Helsingin Sanomat kertoi 25.3.2026 pankkihuijauksesta, jossa e-sim tekniikalla oli merkittävä rooli. Tällaisia huijauksia on osattu odottaa, poliisi varoitti asiasta jo viime syksynä omalla tiedotteellaan: Poliisi varoittaa puhelinliittymien kaappauksista. Liittymän kaappaaminen (sim swapping) on ollut ennenkin mahdollista, mutta e-sim tekee sen entistä helpommaksi.
Mikä siis on e-sim? Perinteinen SIM (Subscriber Identity Module) on pieni muistkortti (oik. älykortti), johon operaattorin asiakkuus on sidottu. Kymmenkunta vuotta sitten markkinoille tulivat ensimmäiset puhelimet, joihin sim-toiminnallisuuden voi ladata ohjelmallisesti suoraan verkosta. Tästä käytetään nimitystä e-sim.
Esimerkiksi turisti voi ostaa helposti paikallisen liittymän jo ennen matkaa (tai sen aikana), ja näin välttää kalliit roaming-hinnat reissun aikana. Itse olen käyttänyt Airalo-palvelua ja se on toiminut hyvin. Puhelimessa voi olla useita liittymiä, joita vaihdetaan puhelimen asetuksista tarpeen mukaan. Oikein näppärää - mutta juuri siksi myös vaarallista.
Verkkopankissa riski on suurin niillä, joiden tunnistus perustuu tekstiviestillä saataviin koodeihin eikä pankin omaan todennussovellukseen. Kaappaamalla liittymän itselleen rosvo pystyy tyhjentämään tilin, koska hän saa kaikki koodit ja lisävarmistukset itselleen.
Mitä tapahtui?
Tässä tapauksessa uhri yritti kirjautua Omavero-palveluun, ja kirjoitti iPadin osoitekenttään pelkän sanan Omavero. Se on tietenkin virhe, osoite pitäisi kirjoittaa aina kokonaisena, eikä luottaa hakukoneeseen. Tässä tapauksessa uhri ohjautui valesivulle, jolle hän yritti ensin kirjautua oikeaoppisesti mobiilivarmenteella. Se antoi kuitenkin virheilmoituksen (usein merkki huijaussivusta).
Sen jälkeen uhri kokeili Aktian pankkitunnistusta. Hän syötti tunnukset neljä kertaa muutaman minuutin aikana, mutta virheilmoitus toistui itsepintaisesti ja pyysi yrittämään uudelleen.
Sen jälkeen asiakas luovutti, mutta rosvot olivat jo saaneet haluamansa. Liittymän siirto e-simille vaati Telian sivulla vain kaksi vahvaa todennusta ja QR-koodin, joka näkyi rosvoille. Uhrin puhelimeen tuli vain viesti, että e-sim on aktivoitu.
Sen jälkeen liittymä lakkasi toimimasta alkuperäisessä puhelimessa ja rosvoilla oli täysi hallinta uhrin tilille. Rosvot yhdistivät rahaa toiselta tililtä päätilille ja ottivat vielä luottoa, minkä jälkeen kaikki siirrettiin Italiaan. Uhri menetti yhteensä 23 632 euroa. Vastaanottajien tileissä näkyy kaksi marokkolaista naisten nimeä, luultavasti muuleja. Myös ip-lokitieto viittaa Marokkoon.
Uhri ei ollut koskaan aiemmin siirtänyt rahaa ulkomaille. Eri tileillä olevien varojen yhdistämisen, luoton ottamisen ja sen jälkeen tilin tyhjentämisen olisi pitänyt olla punainen lippu pankille, mutta sen järjestelmät eivät reagoineet. Kiitos EU:n pikamaksun rahat lähtivät muutamassa sekunnissa Italiaan ja hävisivät.
Uhri huomasi asian vasta seuraavana aamuna, kun hänen puhelimensa oli lakannut toimimasta. Yhteydenotto pankkiin toisella puhelimella ei enää auttanut, rahat olivat poissa. Poliisi otti vastaan rikosilmoituksen, mutta lopetti tutkinnan viikon päästä, koska summa oli alle 10 000 euroa ja kyse kansainvälisestä rikollisuudesta. Koko summa oli yli 20 000 euroa, mutta tiedon korjaaminen ei enää vaikuttanut poliisin toimintaan.
Onneksi tällä kertaa FINE asettui uhrin puolelle ja suositteli Aktiaa korvaamaan vahingon. Vaikka asiakas oli kieltämättä huolimaton, pankki itse oli vielä huolimattomampi eikä kantanut omaa vastuutaan tietoturvasta.
Pankkien ja operaattorien vastuu?
Aktia-pankilla on oma todennussovellus, joka olisi luultavasti estänyt rahojen siirron. Sen kuittaus on sidottu nettiyhteyteen ja laitekohtaiseen tunnisteeseen, ei liittymän puhelinnumeroon. Miksi Aktia edes sallii vanhan ja turvattoman menetelmän käytön? Varmaan siksi, ettei kaikilla asiakkailla vieläkään ole älypuhelinta. Se ei kuitenkaan vapauta pankkia vastuusta: kaikkien tunnistustapojen pitää olla asiakkaalle turvallisia. Pankilla on tiedollinen ylivoima, joka tuo vastuuta.
