Identiteettivarkaudet/lainakilpailutuspalveluiden toiminta

[Kautium]

En löytänyt ketjua aiheesta, joten loin sellaisen itse, kun sattui sopivasti aihe omalle kohdalle.

---------------

Vaimolle tuli vanhaan sähköpostiosoitteeseen yhtäkkiä kasa ilmoituksia eri pankkipalveluista, joissa todettiin, että "lainahakemuksesi on vastaanotettu ja alustavasti hyväksytty". Summat olivat about 20 000 euron paikkeilla. Mitään lainaa ei ole missään vaiheessa haettu ja parissa viestissä näkyi hakijan nimikin ja se oli kirjoitettu väärin. Virheellisestä kirjoitusasusta päätellen se oli ulkomaisen toimijan aikaansaannos, todennäköisesti botti. Osoite on vanha, mutta sitä ei löydy haveibeenpwned.com -sivuston haulla, eli osoite ei ole ollut mukana ainakaan missään tunnetuissa vuodoissa.

Viestit olivat normaalista spammista poiketen oikeastikin juuri noilta kyseisiltä pankeilta ja niissä olevat linkit myös viittasivat todellisille sivuille. Tähän mennessä viestejä on tullut mm. Brabankista, Svealta ja Avidalta. Todennäköisesti niitä tulee vielä lisääkin. Ensimmäisten viestien joukossa oli rahalaitos.fi -sivuston viesti lainatarjousten kilpailuttamisesta, eli todennäköisesti joku botti on syöttänyt email-osoitteen ja jotain muita tietoja sinne ja sitä kautta prosessi on lähtenyt liikkeelle ja nyt sitten satelee noita lainalupauksia kaikista pankeista, jotka ovat Rahalaitokselle rekisteröityneet kumppaneiksi.

Vaikuttaa vähän siltä, että rahalaitos.fi ei tarkista tietojen oikeellisuutta ensimmäisessä vaiheessa lainkaan. En testannut itse, mutta vähän epäilen, ettei edes hetua tarkisteta muuten kuin korkeintaan muotoilun osalta. Vaikka pikalainoja tarjoavat pankit ovatkin monella tavalla häikäilemättömiä toiminnassaan, niin en kuitenkaan jaksa uskoa, että yksikään niistä siirtäisi pennin jeniä minnekään ilman asiakkaan vahvaa tunnistusta, joten mikä ihme tällaisessa toiminnassa on "hyökkääjän" tavoitteena, kun ei rahaa tällä menolla irtoa kuitenkaan? En äkkiseltään keksi mitään muuta syytä kuin hämmennyksen aiheuttaminen.

Rahalaitoksella on sivu, josta pääsee omalla henkilötunnuksella näkemään siellä vireillä olevat omat lainakilpailutukset ja niiden mahdolliset vastaukset. Siis ilman kirjautumista pelkällä hetulla! Piti ainakin kymmeneen kertaan ensin tarkistaa sivuston oikeellisuus, salaussertifikaatti, omistajat ja luottotiedot jne että uskalsin antaa vaimon kokeilla mitä sivusto näyttää todellisella hetulla, mutta vähemmän yllättäen oikea hetu ei tuolla toimi, joka sekin antaa olettaa että botin anomukseen raapustama hetu on ollut keksitty.

 

[Kautium]

Kuten odotettua, "sinulle on myönnetty lainaa" -viestejä ropisi yön/aamun aikana lisää useampiakin. Sähköpostitse eivät Rahalaitokselta tai mistään pankista vastanneet yhteydenottoon, mutta lopulta Rahalaitoksen aspassa vastattiin puhelimeen. Selvisi, että sinne tosiaan on tehty lainakilpailutus vaimon sähköpostiosoitteella, mutta eri hetulla ja osittain myös eri nimellä. Epäilivät jotain inhimillistä virhettä, mutta minä epäilen edelleen bottia. Mitään muuta eivät kuitenkaan suostuneet aspasta kertomaan ja totesivat, että rikosilmoitus on ainoa tapa edistää asiaa. Sinäänsä huvittavaa, kun vaimon postilaatikossa on kaikki tiedot haettujen ja alustavasti myönnettyjen lainojen määristä, kuukausimaksuista, koroista jne, mutta puhelimessa eivät suostuneet kertomaan kirjaimellisesti mitään muuta kuin että tilanne on tämä.

