ne vain lyhyesti: viiveelliset siirrot ulkomaille, ulkomaansiirtojen lukitus jos ei siirtoja ulkomaille kahteen vuoteen, isojen siirtojen lisävarmistus etukäteen nimetylle varahenkilölle, tilin tyhjennyksen + luoton estäminen ilta-aikaan... Kaikki nämä keinot ovat Ruotsin pankeilla käytössä, Suomessa ei kellään. Kukaan ei halua olla ensimmäinen, koska silloin muut pankit joutuisivat seuraamaan, ja se maksaisi.
Suomi oli joskus verkkopankkien turvallisuuden edelläkävijä. Nykyinen tilanne harmittaa ja suututtaa. Sekin harmittaa, ettei asia tunnu kuuluvan kenellekään. Odotetaan, että markkinat ratkaisevat ongelman. Lupauksista huolimatta mitään näkyvää ei ole tapahtunut. Pankit eivät halua nähdä vaivaa ja hankkia lisäkustannuksia, ellei niitä velvoiteta siihen.
Niinpä ongelmista räksyttäminen jää minulle, vaikka olen ulkopuolinen enkä haluaisi kritisoida pankkeja tai operaattoreita.
Lopuksi erittäin tärkeä neuvo: varmista omalta lähipiiriltäsi (isä, äiti, isoisä, isoäiti ym) ettei heillä ole käytössä pelkkään tekstiviestitunnistukseen perustuvaa verkkopankkia. Tekstiviesteihin ei voi enää luottaa!
PS. E-sim mahdollistaa myös tupla-sim-huijauksen, jossa rosvo voi saada tekstiviestillä tulevat varmistuskoodit huomaamatta omaan puhelimeensa.
Kiitos Petteri, että jaksat räksyttää! Muutkin asiantuntijat saisivat pitää meteliä tärkeästä asiasta. Yksikin väärä klikkaus saattaa olla ihmiselle katastrofi, ei näin pitäisi olla.
VastaaPoistaOnneksi sentään torjuttujen huijausten prosenttiosuus oli noussut edellisestä vuodesta. Se ei kuitenkaan ole syy jättää matalalla roikkuvia hedelmiä poimimatta.
PoistaAinut ongelma tässä on, että kuka tahansa voi aktivoida mobiilipankin käymättä pankissa. Jos sen mobiilipankin aktivointi vaatisi f2f-tapaamisen virkailijan kanssa, yksikään tämäntyyppinen huijaus ei toimisi. Minä ainakin haluaisin omaan asiakassopimukseeni pykälän "EI SAA AVATA MOBIILIPANKKIA ILMAN KUVALLISEN HENKILÖKORTIN NÄYTTÄMISTÄ"
VastaaPoistaKuka tahansa kunhan on olemassaolevat muun pankin tunnukset. Ketju johtaa siihen, että ne ensimmäiset nettipankkitunnukset pitää käydä hoitamassa jonkun pankin konttorissa naaman ja henkilötodistuksen kera.
PoistaTämä ketjutushan on nyt kaiken ongelma, kun joku huijaamalla tuossa välissä anastaa tunnukset ja rekisteröi mahdollisesti uuden tunnistusvälineen.
Veikkaan, ettei menee kauaa että tunnistusvälineen rekisteröinti verkossa tulee vaatimaan myös jonkin toisen varmistuskeinon kuin pelkän pankkitunnuksen. Mikä se on, jää nähtäväksi. Varmasti pankeilla ja operaattoreilla on tämä kovan pohdinnan alla.
Hyvä kirjoitus, YLE voisi palkata sinut tekemään niitä tietoiskuja ennen puoli 9 uutisia. Mutta onko pankkisovellus turvallisempi kuin tunnuslukulista? Jos oletetaan, että kirjoittaa suoraan esim. vero.fi osoiteriville.
VastaaPoistaPankin oma sovellus on aina turvallisin vaihtoehto.
VastaaPoistaMillä todennäköisyydellä Play-kaupasta ladattu ja sieltä päivitettävä pankin oma mobiilisovellus on ihan jotakin muuta kuin miltä se näyttää?
Poista0%
PoistaSe mitä en jaksa edelleenkään ymmärtää että miksei voi valita VIIVETTÄ siirtoihin tai mahdollisten turvarajojen nostoon niin tileille kuin korteille.