Uhri luuli kirjautuvansa Omaveroon, mutta koodit tulivatkin kirjautumisesta pankkiin. Tämä tieto ei näkynyt tekstiviestissä, vaikka se olisi ollut helppo lisätä. Tekstiviesti oli samanlainen myös Telian liittymäsiirtoa tehtäessä. Kohteen maininta tekstiviestissä voi olla teknisesti mahdotonta, mutta ainakin pankin oma kirjautuminen pitäisi näkyä viestissä ("Olet kirjautumassa Aktian pankkipalveluun..." vs. "Olet kirjautumassa johonkin muuhun kuin Aktian palveluun, varmista osoitteen oikeellisuus").
Telian e-sim -aktivointiviesti ei myöskään sisältänyt mitään varoitusta luvattomasta käyttöönotosta. Tämän pitäisi olla yleinen käytäntö, kuten nettipalvelujen sähköposti-ilmoitukset osoittavat: "Yrititkö kirjautua tilillesi... jos et ollut sinä, vaihda salasanasi" tms. Uhri ei ymmärtänyt, mikä on e-sim, ja miksi hän sai siitä operaattoriltaan ilmoituksen.
Tämä jaksaa aina ihmetyttää minua. Pankkien ja operaattorien pitäisi tietää riskit. Heillä on tietoturvaihmisiä, jotka työkseen seuraavat uhkia ja tapahtumia maailmalla. Silti he eivät mieti väärinkäytön mahdollisuuksia ja varaudu niihin ennakolta. Kaikki jää asiakkaan vastuulle ja ongelmat ovat hänen omaa huolimattomuuttaan.
Monella on myös vääriä käsityksiä nykyisten suojakeinojen toimivuudesta, vaikka ne on tehty erilaiseen uhkaympäristöön. Kuvitellaan, että pankkien siirtorajoitukset estävät vahingot, koska sama periaate toimii pankkiautomaateilla. Verkkopankissa se ei auta, sillä jos tilin saa hallintaansa, rajoitukset voi poistaa. Osa pankeista tekee sen vielä helpommaksi sallimalla lennossa kielen vaihdon englanniksi.
Tai että "ei vaaraa, koska siirtoihin/sim-tilaukseen vaaditaan vahva tunnistaminen". Rosvot osaavat kiertää nämä huijaamalla uhria. Edes IT-ammattilaiset eivät aina näe heikkouksia siellä, missä ne ovat, koska he luottavat liikaa teknisiin suojakeinoihin. Yksi syy tähän on salailu: pankit eivät kerro tapauksista julkisesti vaan vetoavat aina tietosuojaan.
Olen ehdottanut pankeille käytännön turvaparannuksia niin monta kertaa, että toistan ne vain lyhyesti: viiveelliset siirrot ulkomaille, ulkomaansiirtojen lukitus jos ei siirtoja ulkomaille kahteen vuoteen, isojen siirtojen lisävarmistus etukäteen nimetylle varahenkilölle, tilin tyhjennyksen + luoton estäminen ilta-aikaan... Kaikki nämä keinot ovat Ruotsin pankeilla käytössä, Suomessa ei kellään. Kukaan ei halua olla ensimmäinen, koska silloin muut pankit joutuisivat seuraamaan, ja se maksaisi.
Suomi oli joskus verkkopankkien turvallisuuden edelläkävijä. Nykyinen tilanne harmittaa ja suututtaa. Sekin harmittaa, ettei asia tunnu kuuluvan kenellekään. Odotetaan, että markkinat ratkaisevat ongelman. Lupauksista huolimatta mitään näkyvää ei ole tapahtunut. Pankit eivät halua nähdä vaivaa ja hankkia lisäkustannuksia, ellei niitä velvoiteta siihen.
Niinpä ongelmista räksyttäminen jää minulle, vaikka olen ulkopuolinen enkä haluaisi kritisoida pankkeja tai operaattoreita.
Lopuksi erittäin tärkeä neuvo: varmista omalta lähipiiriltäsi (isä, äiti, isoisä, isoäiti ym) ettei heillä ole käytössä pelkkään tekstiviestitunnistukseen perustuvaa verkkopankkia. Tekstiviesteihin ei voi enää luottaa!
PS. E-sim mahdollistaa myös tupla-sim-huijauksen, jossa rosvo voi saada tekstiviestillä tulevat varmistuskoodit huomaamatta omaan puhelimeensa.
2 kommenttia:
Kiitos Petteri, että jaksat räksyttää! Muutkin asiantuntijat saisivat pitää meteliä tärkeästä asiasta. Yksikin väärä klikkaus saattaa olla ihmiselle katastrofi, ei näin pitäisi olla.
Onneksi sentään torjuttujen huijausten prosenttiosuus oli noussut edellisestä vuodesta. Se ei kuitenkaan ole syy jättää matalalla roikkuvia hedelmiä poimimatta.
Lähetä kommentti