Haluavat ilmeisesti niin kovasti rahaa pankeilta, että tietojen tarkistaminen on sivuseikka, kun sitten jäisi pian jotain tienestejä väliin. Ja vielä huolestuttavampaa tuo on niiden pankkien kannalta, vaikka todennäköisesti tai ainakin toivottavasti tekevät lopulta jonkin varmennuksen edes hetun osalta, mutta viestit menevät silti edelleen väärään paikkaan. Aikamoista touhua.

 

[edup]

Kuten odotettua, "sinulle on myönnetty lainaa" -viestejä ropisi yön/aamun aikana lisää useampiakin. Sähköpostitse eivät Rahalaitokselta tai mistään pankista vastanneet yhteydenottoon, mutta lopulta Rahalaitoksen aspassa vastattiin puhelimeen. Selvisi, että sinne tosiaan on tehty lainakilpailutus vaimon sähköpostiosoitteella, mutta eri hetulla ja osittain myös eri nimellä. Epäilivät jotain inhimillistä virhettä, mutta minä epäilen edelleen bottia. Mitään muuta eivät kuitenkaan suostuneet aspasta kertomaan ja totesivat, että rikosilmoitus on ainoa tapa edistää asiaa. Sinäänsä huvittavaa, kun vaimon postilaatikossa on kaikki tiedot haettujen ja alustavasti myönnettyjen lainojen määristä, kuukausimaksuista, koroista jne, mutta puhelimessa eivät suostuneet kertomaan kirjaimellisesti mitään muuta kuin että tilanne on tämä.

Haluavat ilmeisesti niin kovasti rahaa pankeilta, että tietojen tarkistaminen on sivuseikka, kun sitten jäisi pian jotain tienestejä väliin. Ja vielä huolestuttavampaa tuo on niiden pankkien kannalta, vaikka todennäköisesti tai ainakin toivottavasti tekevät lopulta jonkin varmennuksen edes hetun osalta, mutta viestit menevät silti edelleen väärään paikkaan. Aikamoista touhua.

Yksi vaihtoehto on ihan myös vaan se, että jos vaimollasi on kokonimikaima, niin tämä kaima on torvelo joka ei ymmärrä että tällaisiin palveluihin annettavan sähköpostiosoitteen pitää olla oikein, eikä vaan sinne päin. Nimim. omalla nimellä tällainen löytyy, tosin alkanut vaikuttaa että parin selvittelykerran jälkeen nyt ymmärtänyt että voisi vähän yrittää kattoa mitä osoitetta oikein jakelee minnekin.

Tuo toki on aika uskomatonta settiä silti, että pelkällä hetulla pääsee näkemään kilpailutukset ja vastaukset. Suosittelen vinkkaamaan tietosuojavaltuutetun toimistoon tuosta.

 

[Hyrava]

Olisiko kuitenkin kyseessä samanlainen juttu mitä itselle tulee aina välillä sähköpostiin, eli joku kokonimikaima tai ainakin hyvin lähellä on laittanut vahingossa väärän sähköpostiosoitteen hakiessaan itse lainaa? Minulle tulee välillä autojen sun muiden osamaksutarjouksia sun muita vastaavia ja olen onnistunut vuosien varrella onnistunut selvittämään että sekä Espoossa että Jyväskylässä on kokonimikaimat jotka onnistuvat aina välillä pistämään johonkin minun gmail-osoitteeni.

edit:
edup kerkisikin aavistuksen ennen...

