Musta tuntuu, että sä lähdet siitä oletuksesta, että mobiilipankki on lähtökohtaisesti epäilyttävä ratkaisu, kun taas mä yritän katsoa enemmän sitä, millaisia hyökkäyksiä tavalliseen käyttäjään nykyään oikeasti kohdistuu ja miten eri ympäristöt niihin vastaavat.
Minua kiinnostava näkökulma on ennen kaikkea se, että millaisia riskejä tarjotusta palvelusta voi aiheutua. En pidä mitään luotettavana, ellei luotettavuutta osoiteta uskottavasti.
Tässä ollaan pankkitoiminnan ytimessä: onko pankki uskottavasti turvallinen paikka varojen säilyttämiseen. En ole vakuuttunut siitä, että mobiilipankki olisi teknisesti niin riskitön kuin väitetään, mutta vielä suurempana riskinä pidän mobiilipankkiin liittyvää vaatimusta 24/7/365-huolellisuudesta.
Minusta on suorastaan epäinhimillistä odottaa, että kukaan toimisi 100,000% ajasta huolellisesti. Kun pankki kulkee "aina" mukana, niin tähän pitäisi kuitenkin pystyä. Ei onnistu ainakaan minulta, joten EI mobiilipankille. Se on riski, jota ei voi ottaa.
Selainympäristöön on myös vuosien aikana tehty valtava määrä pankkitroijalaisia ihan siitä syystä, että siellä hyökkääjällä on enemmän mahdollisuuksia vaikuttaa siihen mitä käyttäjä näkee ja tekee.
Mitä pankkitroijalaisia suomalaisiin verkkopankkeihin on viime vuosina kohdistettu ja mitä niillä on saatu aikaan?
Mobiilissa sovellus pyörii paljon rajatummassa ympäristössä. Ei se siitä murtamatonta tee, mutta hyökkääjän vaihtoehtoja on yleensä vähemmän. Siksi en osta ajatusta, että selain olisi automaattisesti turvallisempi vaihtoehto. Lisäksi nykyään aika iso osa pankkipetoksista ei perustu siihen, että jonkun laitteeseen murtaudutaan teknisesti, vaan siihen että käyttäjä saadaan itse hyväksymään jotain mitä ei pitäisi. Siksi pidän kalastelua paljon realistisempana uhkana kuin käyttöjärjestelmätason hyökkäystä.
Mobiilia vastaan on vaikeampi hyökätä mutta mobiili on paljon työpöytää vakioidumpi ympäristö, joten onnistuneeseen rysään jää kerralla moninverroin enemmän saalista. En väitä, että selain olisi "automaattisesti" turvallisempi mutta ei se ole myöskään automaattisesti riskipitoisempi, varsinkaan erillislaitteeseen perustuvan vahvistuksen kanssa. Vahvistustapa voi olla olennaisempi kysymys kuin alusta, millä pankki toimii.
Huijaukset taas kävelee monesti sisään juuri mobiilin kautta. "Se on Malagan ensiavusta moro. Poikanne on täällä aika heikossa hapessa. Maksa heti 3000€ tilille xxxyyyzzz, niin teemme elämänpelastavat toimet. Nyt ei kannata viivytellä" Mobiililla maksun saa lähtemään, viivyttelemättä. Verkkopankin kanssa on enemmän säätämistä. Ehtiikö maksu ajoissa?
Helppo vaivattomuus tarkoittaa myös sitä, että huijaukset menevät helposti läpi. Kun maksaminen on pakosti vähän kankeaa, on ainakin enemmän aikaa miettiä onko maksu tolkullinen.
Alustasta riippumatta huijauksissa on ikävänä piirteenä se, että pankki pesee todennäköisesti kätensä asiasta. Se toteaa, että olet itse hyväksynyt maksun, joten se on voi-voi.
Tässä appilla on mun mielestä ihan selviä etuja. Esim. kalastelutilanteessa hyökkääjän on helppo tehdä verkkosivusta aidon näköinen kopio. Pankin appia ei kuitenkaan korvata samalla tavalla yhdellä huijaussivulla, vaan käyttäjä näkee edelleen pankin omassa sovelluksessa mitä on hyväksymässä. Toki mobiilikäyttäjääkin voidaan huijata, mutta hyökkääjän on vaikeampi päästä käyttäjän ja pankin väliin kuin selainympäristössä.
Toisaalta mobiilissa on hyvin vaikeaa tehdä mitään tarkistuksia samassa laajuudessa kuin työpöydällä. Ylipäänsä pieni kosketusnäyttö on onneton käyttöliittymä monitoriin, näppikseen ja hiireen verrattuna.
Sovellus sitä, sovellus tätä. Mobiilissa toimii myös verkkopankki, joten mobiilipankkin ohella käyttäjä altistuu samoille riskeille kuin työpöydällä.
Jos suurin riski on nykyään kalastelu, selainmanipulaatio tai käyttäjän harhauttaminen, niin juuri niissä tilanteissa pankin oma sovellus antaa hyökkääjälle vähemmän liikkumavaraa kuin selain.
Jos käyttäjä on päättänyt, että joku maksu pitää tehdä, on samantekevää ollaanko mobiilissa vai työpöydällä. Silloin parhaan suojan antaa alusta, joka pakottaa käyttäjän edes vähän miettimään, mitä oikein on maksamassa.
Nyt tuntuu keskustelussa olevan sellainen virhekuvitelma, että mobiilipankissa olisi aina vahvistus mukana sisäänrakennettuna ja tällä tavoin erillinen laite antaisi jotain lisäturvaa. Tämä riippuu täysin pankista ja ei ole yleistettävissä. S-pankkilla ja OP’lla näin onkin, mutta esimerkiksi Nordealla on erillinen mobiilipankki ja ID sovellus. Ja tätä ID-sovellusta ei ole pakko asentaa samalle laitteelle mobiilipankin kanssa. Eli foliohattu voi asentaa ID sovelluksen vaikka tabletille eikä lainkaan puhelimelle.
Tässä on kyllä hyvänä pointtina se, että ei voi puhua "mobiilipankin turvallisuudesta" yhtenä monoliittina. Eri toteutuksilla voi olla aivan olennaisia eroja.
Tarvitaanko Nordean mobiilipankin käyttöön ID-sovellusta ollenkaan vai voiko käyttää nykyistä ID-laitetta? Ehkä vielä olennaisempaa on, että voiko muut kirjautumistavat estää luotettavasti. Ei ole niinkään keskeistä, että voi kirjautua tavalla x vaan se, että muun kirjautumisen voi luotettavasti estää.
