Tyhmät ihmiset

[Chaos]

Jututin tuossa naapurin apteekkaria ja yllättäen tuli jodihässäkkä puheeksi, niin pakko oli kysyä, että mikä oli heillä jodia ostaneiden keski-ikä ja kuinka monta ostajaa oli käynyt, ennen kuin hyllyt olivat tyhjinä. Ei halunnut avata sitä, että kuinka monelle asiakkaalle oli myynyt, mutta klo 8:00 oli oven avannut ja 8:20 jodihyllyt tyhjänä. Kyseessä kuitenkin aika pieni maalaiskylä ja apteekkeja 4 tai 5. Kaikki olivat halunneet vähintään 100 napin paketteja, iso osa ostajista enemmänkin ja aivan viimeiset joutuneet ostamaan 10 napin paketteja muutamia ja kukaan ei ollut ostanut ainoastaan yhtä 10 napin pakkausta. Ostajien keski-iäksi arvioi ~70v.

 

[tootsi]

Jututin tuossa naapurin apteekkaria ja yllättäen tuli jodihässäkkä puheeksi, niin pakko oli kysyä, että mikä oli heillä jodia ostaneiden keski-ikä ja kuinka monta ostajaa oli käynyt, ennen kuin hyllyt olivat tyhjinä. Ei halunnut avata sitä, että kuinka monelle asiakkaalle oli myynyt, mutta klo 8:00 oli oven avannut ja 8:20 jodihyllyt tyhjänä. Kyseessä kuitenkin aika pieni maalaiskylä ja apteekkeja 4 tai 5. Kaikki olivat halunneet vähintään 100 napin paketteja, iso osa ostajista enemmänkin ja aivan viimeiset joutuneet ostamaan 10 napin paketteja muutamia ja kukaan ei ollut ostanut ainoastaan yhtä 10 napin pakkausta. Ostajien keski-iäksi arvioi ~70v.

Eikö näitä suositeltu vain alle 40- vuotiaille? Olisivatko siis ostaneet lapsille ja lastenlapsilleen kun aikaa on.

 

[Chaos]

Eikö näitä suositeltu vain alle 40- vuotiaille? Olisivatko siis ostaneet lapsille ja lastenlapsilleen kun aikaa on.

Juu suositeltiin alle 40v, mutta jos lukivat ainoastaan otsikoita ja pum, kaupoille. Sitä en tiedä minne ovat vieneet, mutta silti todella hullulta ja tyhmältä kuulostaa, että ~70v porukka noita hamstraa. Kuvittelisin, että ihan parhain lopputulos saadaan, kun jokainen huolehtii siitä omasta, kotona olevasti lääkekaapista ihan itse. Varmaan samat hamstrasi vessapaperia ja adblueta vuosien tarpeiksi tai sitten ihan koko suvulle kerralla.

 

[KiLLPaTRiCK]

Eikö näitä suositeltu vain alle 40- vuotiaille? Olisivatko siis ostaneet lapsille ja lastenlapsilleen kun aikaa on.

Miksei tällä saitilla ole lisää vaihtoehtoja tuohon tykkäykseen? Tämä olisi niin vaatinut nauraa, kunnes pissa tulee housuun valinnan...

 

[Trans-Late]

Kyseessä kuitenkin aika pieni maalaiskylä ja apteekkeja 4 tai 5.

Missä "pienessä maalaiskylässä" on 4-5 apteekkia?

 

[Tonnin Seteli]

Missä "pienessä maalaiskylässä" on 4-5 apteekkia?

Veikkaan että kyseessä on jokin liitoskunta, joka on nyt tässä mielessä laskettu "maalaiskyläksi" vaikka apteekit olisivatkin useammassa pienessä kylässä.

 

[Chaos]

Missä "pienessä maalaiskylässä" on 4-5 apteekkia?

Noin 20000 asukkaan kaupungissa, ei ole liitoskunta, mutta olisi varmaan pitänyt kirjoittaa "maalaiskylä".

Edit: Piti ihan tarkistaa apteekkien määrä, jos nyt nussitaan pilkkua, niin varsinaisia apteekkeja on 3kpl ja siihen kylkeen on sitten lisäksi 3kpl sivuapteekkeja. Laskin ulkomuistista nuo kaikki kategoriaan apteekki. Kaikki mahtuvat ympyrän sisään, mikä on halkaisijaltaan maks. 5km.

 

[Trans-Late]

Noin 20000 asukkaan kaupungissa, ei ole liitoskunta, mutta olisi varmaan pitänyt kirjoittaa "maalaiskylä".

Eli keskisuuri kaupunki. "Pieni maalaiskylä" antaa vähän väärän kuvan 20 000 asukkaan kaupungista.