 

[Kautium]

Yksi vaihtoehto on ihan myös vaan se, että jos vaimollasi on kokonimikaima, niin tämä kaima on torvelo joka ei ymmärrä että tällaisiin palveluihin annettavan sähköpostiosoitteen pitää olla oikein, eikä vaan sinne päin. Nimim. omalla nimellä tällainen löytyy, tosin alkanut vaikuttaa että parin selvittelykerran jälkeen nyt ymmärtänyt että voisi vähän yrittää kattoa mitä osoitetta oikein jakelee minnekin.

Tuo toki on aika uskomatonta settiä silti, että pelkällä hetulla pääsee näkemään kilpailutukset ja vastaukset. Suosittelen vinkkaamaan tietosuojavaltuutetun toimistoon tuosta.

Ei ollut edes suoranaisesti kaima, vaan ihan eri nimi, tyyliin Liisa Tuulia Mäkinen vs. Lisette Thylia Torveloinen. Hetukin oli jotain muuta ja jos sen tietäisi, niin sillä pääsisi sieltä Rahalaitoksen sivuilta näkemään samat tiedot mitä on toimitettu jo meilinä. Siellä lukee että sen jälkeen toimitetaan salasana postilaatikkoon, mutta se ei taida pitää paikkaansa, kun sinne oli toimitettu ilmeisesti tuota kautta jotain lisädokumenttejakin (tai sitten niitä oli toimitettu tarjouksen tehneen pankin sivujen kautta, ei voi tietää, mutta sellaisesta tuli kuitenkin erillinen viesti). Hetu oli tässä tapauksessa jotain muuta, joten sieltä tulee virhe, mutta sähköpostitse jokainen pankki on niitä tietoja silti toimittanut annettuun postilaatikkoon ja joka siis on se vaimoni vanha meililoota.

Tässä se Rahalaitoksen sivu, josta pääsee näkemään niitä tietoja hetulla:

Rahalaitos

Rahalaitos tekee yhteistyötä monien pankkien ja rahoituslaitoksien kanssa ja näin pyrimme aina hankkimaan sinulle edullisimman lainan parhailla mahdollisilla ehdoilla. Saat kauttamme lainan nopeammin, edullisimmin ja helpoimmin. Täytä hakemus ilmaiseksi jo tänään!

www.rahalaitos.fi

 

[Sally_Spectra]

En löytänyt ketjua aiheesta, joten loin sellaisen itse, kun sattui sopivasti aihe omalle kohdalle.

---------------

Vaimolle tuli vanhaan sähköpostiosoitteeseen yhtäkkiä kasa ilmoituksia eri pankkipalveluista, joissa todettiin, että "lainahakemuksesi on vastaanotettu ja alustavasti hyväksytty". Summat olivat about 20 000 euron paikkeilla. Mitään lainaa ei ole missään vaiheessa haettu ja parissa viestissä näkyi hakijan nimikin ja se oli kirjoitettu väärin. Virheellisestä kirjoitusasusta päätellen se oli ulkomaisen toimijan aikaansaannos, todennäköisesti botti. Osoite on vanha, mutta sitä ei löydy haveibeenpwned.com -sivuston haulla, eli osoite ei ole ollut mukana ainakaan missään tunnetuissa vuodoissa.

Viestit olivat normaalista spammista poiketen oikeastikin juuri noilta kyseisiltä pankeilta ja niissä olevat linkit myös viittasivat todellisille sivuille. Tähän mennessä viestejä on tullut mm. Brabankista, Svealta ja Avidalta. Todennäköisesti niitä tulee vielä lisääkin. Ensimmäisten viestien joukossa oli rahalaitos.fi -sivuston viesti lainatarjousten kilpailuttamisesta, eli todennäköisesti joku botti on syöttänyt email-osoitteen ja jotain muita tietoja sinne ja sitä kautta prosessi on lähtenyt liikkeelle ja nyt sitten satelee noita lainalupauksia kaikista pankeista, jotka ovat Rahalaitokselle rekisteröityneet kumppaneiksi.