VastaaPoistaJos tulee isompi ostos (sohva, sänky, auto, mitä vaan) niin sitä harvemmin tekee täysin heräteostoksena, ja jos tekee, niin sitten esimerkiksi pankin asiakaspalveluun soittamisella voisi tehdä nopeammat nostot. Ja ylipäänsä tarvitsisi hienovaraisempia oikeuksia - minä en edes halua luottokortille mahdollisuutta ottaa rahoja ulos tilille, en moista ominaisuutta koskaan käytä, mutta jos joku korkkaa tunnukset niin tätä ei voi näemmä estää millään tavalla.
Yksi systeemi jolla ei tarttisi räplätä turvarajoja jatkuvasti olisi myös se, että jos haluaa tehdä isompia tilisiirtoja niin turvarajoihin ei olisi pakko koskea JOS maksun eräpäivä olisi vähintään viiden pankkipäivän päässä. Eli rajoja tarvitsisi muuttaa vain jos tarvitsee rahaa liikkeelle ja nopeasti. Tällä saisi käytettävyyttä takaisin ilman turvallisuusongelmaa.
Pankit jatkavat piittaamattomuutta niin kauan kun he eivät itse joudu korvaamaan asiakkaille tilien tyhjennyksistä. Kyllä pankeissakin rahan päälle ymmärretään, kiristyskeinoja pitää kirjata lakiin.
VastaaPoistaJos sen mobiilipankin aktivointi vaatisi f2f-tapaamisen virkailijan kanssa, yksikään tämäntyyppinen huijaus ei toimisi.
VastaaPoistaPankit välttävät yli kaiken ihmisten palkkaamista ja oikeaa asiakaspalvelua, koska se maksaa. Kaikki mahdollinen halutaan siirtää sähköiseksi itsepalveluksi. Lisäksi tässä uhri asui saaristossa, sieltä ei niin vain lähdetä pankkikonttoriin. Itselläkin on pankin tunnistusohjelma kahdessa eri laitteessa, siirretty useampaan kertaan puhelimen vaihtuessa - olisi työlästä käydä aina konttorilla kun näin tapahtuu.
Se mitä en jaksa edelleenkään ymmärtää että miksei voi valita VIIVETTÄ siirtoihin tai mahdollisten turvarajojen nostoon niin tileille kuin korteille.
Tässäkin pankit pelkäävät asiakkaiden yhteydenottoja. Jos viiveen aktivointi jäisi asiakkaan oman aktiivisuuden varaan, riskiryhmät eivät osaisi tehdä sitä. Jos se laitettaisiin voimaan kysymättä, asiakaspalvelu hukkuisi kyselyihin ja ihmettelyihin. Miljoonan asiakkaan joukossa on aina niitä, jotka tarvitsevat juuri nyt sitä rahansiirtoa ulkomaille.
On myös niin, että vaikka rikoksia tulee ilmi koko ajan enemmän, pankin näkökulmasta niitä on edelleen häviävän vähän. Pankeille on kannattavampaa ottaa tapauksiin liittyvä mainehaitta ja maksaa oikeudenkäynneistä kuin rakentaa estojärjestelmä, joka tuottaisi paljon vääriä hälytyksiä ja kuormittaisi niin paljon asiakaspalvelua, että sinne pitäisi palkata lisää henkilökuntaa.
VastaaPoistaNordeaan tuli vuorokautinen maksuraja-asetus, mutta sen saa pois päältä yhtä helposti kuin sen ottaa käyttöön. Ei mitään hyötyä.
VastaaPoistaTekstiviesteille olisi periaatteessa turvallisempia vaihtoehtoja. FIDO2-avaimet tai älykortit toimisivat ilman älypuhelintakin.
VastaaPoistaNordeaan tuli vuorokautinen maksuraja-asetus, mutta sen saa pois päältä yhtä helposti kuin sen ottaa käyttöön.
VastaaPoistaVähän ihmettelen, miksi itse asetettavia (ja poistettavia) rajoja edes tarjotaan. Missä tilanteessa niistä on ajateltu olevan hyötyä, vai ovatko ne vain näennäisiä toimia? Pankit kyllä tietävät, miten huijarit nykyään toimivat, ja heitä vastaan maksurajoista ei ole apua.