 

[Mawerick]

Hieman erilainen rakkaushuijaus. Miten ihmeessä joku voi langeta tällaiseen...

 

[Leo_Greta]

Jututin tuossa naapurin apteekkaria ja yllättäen tuli jodihässäkkä puheeksi, niin pakko oli kysyä, että mikä oli heillä jodia ostaneiden keski-ikä ja kuinka monta ostajaa oli käynyt, ennen kuin hyllyt olivat tyhjinä. Ei halunnut avata sitä, että kuinka monelle asiakkaalle oli myynyt, mutta klo 8:00 oli oven avannut ja 8:20 jodihyllyt tyhjänä. Kyseessä kuitenkin aika pieni maalaiskylä ja apteekkeja 4 tai 5. Kaikki olivat halunneet vähintään 100 napin paketteja, iso osa ostajista enemmänkin ja aivan viimeiset joutuneet ostamaan 10 napin paketteja muutamia ja kukaan ei ollut ostanut ainoastaan yhtä 10 napin pakkausta. Ostajien keski-iäksi arvioi ~70v.

Pieni maalaiskylä ja apteekkeja on 4, tai 5!? WTF!?

Apteekkien määrä on sääntelyn alla ja käsittääkseni kiinni asukasmäärästä alueella, joten joku tuossa nyt haisee. Jos "pieni maalaiskylä" on luokkaa 30000-40000 asukasmäärältään, niin joo mahdollista. Jos asukkaita e olei niin paljon, niin siellä on kyllä jaettu muutakin kuin pillereitä...

 

[Trans-Late]

Pieni maalaiskylä ja apteekkeja on 4, tai 5!? WTF!?

Apteekkien määrä on sääntelyn alla ja käsittääkseni kiinni asukasmäärästä alueella, joten joku tuossa nyt haisee. Jos "pieni maalaiskylä" on luokkaa 30000-40000 asukasmäärältään, niin joo mahdollista. Jos asukkaita e olei niin paljon, niin siellä on kyllä jaettu muutakin kuin pillereitä...

Tuossa nyt oli jo avattu, että se "pieni maalaiskylä" olikin 20 000 asukkaan kaupunki.

 

[pulatunnus]

Pieni maalaiskylä ja apteekkeja on 4, tai 5!? WTF!?

Apteekkien määrä on sääntelyn alla ja käsittääkseni kiinni asukasmäärästä alueella, joten joku tuossa nyt haisee. Jos "pieni maalaiskylä" on luokkaa 30000-40000 asukasmäärältään, niin joo mahdollista. Jos asukkaita e olei niin paljon, niin siellä on kyllä jaettu muutakin kuin pillereitä...

Tuli mieleen Sastamala, mutta se on liitoskunta. Ja siellä ehkä voisi uusi Olkiluoto jännittää sen verran, vaikka matkaa onkin.

Mutta veikkaan yhtä alle 20 000 asukkaan "länsin" eteläsuomalaista(?) kaupunkia joka on maantieteellisesti isohkon alueensa keskus,

 

[oongee]

IS:ssä taas juttu urpoista, Mirja ja Paavo, jotka ovat antaneet silmät ummessa pankkitunnuksensa huijareille kaikki pankin varoitusviestit huomiotta jättäen ja sitten jälkikäteen vinkuvat asiasta: Vantaalainen Mirja, 83, päätyi väärään nettipankkiin ja menetti 63 950 euroa – näin pankki kommentoi

 

[tootsi]

IS:ssä taas juttu urpoista, Mirja ja Paavo, jotka ovat antaneet silmät ummessa pankkitunnuksensa huijareille kaikki pankin varoitusviestit huomiotta jättäen ja sitten jälkikäteen vinkuvat asiasta: Vantaalainen Mirja, 83, päätyi väärään nettipankkiin ja menetti 63 950 euroa – näin pankki kommentoi

Miten nämä huijaukset käytännössä tapahtuvat (toimintaprosessi) kun käytössä on tunnuslukusovellus?

Joskus olen kokeillut noita huijaussivustoja väärillä tunnuksilla uteliaisuuttani, mutta en ole saanut niistä mitään irti.

T. Tietämätön, mutta ei niin tietämätön että näin olisi itselle käynyt.

 

[Copper]

Miten nämä huijaukset käytännössä tapahtuvat (toimintaprosessi) kun käytössä on tunnuslukusovellus?

Joskus olen kokeillut noita huijaussivustoja väärillä tunnuksilla uteliaisuuttani, mutta en ole saanut niistä mitään irti.