Vaikuttaa vähän siltä, että rahalaitos.fi ei tarkista tietojen oikeellisuutta ensimmäisessä vaiheessa lainkaan. En testannut itse, mutta vähän epäilen, ettei edes hetua tarkisteta muuten kuin korkeintaan muotoilun osalta. Vaikka pikalainoja tarjoavat pankit ovatkin monella tavalla häikäilemättömiä toiminnassaan, niin en kuitenkaan jaksa uskoa, että yksikään niistä siirtäisi pennin jeniä minnekään ilman asiakkaan vahvaa tunnistusta, joten mikä ihme tällaisessa toiminnassa on "hyökkääjän" tavoitteena, kun ei rahaa tällä menolla irtoa kuitenkaan? En äkkiseltään keksi mitään muuta syytä kuin hämmennyksen aiheuttaminen.

Rahalaitoksella on sivu, josta pääsee omalla henkilötunnuksella näkemään siellä vireillä olevat omat lainakilpailutukset ja niiden mahdolliset vastaukset. Siis ilman kirjautumista pelkällä hetulla! Piti ainakin kymmeneen kertaan ensin tarkistaa sivuston oikeellisuus, salaussertifikaatti, omistajat ja luottotiedot jne että uskalsin antaa vaimon kokeilla mitä sivusto näyttää todellisella hetulla, mutta vähemmän yllättäen oikea hetu ei tuolla toimi, joka sekin antaa olettaa että botin anomukseen raapustama hetu on ollut keksitty.

Eli toisinsanoen sinun vaimon nimissä ei ole haettu yhtään mitään, vaan henkilön x y nimissä. Ainoastaan vaimosi sähköpostiosoite on laitettu hakemukseen. En näe ongelmaa.

 

[Fox-x]

Itse asiassa aikamoinen yhteensattuma.
Vaimolle alkoi toissailtana tulla rahalaitoksilta tekstiviestejä hyväksytyistä lainahakemuksista.
Mietittiin pitkään että mikä hemmetin homma se tämä on.

Menin sitten tekstiviesteissä näkyviin linkkeihin ja missä näkyi hyväksytty lainahakemus jossa oli lainanhakijan nimi, osoitteet, tulotiedot, tilinumerot, kaikki paitsi sotu. Puhelinnumero alkuperäisellä hakijalla oli yhtä numeroa lukuunottamatta sama kuin vaimolla, eli tyyliin 040-1111111 ja vaimoni 040-1111112.

Vaimo oli tänään laittanut hakemuksessa olleeseen numeroon tekstiviestiä, että sinulla tuli väärä puhelinnumero lainahakemukseesi, mutta tämä ei ole vastannut mitään.

Edit: näitä hakemuksia oli kans laitettu useampaan paikkaan, kolmesta tuli hyväksytty ja kolmeen tuli kielteinen.

 

[Fox-x]

Todennäköisesti tässäkin on käynyt niin että tuo nainen on vahingossa näppäillyt puhelinnumeronsa väärin, mutta että noin moneen paikkaan? Vai meneekö se lainahakemus kaikkiin jostain yhdeltä sivulta?
Sinänsä vain hauska yhteensattuma kun melkein samana päivänä tapahtuu tuollaista.

 

[dome]

Todennäköisesti tässäkin on käynyt niin että tuo nainen on vahingossa näppäillyt puhelinnumeronsa väärin, mutta että noin moneen paikkaan? Vai meneekö se lainahakemus kaikkiin jostain yhdeltä sivulta?
Sinänsä vain hauska yhteensattuma kun melkein samana päivänä tapahtuu tuollaista.

Taitaa olla ainakin tuon rahalaitos palvelun idea, että tuuppaat sinne tiedot ja saat tarjouksen useammasta paikasta. Eli väärä puhelinnumero hakemuksessa niin tulee kaikki tarjoukset väärillä tiedoilla. Oletettavasti siis myös aloitusviestin tapauksessa jollain samantapainen sähköpostiosoite ja eksynyt typo hakemuksessa.