Osuuspankilta tuli juuri viesti uudesta ominaisuudesta. Säästötilille on nyt mahdollista asettaa sellainen turvaominaisuus, että tililtä ei voi nostaa rahaa ollenkaan, tallettaa vain. Ominaisuuden saa pois päältä vain käymällä pankin konttorissa. Eli jos on tarve pitkäaikaisesti säilyttää suurempia summia tilillä, niin tuollaisella ominaisuudella ne rahat ovat aika hyvin turvassa, tosin erittäin hankalasti itse käytettävissä. Mutta ehkä sopii vanhuksille tai muuten digitaidoistaan epävarmoille? Tai muuten vaan pitkäaikaisesti säästäville.
VastaaPoistaHyvä, yksinkertainen ja toimiva ratkaisu turvallisuuden parantamiseen.
VastaaPoistaMinulla on usean vuosikymmenen ajan vuosittain ollut puhelinpalaveri henkilökohtaisen palveluneuvojani kanssa, ja olen aina hänelle (tai heille, on vaihtunut muutaman kerran) "jäkättänyt" siitä, että tietylle tilille (ns. "tai-tili" pitäisi siirtoihin saada sellainen järjestely että molempien käyttöoikeutettujen pitäisi vahvistaa tililtä tapahtuva siirrot. Nythän esim. verkossa tapahtuvassa asuntokaupassa on vastaava toiminto, eli jos myyjiä on useampia, niin jokaisen pitää allekirjoittaa kauppakirja.
VastaaPoistaSamoin olen vaatinut että ulkomaansiirtoihin tai yli jonkin summan meneviin päivittäisiin nostoihin/siirtoihin pitää laittaa viive, niin että se vaatii vahvistuksen jossain tietyssä (säädettävässä) aikaikkunassa, vaikkapa 24 tunnista seitsemään vuorokauteen. Siis liian pian ei voi vahvistaa, ja lopulta viikon päästä se vanhenee.
Vastaavasti myös noiden rajoitusten muutos vaatisi samalla tavalla tuplavahvistuksen, vähintään 24 tunnin ja enintään viikon sisällä (ja nämä ajat voisivat olla asiakkaan säädettävissä).
Tietysti tuplavahvistuksesta pitää tulla asiakkaalle muistutus.
Palveluneuvojat ovat aina suhtautuneet ymmärtäväisesti, mutta mitään en tapahdu.
Uskoisin että pian alkaisi tapahtua, jos pankkien vastuuta lisättäisiin siten, että vaikka asiakas on itse aiheuttanut menetykset, niin pankki on korvausvastuussa, paitsi jos pankki on tarjonnut asiakkaalle nuo edellä kuvaamani turvatoimet, mutta asiakas ei ole ottanut niitä käyttöön.
Olin ostamassa tunnetulta suomalaiselta kameraliikkeeltä hieman yli 1000 euron kameraa, niin Nordeapa keksikin keskeyttää transaktion verkkopankkinitililtä. Tapahtumasta jäi verkkokauppaan tililleni ilmoitus: Peruttu. Noin 10 minuutin kuluttua lähti rahat tililtä mutta verkkokauppassa edelleen näkyi ilmoitus: Peruttu. Ihmettelen vaan, että miksi minun pankkitilille ei tullut ilmiotusta, että maksun siirtäminen on keskeytetty - jostain syystä.
VastaaPoistaUskomaton idioluutio maa... Miksi pankkitunnusten kyselyä ei tehdä phishing resistantilla teknologialla turva-avaimella kuten Yubikey?
VastaaPoistaSiihen loppus tietojenkalastelu ja pankkitunnusten varastelu!
Tietoturva kertaa käytön helppous on vakio . Sen takia pankeille, joiden liikeideana on vaivaton rahan transaktio on myrkkyä tehdä siitä hankalampaa. Itse kyllä laittaisin mielelläni rahani pankkiin, jonka turvallisuus tiedettäisiin pomminvarmaksi, vaikka tilin käyttäminen olisi muita pankkeja vaikeampaa ja palvelumaksut olisivat vähän korkeammat. Siitä tulikin mieleeni, mikä on Sveitsin suuntanumero?