T. Tietämätön, mutta ei niin tietämätön että näin olisi itselle käynyt.

Puhelimen tunnuslukusovelluksen käyttöönotto vaatii (ilmeisesti) vain sen yhden tunnuksen. Se kun saadaan huijattua, niin huijari asentaa heti puhelimeen pankin apin. Jolloin voi varmistaa itse kaikki maksut. Tähän oikeasti pitäisi saada kaksivaiheinen tunnistautuminen. Eikä niin että pankki lähettää vain tekstarin " Aktia sanoo lähettäneensä Mirjan puhelimeen vielä toisen tekstiviestin, jossa kerrottiin mobiilipankin käyttöönotosta iPhone 6s -puhelimella, ja että hänen tulisi olla pikimmiten yhteydessä sulkupalveluun, jos hän ei ole tätä uutta laitetta aktivoinut".

 

[Jetula]

Miten nämä huijaukset käytännössä tapahtuvat (toimintaprosessi) kun käytössä on tunnuslukusovellus?

Joskus olen kokeillut noita huijaussivustoja väärillä tunnuksilla uteliaisuuttani, mutta en ole saanut niistä mitään irti.

T. Tietämätön, mutta ei niin tietämätön että näin olisi itselle käynyt.

Noisa lehtijutuissa tuo kerrotaan.

Huijarilla on valmiina pankin apit, ja kun saa tunnusluvun, voi liittää siihen huijatun tilin yhdellä tai kahdella tekstiviestillä.


Sitä en tajua, miksi pankit eivät vieläkään tarjoa "mummoturvaa", jossa kaikki asennukset ja yli x sadan euroiset tilisiirrot ovat estetty selainpankissa.

 

[axxu]

Käyttäjän syy toki mutta on tossa ihan hyvä kysymys että miksi pankki ei tunnistanut noita siirtoja poikkeuksellisiksi. 30min sisällä äpin käyttöön otosta 95% tilistä tyhjäksi 5 numeroisilla siirroilla, ei taida olla mikään ihan yleinen skenaario kuitenkaan.

 

[kjns]

Miten nämä huijaukset käytännössä tapahtuvat (toimintaprosessi) kun käytössä on tunnuslukusovellus?

Joskus olen kokeillut noita huijaussivustoja väärillä tunnuksilla uteliaisuuttani, mutta en ole saanut niistä mitään irti.

T. Tietämätön, mutta ei niin tietämätön että näin olisi itselle käynyt.

Lähtökohtahan näissä yleensä on se, että sinne verkkopankkiin ollaan menossa hakukoneen kautta, eli osoitepalkkiin kirjoitetaan vain "Aktia", "Nordea" tms ja sitten ensimmäisestä maksetusta mainoksesta klikataan huijaussivustolle.

Sinne sitten syötetään käyttäjätunnukset, mitä käyttäen rikollinen lähtee aktivoimaan mobiilipankkia ja/tai tunnistussovellusta käyttöönsä, asiakas saa vahvistusviestin puhelimeen "olet ottamassa käyttöön mobiilipankkia" tms, ei lueta mitään muuta viestistä kuin se tunnusluku jota huijaussivusto pyytää "sisäänkirjautumista" varten ja syötetään se huijaussivustolle. Näin rikollinen saa aktivoitua sovelluksen ja uhrin tilit vapaaseen käyttöönsä.

Sitten kun vielä tehdään niinkuin tämä edellisen tapauksen Merja, ja todetaan että "oho, ei päässy sisään" ja jätetään pankin lähettämä viesti "mobiilipankkisovellus aktivoitu uuteen laitteeseen iphone 6S, jos et tehnyt tätä ota välittömästi yhteys pankkiin" ja sitten mennään ihmettelemään Pertille että ei toiminunninnannunna.

Tällä välin rikollinen naksuttelee parit tilisiirrot ja tyhjentää tilit. Sitten Merja ihmettelee että on se kumma kun pankki ei vastaa tappioista kun itse on aktiivisesti avustettu rikollista siirtämään rahat pois toimittamalla kaikki pyydetyt MFA-tunnisteet sille...

 

[Dääm]

Tuo on kyllä paha että hakukoneisiin ei nykyään enää voi luottaa, ennen ei mikään huijaussivusto voinut näkyä hakutuloksissa ensimmäisenä.

Voisivat edes varmistaa että ostavat rehellisiltä yrityksiltä mainoksia.

 

[demu]

Käyttäisivät nuo tyhmät ihmiset pankkitunnusten sijaan mobiilivarmennetta. Niillä ei pääse tyhjentämään pankkitilejä.

 

[Ekaros]

Itsellä kyllä menee kyllä tähän ryhmään nämä päättäjät jotka ovat hyväksyneet nämä mobiiliappit joilla kahdella koodilla saa tiliin täydet oikeudet...

Käsitämättömän typerää luoda yhdenpisteen haavoittuvuus aivan kaikelle.