 

[Fox-x]

Taitaa olla ainakin tuon rahalaitos palvelun idea, että tuuppaat sinne tiedot ja saat tarjouksen useammasta paikasta. Eli väärä puhelinnumero hakemuksessa niin tulee kaikki tarjoukset väärillä tiedoilla. Oletettavasti siis myös aloitusviestin tapauksessa jollain samantapainen sähköpostiosoite ja eksynyt typo hakemuksessa.

Todennäköisesti juuri noin. Hiukan vaan alkoi kuumottaa kun illalla emännän puhelin kilkattaa, kävi jo pahin mahdollinen mielessä.

 

[Kautium]

Oletettavasti siis myös aloitusviestin tapauksessa jollain samantapainen sähköpostiosoite ja eksynyt typo hakemuksessa.

Niin mahdollisesti olikin, mutta Rahalaitos ei tosiaan suostunut kertomaan mitään järkevää, mistä olisi voinut päätellä mitään. Pelkästään rikosilmoitusta tarjosivat avuksi, mutta lopulta tarpeeksi kovistelemalla ja rautalankaa taivuttamalla sieltä löytyi sellainen henkilö, joka lupasi edes poistaa väärän osoitteen sieltä lainakilpailutuksen tiedoista ja ottaa yhteyttä myös kaikkiin pankkeihin, joille kilpailutus oli lähtenyt. Sähköpostitse lähetettyihin yhteydenottoihin eivät vastanneet mitään.

Email-osoitetta ei hakemusvaiheessa rahalaitos.fi:ssä vahvisteta mitenkään, joten sinne ilmoitettuun osoitteeseen tulee pankeilta kaikenlaista arveluttavaakin kamaa lainatarjousten myötä. Niistä siis selvisi myös (osittain) se nimi, jota hakemuksessa oli käytetty, eikä se ainakaan ollut lähellekään samanlainen kuin vaimolla olevassa osoitteessa, joten aika huolella on kämmätty.

Menin sitten tekstiviesteissä näkyviin linkkeihin ja missä näkyi hyväksytty lainahakemus jossa oli lainanhakijan nimi, osoitteet, tulotiedot, tilinumerot, kaikki paitsi sotu. Puhelinnumero alkuperäisellä hakijalla oli yhtä numeroa lukuunottamatta sama kuin vaimolla, eli tyyliin 040-1111111 ja vaimoni 040-1111112.

Aika jännä. Noissa meille tulleissa meileissä ei ollut sellaisia linkkejä millä olisi suoraan päässyt näkemään mitään tietoja, tai edes niitä lainatarjouksia, mutta se varmaan riippuu juuri siitä että mistä pankista tarjous on tullut. Rahalaitoksen sivu edellyttää hetun tietämistä lainatietojen tarkastelulle/muokkaamiselle, joka on sekin aivan liian heikko suojaus, jos sitä nyt suojaukseksi voi edes sanoa. Ja siis niissä meileissä itsessään oli kaikenlaista tietoa niistä lainoista.

 

[jessenic]

Täällä alkoi kanssa vuosia sitten satelemaan lainatarjouksia tekstiviestitse ja puhelimitse. Joku nainen oli kirjoittanut puhelinnumeronsa väärin...

Ja @Kautium kerta heillä on vaimosi sähköpostiosoite, niin ainakin GDPR:n nojalla hänellä on oikeus saada se pois heidän järjestelmistään.

 

[dome]

Niin mahdollisesti olikin, mutta Rahalaitos ei tosiaan suostunut kertomaan mitään järkevää, mistä olisi voinut päätellä mitään. Pelkästään Rikosilmoitusta tarjosivat avuksi, mutta lopulta tarpeeksi kovistelemalla ja rautalankaa taivuttamalla sieltä löytyi sellainen henkilö, joka lupasi edes poistaa väärän osoitteen sieltä lainakilpailutuksen tiedoista ja ottaa yhteyttä myös kaikkiin pankkeihin, joille kilpailutus oli lähtenyt. Sähköpostitse lähetettyihin yhteydenottoihin eivät vastanneet mitään.

