Suomalainen tietoturva on maailman huippua, mutta parantamisen varaa on aina. Yksi selvä aukko on se helppous, jolla pre-paid-liittymiä voidaan käyttää esimerkiksi identiteettivarkauksissa: uhrin nimissä tilataan tavaraa ja yhteystiedoksi annetaan pre-paid-liittymän numero. Myös pankki hyväksyy turvailmoitusta varten pre-paid-numeron, mikä vesittää koko tekstiviestin hyödyn, sillä yhteys tilin todelliseen omistajaan katkeaa.
Miksei Viestintävirasto voisi pitää rekisteriä, jossa olisi listat operaattorien pre-paid-numeroavaruuksista? Pankeille, vakuutusyhtiöille, verkkokaupoille ym. tarjottaisiin rajapinta, jonka kautta ne voisivat kysyä, onko asiakkaan ilmoittama numero pre-paid.
Kysyjä saisi itse päätellä tiedon merkityksen. Erityisen epäilyttävää olisi, jos tavallinen numero vaihdettaisiin pre-paidiksi ja pian sen jälkeen tulisi iso tilaus. Myöskään 2FA:ta (two-factor authentication) ei pitäisi koskaan lähettää pre-paid-numeroon.
Kokonaan pre-paideja ei voi kieltää, koska niille on myös hyväksyttäviä käyttötarkoituksia. Järjestelmää voisi kehittää niin, että pelkän kyllä/ei -tiedon lisäksi palautuisi tieto siitä, milloin numero on avattu. Mitä pidempään pre-paid on ollut käytössä, sitä turvallisempi se luultavasti on.
Ei ole vaikea toteuttaa, sillä Numpac tarjoaa samantyyppistä palvelua operaattorin selvittämiseen.
Idea on vapaasti kaikkien hyödynnettävissä. Suomi 100 -hengessä eteenpäin!
Lisäys: Tekstiviestin tavoitteena on siis lisätä ylimääräinen varmistus isompien summien siirtoon. Siitä on hyötyä, jos rosvo esimerkiksi pääsee MTM-hyökkäyksellä uhrin ja pankin oikean palvelun väliin, kuten on käynytkin. Fiksumpi rosvo olisi sisään päästyään vaihtanut ensi töikseen puhelinnumeron prepaidiksi tai poistanut koko varmistuksen käytöstä, jolloin uhri ei olisi saanut hälytystä. Ainoa suojakeino on rajoittaa jollain tavalla puhelinnumeron vaihtamista tai esim. vaatia, että uusi numero otetaan käyttöön vasta 24 tunnin kuluttua. Myös ilmoitusviesti vanhaan numeroon numeronvaihdon yhteydessä auttaisi. Tältä osin ongelma on saman tyyppinen kuin postin osoitemuutoksissa, joiden aitoutta on vaikea varmistaa.
Teknisesti ongelma ei ole puhelinnumerossa vaan pankkitunnusten joutumisessa vääriin käsiin, joko varkauden tai esim. MTM-hyökkäyksen vuoksi. Uhri veisaa tekniikasta viis, hänen kannaltaan jokainen uusi suojakeino voi olla ratkaisevan tärkeä.
Miksei Viestintävirasto voisi pitää rekisteriä, jossa olisi listat operaattorien pre-paid-numeroavaruuksista? Pankeille, vakuutusyhtiöille, verkkokaupoille ym. tarjottaisiin rajapinta, jonka kautta ne voisivat kysyä, onko asiakkaan ilmoittama numero pre-paid.
Kysyjä saisi itse päätellä tiedon merkityksen. Erityisen epäilyttävää olisi, jos tavallinen numero vaihdettaisiin pre-paidiksi ja pian sen jälkeen tulisi iso tilaus. Myöskään 2FA:ta (two-factor authentication) ei pitäisi koskaan lähettää pre-paid-numeroon.
Kokonaan pre-paideja ei voi kieltää, koska niille on myös hyväksyttäviä käyttötarkoituksia. Järjestelmää voisi kehittää niin, että pelkän kyllä/ei -tiedon lisäksi palautuisi tieto siitä, milloin numero on avattu. Mitä pidempään pre-paid on ollut käytössä, sitä turvallisempi se luultavasti on.
Ei ole vaikea toteuttaa, sillä Numpac tarjoaa samantyyppistä palvelua operaattorin selvittämiseen.
Idea on vapaasti kaikkien hyödynnettävissä. Suomi 100 -hengessä eteenpäin!
Lisäys: Tekstiviestin tavoitteena on siis lisätä ylimääräinen varmistus isompien summien siirtoon. Siitä on hyötyä, jos rosvo esimerkiksi pääsee MTM-hyökkäyksellä uhrin ja pankin oikean palvelun väliin, kuten on käynytkin. Fiksumpi rosvo olisi sisään päästyään vaihtanut ensi töikseen puhelinnumeron prepaidiksi tai poistanut koko varmistuksen käytöstä, jolloin uhri ei olisi saanut hälytystä. Ainoa suojakeino on rajoittaa jollain tavalla puhelinnumeron vaihtamista tai esim. vaatia, että uusi numero otetaan käyttöön vasta 24 tunnin kuluttua. Myös ilmoitusviesti vanhaan numeroon numeronvaihdon yhteydessä auttaisi. Tältä osin ongelma on saman tyyppinen kuin postin osoitemuutoksissa, joiden aitoutta on vaikea varmistaa.
Teknisesti ongelma ei ole puhelinnumerossa vaan pankkitunnusten joutumisessa vääriin käsiin, joko varkauden tai esim. MTM-hyökkäyksen vuoksi. Uhri veisaa tekniikasta viis, hänen kannaltaan jokainen uusi suojakeino voi olla ratkaisevan tärkeä.