 

[Copper]

Itsellä kyllä menee kyllä tähän ryhmään nämä päättäjät jotka ovat hyväksyneet nämä mobiiliappit joilla kahdella koodilla saa tiliin täydet oikeudet...

Käsitämättömän typerää luoda yhdenpisteen haavoittuvuus aivan kaikelle.

Mobiiliappi itsessään on kohtuu luotettava (kaiketi, en ole mikään tietoturvanörtti). Suurin ongelma taitaakin olla siinä, että nämä Liisat ja Jormat. Antaa luvan asentaa sen toiseen laitteeseen.
Tuossa uutisessa Vantaalainen Mirja, 83, päätyi väärään nettipankkiin ja menetti 63 950 euroa – näin pankki kommentoi tosiaan pankki on ensin lähettänyt erillisen tekstarin/vahvistuskoodin, ja vielä ilmoituksen että mobiiliappi on otettu käyttöön NN-laitteella. Nämä huijaukset ei onnistuisi läheskään niin helposti, jos oletuksena kaikilla käyttäjillä olisi ulkomaanmaksut estettynä. Niiden käyttöönotto sitten vaatisi vaikka erikseen aktivoimisen, viikon viiveellä. Silloinkin ottaisin asiakkaan "profiloinnin" päälle, ja pankista soittaisin. Oletko nyt varma että haluat Abu Hassanille siirtää n+1 kertaa 20,000€.

 

[Maxwell]

Käyttäjän syy toki mutta on tossa ihan hyvä kysymys että miksi pankki ei tunnistanut noita siirtoja poikkeuksellisiksi. 30min sisällä äpin käyttöön otosta 95% tilistä tyhjäksi 5 numeroisilla siirroilla, ei taida olla mikään ihan yleinen skenaario kuitenkaan.

Jep. Ihmiset on toki näissä olleet huolimattomia, mutta sinänsä on ymmärrettävää, että rutiinilla tehdään asioita ja toisaalta, toiset eivät vaan ymmärrä miten hommat toimivat (mitä tarkoittaa mobiilisovelluksen asentaminen ja sen varmennuskoodi). Ehkä he ovat myös tyhmiä, mutta varmaan heitä kannattaisi suojella jos mahdollista. Tuo sanomasi skenaario on juuri sellainen, jonka perusteella pankki voisi blokata. Lisätään siihen vielä, että siirto tapahtuu ulkomaille. Lienee aika selvää mistä on kyse, ja ei varmaan olisi koneelle temppu eikä mitään narauttaa kiinni.

Pankit tarjoavat myös muutenkin todella vähän mitään mahdollisuuksia asettaa estoja. Miksi ei voi asettaa geoblokkiestoa (siirto ulkomaille ei onnistu ilman X) tai yleisesti tiukkoja siirtorajoja. Nyt jotain maksimisummia voi asettaa, mutta nehän saa vaihdettua nopeasti kun on saanut tilin halliintansa (no taitaa niistä vielä tekstari tulla ainakin OP:ssa). Tiedän esim. sukulaiseni, jolla on mukava summa rahaa tilillä ja vaikka hän fiksu onkin, silti mietin miten rahoja suojaisi. Nyt parhaalta idealta tuntuu siirtää rahat toiseen pankkiin tilille, johon ei ole mitään verkkopankkitunnuksia. Ei luulisi olevan pankin tahto.

Aiemmin tänne linkatussa Kanta-huijauksessa lisäongelma on myös se, että Suomeen on luotu systeemi jossa (käyttötilin) verkkopankkitunnuksilla tunnistaudutaan joka paikkaan. Eihän tuo Kantaan kirjautuminen pitäisi olla sidoksissa verkkopankkitunnuksiin. Jos verkkopankkitunnuksilla kirjauduttaisiin vain verkkopankkiin, olisi potentiaalisia huijaussivustoja paljon vähemmän.

 

[Baldrick]

Tuo on kyllä paha että hakukoneisiin ei nykyään enää voi luottaa, ennen ei mikään huijaussivusto voinut näkyä hakutuloksissa ensimmäisenä.

Voisivat edes varmistaa että ostavat rehellisiltä yrityksiltä mainoksia.

Vastuuta tulisi tosiaan siirtää sinne yhteistyökumppanille. Muutenhan nuo on hyvä sivubisnes vaan mainostajille.

 

[Kautium]

Käyttäisivät nuo tyhmät ihmiset pankkitunnusten sijaan mobiilivarmennetta. Niillä ei pääse tyhjentämään pankkitilejä.