Mitä tietoja sieltä olisi pitänyt antaa? Ihan ymmärrettävää etteivät puhelimessa mitään kerrokaan ja hyvä niin, varsinkin kun ainut yhteys hakemukseen oli sähköpostiosoite mikä nyt ei ole mikään tae henkilöllisyydestä muutenkaan. Ei toki itseäkään kiinnosta muiden hakemuksia omasta sähköpostista lukea, mutta on sitä omakin mailiosoite joskus tullut väärin kirjoitettua. Liekö tarkistavat sen hetun sitten, että on oikein ja loput yhteystiedot on hakijan omalla vastuulla syöttää oikein. Eipä sitä sähköpostiosoitetta, puhelinnumeroa saati kotiosoitetta kaikkialla tarkisteta.

 

[Kautium]

Mitä tietoja sieltä olisi pitänyt antaa? Ihan ymmärrettävää etteivät puhelimessa mitään kerrokaan ja hyvä niin, varsinkin kun ainut yhteys hakemukseen oli sähköpostiosoite mikä nyt ei ole mikään tae henkilöllisyydestä muutenkaan. Ei toki itseäkään kiinnosta muiden hakemuksia omasta sähköpostista lukea, mutta on sitä omakin mailiosoite joskus tullut väärin kirjoitettua. Liekö tarkistavat sen hetun sitten, että on oikein ja loput yhteystiedot on hakijan omalla vastuulla syöttää oikein. Eipä sitä sähköpostiosoitetta, puhelinnumeroa saati kotiosoitetta kaikkialla tarkisteta.

No jos nyt olisivat edes kertoneet jonkin menetelmän, jolla voitaisiin varmistaa ilman rikosilmoitusta, että onko sieltä käsin katsottuna kyse tosiaan identiteettivarkaudesta ja sitä myöten syytä alkaa turvaamaan tietoja ihan eri tasolla. Edes sitä eivät suostuneet tarkistamaan, että onko hakemuksessa käytetty vaimon hetua. Ainoa tieto mikä sieltä irtosi, oli se että sieltä tosiaan löytyy vaimon meiliosoite ja että sitä on käytetty lainakilpailutuksessa ja tämähän nyt toki oli meillä tiedossa jo muutenkin, kun postilaatikossa oli Rahalaitokselta tullut viesti, jossa siitä kerrottiin. Onneksi kuitenkin tarpeeksi monen yrityksen jälkeen löytyi henkilö, joka osasi yhdistellä pisteitä sen verran, että lupasivat poistaa osoitteen ilman ensin vaadittua rikosilmoitusta.

En jaksa uskoa, että Rahalaitos tarkistaisi edes hetua muuten kuin muotoilun osalta. Kyse on kuitenkin "vain" palvelusta, joka välittää kilpailutuksen nimissä asiakkaan lainatietoja edestakaisin. Vahvaa tunnistusta ei edellytetä missään vaiheessa, ei edes silloin kun menee sivulle katsomaan niitä lainatarjouksia. Riittää että kirjoittaa sen saman hetun mitä käytti tarjouspyyntöä lähettäessä. Ja vaikuttaa näiden tapausten perusteella siltä, että ainakaan kaikki näistä ulkomaisista yhteistyökumppani-pankeistakaan eivät moisista suojatoimista välitä (ainakaan ennen kuin on aika siirtää rahoja tililtä toiselle).

Ja ei, se ei tietenkään haittaa, jos tulee urpojen typotuksen vuoksi näiden posteja, vaikka ne olisivat kuinka salaisia, mutta se kyllä jo haittaa, jos joku onnistuu muiluttamaan omilla tiedoilla rahaa pankista tai tilaamaan televisioita verkkokaupasta tms. Sehän se ensimmäinen olettamus kuitenkin on tilanteessa, jossa postilaatikkoon alkaa ropisemaan todellisten pankkien ilmoituksia myönnetystä lainasta. Itse IT-alan ihmisenä osasin toki rauhoitella vaimoa, että ei tässä mitään hätää ole, mutta ei se kaikille ole niin selvää.