VastaaPoistaKiitos taas tästä tekstistä ja yleensäkin melun pitämisestä tästä hähmäisestä tietoturvasta. Nuo mainitsemasi parannusehdotukset olisi heti hyvä lisä, ja muitakin maalaisjärkisiä helppoja keinoja olisi. Olen aina ihmetellyt, miksei pankki voi esim. lähettää tekstaria, kun huomaa että nettipankkia käytetään uudella laitteella. Tämä saattaisi herättää asiakkaan juuri ennen kuin varas vaihtaa hallinnointiin käytettävän puhelinnumeron. Lisäksi pankki kyselee monessa välissä asiakkaaltaan rahanpesun ja "asiakkaan tuntemisen" nimissä epäileviä kysymyksiä. Mutta, kun asiakas, joka ei ole koskaan siirtänyt rahaa italiaan nyt siirtää sinne puhelinnumeron vaihdon jälkeen yhtä-äkkiä kaikki — se ei epäilytä pankkia yhtään.
VastaaPoistaUskomaton idioluutio maa... Miksi pankkitunnusten kyselyä ei tehdä phishing resistantilla teknologialla turva-avaimella kuten Yubikey?
VastaaPoistaMinkähänlainen show tulisi, jos pankki lähettäisi puolelle miljoonalle asiakkaalle Yubikeyn (miten se edes tehtäisiin turvallisesti)? Erilaiset koneet, käyttöjärjestelmät, hukkuvat tai rikkoutuvat avaimet... hirveä härdelli.
Täytyy aina muistaa, että pankin näkökulmasta ongelmia on marginaalisen vähän. Tykillä ei kannata ampua hyttystä, eivätkä tietoturva-asiantuntijat muutenkaan ole parhaita neuvomaan miten tavallisen ihmisen arjessa pitäisi menetellä.
Jokainen voisi ostaa avaimensa ja vara-avaimen itse kuten tähänkin asti. Ainakin mahdollisuus tähän pitäisi olla jokaisella siirtyä käyttämään esim. Usb-C Yubikey eikä olla jumissa iänaikaisissa turvattomissa teknologioissa.
PoistaLähetysongelma olisi sama kuin nykyisin pankkikorttien lähetyksessä. Postin kautta ne lähetetään. PIN-koodi on sovittu etukäteen tai toimitetaan eri tavalla.
PoistaOlen aina ihmetellyt, miksei pankki voi esim. lähettää tekstaria, kun huomaa että nettipankkia käytetään uudella laitteella.
VastaaPoistaLähettääkin, eikä uutta laitetta yleensä saa käyttöön ellei sitä kuittaa ensin vanhalla. Ilmoitukset eivät kuitenkaan ole riittävän selkeitä eivätkä ihmiset lue niitä ja sisäistä niitä. Lisäksi valesivuissa kun kysytään ensin pari kertaa tunnukset (ja ihminen luulee niiden menevän Omakantaan tai Veroon), rosvo pääsee muuttamaan yhteystiedot eikä uhrille mene sen jälkeen enää mitään tietoa tapahtumista. Tässä mobiilivarmenne on paljon parempi: kun sillä menee Omakantaan, Veroon, Kelaan tai Suomi.fi:hin, ei voi vahingossa antaa rosvolle pääsyä pankkiin.
Onko näin? Itse en ole huomannut sellaista, kun edellisen kerran eri laitteella kirjauduin nettipankkiin. Hyvä jos on niin! Tarkennuksena kuitenkin, että tarkoitin tilannetta, jossa esim rosvo italiasta vpn:n kautta tulee varastamillaan tunnuksilla nettipankkiin (ennen kuin alkaa vaihtamaan hallintapuhelinnumeroa —siitä kyllä tulee tekstari). Monet palvelut lähettää 'kirjautuminen uudella laitteella, oletko se sinä' -tyylisiä varmisteluja herkästi, mutta ainakaan ässän pankkiparatiisissa en ole tällaista huomannut. Se on totta, että pankkien viestit on liian suuripiirteisiä. Olen jo vuosia sitten pyytänyt että s-pankki lisäisi
Poistamielenrauhan vuoksi summan e-laskun vahvistusviestiin, mutta liikaa vaadittu..huoh