Eivät nuo vanhukset osaa sellaista käyttää. Ja sitten vielä sekin, ettei mobiilivarmenne ole juurikaan sen kummempi tilanteessa, jossa käyttäjä syöttää itse tiedot jollekin feikkisivulle ja hyväksyy päätelaitteessa kaikki kirjautumispyynnöt.

 

[Chaos]

Se, että koko tili on jo jonkun toisen hallinnassa, on toinen juttu, mutta varmaan kaikilla pankeilla on kertanosto/siirtorajat olemassa, samoiten vuorokausi- ja kuukausirajat. En ole varma saako ihan kaikille summille tekstarin ja varmennuksen, mutta noille yli tonnin maksuille/siirroille saa, ainakin osuuspankilla näin.

 

[GGoljatti]

Käyttäjän syy toki mutta on tossa ihan hyvä kysymys että miksi pankki ei tunnistanut noita siirtoja poikkeuksellisiksi. 30min sisällä äpin käyttöön otosta 95% tilistä tyhjäksi 5 numeroisilla siirroilla, ei taida olla mikään ihan yleinen skenaario kuitenkaan.

Voisihan tuohon vaikka oletuksena laittaa pankin puolelta että jos siirto 5000+ niin vaatisi puhelun tjs.

 

[Wolttis]

Jep. Ihmiset on toki näissä olleet huolimattomia, mutta sinänsä on ymmärrettävää, että rutiinilla tehdään asioita ja toisaalta, toiset eivät vaan ymmärrä miten hommat toimivat (mitä tarkoittaa mobiilisovelluksen asentaminen ja sen varmennuskoodi). Ehkä he ovat myös tyhmiä, mutta varmaan heitä kannattaisi suojella jos mahdollista. Tuo sanomasi skenaario on juuri sellainen, jonka perusteella pankki voisi blokata. Lisätään siihen vielä, että siirto tapahtuu ulkomaille. Lienee aika selvää mistä on kyse, ja ei varmaan olisi koneelle temppu eikä mitään narauttaa kiinni.

Pankit tarjoavat myös muutenkin todella vähän mitään mahdollisuuksia asettaa estoja. Miksi ei voi asettaa geoblokkiestoa (siirto ulkomaille ei onnistu ilman X) tai yleisesti tiukkoja siirtorajoja. Nyt jotain maksimisummia voi asettaa, mutta nehän saa vaihdettua nopeasti kun on saanut tilin halliintansa (no taitaa niistä vielä tekstari tulla ainakin OP:ssa). Tiedän esim. sukulaiseni, jolla on mukava summa rahaa tilillä ja vaikka hän fiksu onkin, silti mietin miten rahoja suojaisi. Nyt parhaalta idealta tuntuu siirtää rahat toiseen pankkiin tilille, johon ei ole mitään verkkopankkitunnuksia. Ei luulisi olevan pankin tahto.

Aiemmin tänne linkatussa Kanta-huijauksessa lisäongelma on myös se, että Suomeen on luotu systeemi jossa (käyttötilin) verkkopankkitunnuksilla tunnistaudutaan joka paikkaan. Eihän tuo Kantaan kirjautuminen pitäisi olla sidoksissa verkkopankkitunnuksiin. Jos verkkopankkitunnuksilla kirjauduttaisiin vain verkkopankkiin, olisi potentiaalisia huijaussivustoja paljon vähemmän.

Kyllä ainakin itselle tullut muutaman kerran vastaan isompia siirtoja tehdessä että eipäs ole suoraan onnistunutkaan vaan joku pankin tutka havainnut epänormaalia toimintaa ja jonkun ajan päästä pankkitäti soittanut ja varmistellut että olenko siirtämässä rahaa, enkä ole mitään estoja asettanut. Näistä kyllä nyt tosin jo jokunen vuotta aikaa, joten on voinut käytännöt muuttuakin.

 

[demu]

Eivät nuo vanhukset osaa sellaista käyttää. Ja sitten vielä sekin, ettei mobiilivarmenne ole juurikaan sen kummempi tilanteessa, jossa käyttäjä syöttää itse tiedot jollekin feikkisivulle ja hyväksyy päätelaitteessa kaikki kirjautumispyynnöt.

Oletko itse koskaan oikeasti käyttänyt mobiilivarmennetta?
Jos annat mobiilivarmenteen tiedot (puhelinnumero + tunnusluku), niillä ei takuuvarmasti pääse kirjautumaan minnekään pankkitilille tilisiirtoja varten.
Ja jos joku ne tiedot saakin ja niillä yrittää kirjautua jonnekin, niin sinne puhelimeenhan se kirjautumisyritys päätyy tunnusluvun kyselyyn.
Jos tuonkin jälkeen hyväksyy transaktion, niin edelleenkään ei päästä pankkitileihin kiinni.