Ja @Kautium kerta heillä on vaimosi sähköpostiosoite, niin ainakin GDPR:n nojalla hänellä on oikeus saada se pois heidän järjestelmistään.

Kuten jo sanoin, kyllä se sieltä hakemuksesta lopulta saatiin pois, mutta ei ihan helposti. Ja siis ei GDPR tuossa(kaan) ole välttämättä mikään taikasana, eli ei yritysten pidä siivota kannoistaan virheellisiäkään tietoja, mikäli niiden tallettamiselle on riittävät perusteet ja pankkipalveluiden kohdalla näin todennäköisesti on erilaisten selvitystilanteiden ja lakikiemuroiden vuoksi.

 

[dot1q]

Voikohan olla että rahalaitos.fi on korkattu niin että sen lomakepalvelua voidaan hyväksikäyttää jollain SQL injektiolla tms.

Sen pohjalta sitten sinne on bottien toimesta syötetty "vanhoja vuodettuja tietoja(eli some julkisia)" ja tätä sekaannusta mikä säpojen vastaanottamisesta syntyy, halutaan käyttää hyväksi. Saadaan data tarkemmaksi, puhelinnumerot ja nimet selville.

Edit; koska tässä näyttää olevan kyse disinformaatiosta ja tunteisiin menevästä / vetoavasta reaktiosta.

 

[Kautium]

Eli toisinsanoen sinun vaimon nimissä ei ole haettu yhtään mitään, vaan henkilön x y nimissä. Ainoastaan vaimosi sähköpostiosoite on laitettu hakemukseen. En näe ongelmaa.

En ole yllättynyt, että sinä et näe mitään ongelmaa, mutta jos kuitenkin vähän raotat putkilasien reunoja, niin saatat hoksata, että siinä vaiheessa kun "lainahakemuksesi on hyväksytty" -viestejä ropisee postilaatikkoon todellisilta pankeilta ja mukana on lainasummia ja korkotietoja jne, niin tavan tallaajalla menee helposti sormi suuhun. Sinä vaiheessa ei kuitenkaan ole tiedossa että onko kyse todellisesta tilanteesta ja onko onnistuttu käyttämään muitakin tietoja kuin sitä sähköpostiosoitetta jne.

Jos kyse olisi jostakin muusta kuin pankkitoiminnasta, niin tilanteen varmasti ohittaisi moni olankohtautuksella muutenkin, mutta tuli kyllä itsellenkikin yllätyksenä kuinka leväperäisesti toimivat ja lähettelevät noita tietoja.

Voikohan olla että rahalaitos.fi on korkattu niin että sen lomakepalvelua voidaan hyväksikäyttää jollain SQL injektiolla tms.

Sen pohjalta sitten sinne on bottien toimesta syötetty "vanhoja vuodettuja tietoja(eli some julkisia)" ja tätä sekaannusta mikä säpojen vastaanottamisesta syntyy, halutaan käyttää hyväksi. Saadaan data tarkemmaksi, puhelinnumerot ja nimet selville.

Korkkaamiseen ei ole viitannut mielestäni missään vaiheessa mikään. Sen sijaan ainakin alkutilanteessa vaikutti siltä, että olisi syötetty botin toimesta tietoja sinne Rahalaitoksen kilpailutuspalveluun, joka olisi ihan hyvin mahdolista edelleenkin, koska se ei tee niille mitään kunnollista tarkistusta. Sittemmin olen kallistunut enemmän sille puolelle, että kyse oli inhimillisestä virheestä, mutta sitä en osaa sanoa millaisesta, kun ei sitä Rahalaitokselta suostuttu kertomaan. Vaimon osoite on sellainen, että en oikein usko että se olisi typotettu ja hakijan nimikin oli vain vähän sinne päin, mutta kaikki on mahdollista.

Edit; koska tässä näyttää olevan kyse disinformaatiosta ja tunteisiin menevästä / vetoavasta reaktiosta.