Ja luulisi, että vanhuksenkin on helpompi muistaa ja kirjoittaa kirjautumisikkunaan oma puhelinnumero + tunnusluku kuin muistaa verkkopankin käyttäjätunnus + tunnusluku.

 

[Kautium]

Oletko itse koskaan oikeasti käyttänyt mobiilivarmennetta?
Jos annat mobiilivarmenteen tiedot (puhelinnumero + tunnusluku), niillä ei takuuvarmasti pääse kirjautumaan minnekään pankkitilille tilisiirtoja varten.
Ja jos joku ne tiedot saakin ja niillä yrittää kirjautua jonnekin, niin sinne puhelimeenhan se kirjautumisyritys päätyy tunnusluvun kyselyyn.
Jos tuonkin jälkeen hyväksyy transaktion, niin edelleenkään ei päästä pankkitileihin kiinni.

Käytän mobiilivarmennetta ja kutakuinkin kaikkia muitakin mahdollisia varmennustapoja ihan jo työnkin puolesta päivittäin.

Taivuttelen rautalankaa mahdollisesta skenaariosta :

1.) Menet linkistä hyökkääjän sivulle, joka näyttää ihan siltä verkkopankin sivulta, jonne halusitkin mennä
2.) Syötät sivulle tarvittavat tiedot ja valitset tunnistautumistavaksi mobiilivarmenteen
3.) Taustalla hyökkääjän sivu täyttää automaattisesti samat tiedot sinne oikealle verkkopankin sivulle, josta sinulle lähetetään puhelimeen se mobiilivarmenteen pin-kysely
4.) Syötät pin-koodin ja toivot pääseväsi verkkopankkiin
5.) Pam, sinulle tulee esim. joku virheilmoitussivu, jossa pyydetään odottamaan tai tekemään jotain
6.) Samaan aikaan taustalla hyökkääjälla on käytössä sinun verkkopankkisi täysin avoimena ja siellä voi tehdä siirtoja
7.) Jos siirrot edellyttävät uusia varmennuksia, niitä voidaan hyväksyttää sinulta vaikkapa juuri sen aiemman feikkisivun kautta samalla tavalla, tai ihan vain luottamalla siihen, että hyväksyt ongelman korjaantumisen toivossa kaikki uudetkin varmennekyselyt (ikävän moni tekee niin)

Tuo oli vain yksi esimerkki. Hyväksikäyttötapoja on paljon muitakin kuin vain jonkin tunnus/salasanaparin varastaminen. Vahvan tunnistuksen heikoin lenkki on nimenomaan tyhmä ihminen, eikä sitä voi teknisesti korjata.

Ja luulisi, että vanhuksenkin on helpompi muistaa ja kirjoittaa kirjautumisikkunaan oma puhelinnumero + tunnusluku kuin muistaa verkkopankin käyttäjätunnus + tunnusluku.

Niin luulisi ja osalle ehkä onkin. Vaan jos nyt otan vaikka omat vanhemmat esimerkiksi, niin heillä ei ole ensinnäkään sellaista puhelinta, jossa voisi käyttää mitään sms-viestiä monimutkaisempaa varmennusmenetelmää (kun eivät osaa monimutkaisempia puhelimia käyttää) ja toisekseen, kun ovat oppineet joskus 20v sitten käyttämään niitä pankin koodeja, niin eivät enää osaa kuvitellakaan mitään muuta vaihtoehtoa, saati sitten että ymmärtäisivät mihin se vaikuttaa ja miksi.

 

[tootsi]

Lähtökohtahan näissä yleensä on se, että sinne verkkopankkiin ollaan menossa hakukoneen kautta, eli osoitepalkkiin kirjoitetaan vain "Aktia", "Nordea" tms ja sitten ensimmäisestä maksetusta mainoksesta klikataan huijaussivustolle.

Sinne sitten syötetään käyttäjätunnukset, mitä käyttäen rikollinen lähtee aktivoimaan mobiilipankkia ja/tai tunnistussovellusta käyttöönsä, asiakas saa vahvistusviestin puhelimeen "olet ottamassa käyttöön mobiilipankkia" tms, ei lueta mitään muuta viestistä kuin se tunnusluku jota huijaussivusto pyytää "sisäänkirjautumista" varten ja syötetään se huijaussivustolle. Näin rikollinen saa aktivoitua sovelluksen ja uhrin tilit vapaaseen käyttöönsä.

Sitten kun vielä tehdään niinkuin tämä edellisen tapauksen Merja, ja todetaan että "oho, ei päässy sisään" ja jätetään pankin lähettämä viesti "mobiilipankkisovellus aktivoitu uuteen laitteeseen iphone 6S, jos et tehnyt tätä ota välittömästi yhteys pankkiin" ja sitten mennään ihmettelemään Pertille että ei toiminunninnannunna.

Tällä välin rikollinen naksuttelee parit tilisiirrot ja tyhjentää tilit. Sitten Merja ihmettelee että on se kumma kun pankki ei vastaa tappioista kun itse on aktiivisesti avustettu rikollista siirtämään rahat pois toimittamalla kaikki pyydetyt MFA-tunnisteet sille...

Kuulunen tähän ketjuun koska en vieläkään ymmärrä. Väännetään siis rautalangasta.

1. Syötän käyttäjätunnukseni 123456 huijaussivustolle jolloin se menee luonnollisesti huijarin käyttöön.
2. Avaan Nordea ID:n joka aktivoituu salasanan syöttöä varten vasta kun kirjautuisin oikealle pankin sivulle. Eli mitään ei tapahdu kun en ole syöttänyt oikealle sivustolle käyttäjätunnustani eikä huijari tee tuolla 123456 tunnuksella mitään.

Missä huijaus siis tapahtuu? Odottaako huijari 24/7 päätteen ääressä että saa tunnuksen 123456 käyttöönsä, jolloin hän syöttää sen oikealle sivustolle -> Nordea ID aktivoituu ja loggaan sisään hyväuskoisena -> huijarille pääsy tilille. Tässä ongelmana on se, että tilisiirto tulee vielä vahvistaa uudestaan Nordea ID:llä ja ID aukaista erikseen sitä varten.

Vai onko tosiaan noin, että kuka tahansa pääsee asentamaan mobiilipankin omaan puhelimeensa pelkästään tuolla käyttäjätunnuksella? Sinnekin kun kuuluu kirjautua sisään Nordea ID:llä tai face ID:llä.

Edit: Kautium avasikin asiaa ylempänä. Eli ilmeisesti ensimmäinen skenaario on se oikea tapa.

 

[samsungaaja]

Olisko kalastelua En nyt tiedä olisiko varsinaisesti tyhmä tällaiseen haksahtaja, turhan luottavainen ehkä..

 

[emagdnim]

Olisko kalastelua En nyt tiedä olisiko varsinaisesti tyhmä tällaiseen haksahtaja, turhan luottavainen ehkä..

nordea.fi on ihan legitti osoite? Kyllähän sitä nyt oman pankin sivuille voi osoitteen kirjoittamalla mennä. Jos tulis sähköpostina linkin kera, nii sit eri asia.

 

[samsungaaja]

nordea.fi on ihan legitti osoite? Kyllähän sitä nyt oman pankin sivuille voi osoitteen kirjoittamalla mennä. Jos tulis sähköpostina linkin kera, nii sit eri asia.

Joo tuolla sivuillaan näköjään kertovat tällaisia kyselevänsä: Asiakkaan tunteminen – miksi pankki kysyy?

Vaikeaa tämä nykyaika, osasivat kuitenkin kirjeen lähettää niin mitä muuta tietoa voi tarvita. Hetukaan ei voi (vielä) muuttua..

 

[pulatunnus]

Missä huijaus siis tapahtuu? Odottaako huijari 24/7 päätteen ääressä että saa tunnuksen 123456 käyttöönsä, jolloin hän syöttää sen oikealle sivustolle -> Nordea ID aktivoituu ja loggaan sisään hyväuskoisena -> huijarille pääsy tilille. Tässä ongelmana on se, että tilisiirto tulee vielä vahvistaa uudestaan Nordea ID:llä ja ID aukaista erikseen sitä varten.

Voi olla scripiti pohjaista , joku voi päivystää tai olla päivystämättä siinä rinnalla. Riippuu toki mitä yritetään, jos yritetään saa uhrin "nordea ID" omaan luuriin, niin kannattaa siinä jo vähän silmäpäria valmiudessa. Jos taasen vain siirellä välistä rahoja, samalla kun uhri kuvittelee surffailevan normi verkkopankissa.

 

[Kautium]

Joo tuolla sivuillaan näköjään kertovat tällaisia kyselevänsä: Asiakkaan tunteminen – miksi pankki kysyy?

Vaikeaa tämä nykyaika, osasivat kuitenkin kirjeen lähettää niin mitä muuta tietoa voi tarvita. Hetukaan ei voi (vielä) muuttua..

Siellä kysellään juuri niitä tuolla sivulla kerrottuja lain vaatimia tietoja mm. rahanpesuun ja terrorismiin liittyvien kytkösten selvittämiseksi.

Tässä OP:n vastaava ohjesivu:

Asiakkaan tunteminen - Miksi pankki kysyy?