Mihin viittaat tällä? Mikä on ollut disinformaatiota ja mikä on mennyt tunteisiin ja kenellä?

 

[dot1q]

@Kautium siihen viittaan, että saatu sähköposti on;
- melkein oikean sisältöistä, mutta ei ihan kuitenkaan (disinformaatio)
- viestissä kerrotaan henkilön tehneen jotain, mitä EI ole tehnyt ja saaneen siitä taloudellisia velvoitteita sisältävää vastetta. (Viestin vastaanottajan tunteet peliin, "sinä sait lainan, valitse mikä pankki toimittaa sen.". Tästä tulee ensimmäisenä sekaannusta, huolta ja murhetta).

Nämä ovat muistaakseni täysin klassisia tietojenkalastelun elementtejä.
Tämän vuoksi mietin, mikä on syy triggeröidä tällä teemalla ja eka johtopäätös : tiedon keruu.

 

[Kautium]

@Kautium siihen viittaan, että saatu sähköposti on;
- melkein oikean sisältöistä, mutta ei ihan kuitenkaan (disinformaatio)
- viestissä kerrotaan henkilön tehneen jotain, mitä EI ole tehnyt ja saaneen siitä taloudellisia velvoitteita sisältävää vastetta. (Viestin vastaanottajan tunteet peliin, "sinä sait lainan, valitse mikä pankki toimittaa sen.". Tästä tulee ensimmäisenä sekaannusta, huolta ja murhetta).

Nämä ovat muistaakseni täysin klassisia tietojenkalastelun elementtejä.
Tämän vuoksi mietin, mikä on syy triggeröidä tällä teemalla ja eka johtopäätös : tiedon keruu.

En nyt edelleenkään hoksaa, että kuka sitä tietoa olisi keräämässä tuollaisessa skenaariossa? Ne viestit tulivat siis ihan todellisilta pankeilta.

Rahalaitos.fi ottaa siis yksinkertaisella webbilomakkeella vastaan asiakkaan lainahakemuksen ja välittää sen edelleen useammalle kymmenelle pankille, jotka sitten vastaavat tarjousten tai lisäkysymysten muodossa omilla menetelmillään joko sinne Rahalaitoksen palveluun (jonne pääsee näkemään kaikki tiedot, jos tietää henkilötunnuksen), tai suoraan sähköpostilla/tekstiviesteillä. Niissä meille tulleissa vastauksissa oli toisissa mukana enemmän tietoja ja toisissa vähemmän.

 

[dot1q]

Ajattelin että jos se rahalaitos on korkattu, korkkaaja hakisi näitä rahalaitokselle jälkihoitona välittyviätietoja ulos. Toki tämä on jo melko pitkässä puussa tämä ajatukseni, ja edellyttää että rahalaitos kirjaa samaan CMDB:hen nämäkin infot. Mikä hyöty; saada täsmäämään aiemmat kerätyt tiedot yhteen.

 

[Kysymysmerkki]

Ehdottaisin että @Kautium ilmoittaa asiasta Kyberturvallisuuskeskukselle. Heidän valkohattu hakkerit tutkivat asiaa. Ilmoita meille | Kyberturvallisuuskeskus

 

[Kautium]

Ehdottaisin että @Kautium ilmoittaa asiasta Kyberturvallisuuskeskukselle. Heidän valkohattu hakkerit tutkivat asiaa. Ilmoita meille | Kyberturvallisuuskeskus

Jos ja kun tilanne oli tosiaan se, että joku oli kilpailuttanut lainan rahalaitos.fi:ssä ja kirjoittanut sinne väärän email-osoitteen, niin eipä tuossa ole sen kummempaa tutkimista. Tietosuojavaltuutettu voisi ehkä olla oikeampi paikka siinä mielessä, että voisivat velvoittaa toimijat tarkistamaan tietojen oikeellisuuden ennen kuin sitä kautta alkaa tulemaan väärään postilaatikkoon pankkien lainatarjouksia ja niihin liitettyjä henkilötietoja.