Meille on tärkeää, että tunnemme asiakkaamme. Näin voimme varmistaa luotettavan ja turvallisen asioinnin.

www.op.fi

 

[samsungaaja]

Siellä kysellään juuri niitä tuolla sivulla kerrottuja lain vaatimia tietoja mm. rahanpesuun ja terrorismiin liittyvien kytkösten selvittämiseksi.

Tässä OP:n vastaava ohjesivu:

Asiakkaan tunteminen - Miksi pankki kysyy?

Meille on tärkeää, että tunnemme asiakkaamme. Näin voimme varmistaa luotettavan ja turvallisen asioinnin.

www.op.fi

Ok, aikaisemmin sain kirjeen (tästä aikaa), jossa pyydettiin lähettämään kopio passista/henkkarista tms. Ei vaikuttanut niin legitiltä niin olin nytkin skeptinen.

 

[demu]

Käytän mobiilivarmennetta ja kutakuinkin kaikkia muitakin mahdollisia varmennustapoja ihan jo työnkin puolesta päivittäin.

Taivuttelen rautalankaa mahdollisesta skenaariosta :

1.) Menet linkistä hyökkääjän sivulle, joka näyttää ihan siltä verkkopankin sivulta, jonne halusitkin mennä
2.) Syötät sivulle tarvittavat tiedot ja valitset tunnistautumistavaksi mobiilivarmenteen
3.) Taustalla hyökkääjän sivu täyttää automaattisesti samat tiedot sinne oikealle verkkopankin sivulle, josta sinulle lähetetään puhelimeen se mobiilivarmenteen pin-kysely
4.) Syötät pin-koodin ja toivot pääseväsi verkkopankkiin
5.) Pam, sinulle tulee esim. joku virheilmoitussivu, jossa pyydetään odottamaan tai tekemään jotain
6.) Samaan aikaan taustalla hyökkääjälla on käytössä sinun verkkopankkisi täysin avoimena ja siellä voi tehdä siirtoja
7.) Jos siirrot edellyttävät uusia varmennuksia, niitä voidaan hyväksyttää sinulta vaikkapa juuri sen aiemman feikkisivun kautta samalla tavalla, tai ihan vain luottamalla siihen, että hyväksyt ongelman korjaantumisen toivossa kaikki uudetkin varmennekyselyt (ikävän moni tekee niin)

Tuo oli vain yksi esimerkki. Hyväksikäyttötapoja on paljon muitakin kuin vain jonkin tunnus/salasanaparin varastaminen. Vahvan tunnistuksen heikoin lenkki on nimenomaan tyhmä ihminen, eikä sitä voi teknisesti korjata.


Niin luulisi ja osalle ehkä onkin. Vaan jos nyt otan vaikka omat vanhemmat esimerkiksi, niin heillä ei ole ensinnäkään sellaista puhelinta, jossa voisi käyttää mitään sms-viestiä monimutkaisempaa varmennusmenetelmää (kun eivät osaa monimutkaisempia puhelimia käyttää) ja toisekseen, kun ovat oppineet joskus 20v sitten käyttämään niitä pankin koodeja, niin eivät enää osaa kuvitellakaan mitään muuta vaihtoehtoa, saati sitten että ymmärtäisivät mihin se vaikuttaa ja miksi.

Kohta 3. Ei onnistu. Verkkopankkiin ei pääse mobiilivarmenteella. Ei ainakaan minun pankkini verkkopankkiin. Toivottavasti ei minkään muunkaan pankin verkkopankkiin.
Jos johonkin verkkopankkiin pääsee mobiilivarmenteella niin kerrotko sen pankin täällä?

Eikä verkkopankki lähetä mobiilivarmennekyselyitä. Verkkopankit lähettävät kyselyitä ainoastaan pankin omaan tunnuslukusovellukseen (Nordea ID, Danske ID jne.). Eikä siihen sovellukseen voi lähettää tunnistautumispyyntöjä mikään muu taho kuin se pankki itse. Tietenkin, jos olet mennyt hölmöyttäsi luovuttamaan verkkopankkitunnukset huijarisivulle, niin osaahan se huijari sitten kirjautua sinun tunnuksillasi verkkopankkiin, ja lisäksi lähettää sen tunnistautumispyynnön sinun sovellukseesi.

Verkkopankkitunnisteella pitäisi oikeasti mennä vain sinne verkkopankkiin, ja silloinkin kirjautumisessa tulisi käyttää ainoastaan pankin verkkopankkisovellusta (mobiili) tai tunnuslukusovellusta.

Kaikkeen muuhin mahdolliseen pitäisi sitten käyttää mobiilivarmistetta.

 

[Chaos]

Kohta 3. Ei onnistu. Verkkopankkiin ei pääse mobiilivarmenteella. Ei ainakaan minun pankkini verkkopankkiin. Toivottavasti ei minkään muunkaan pankin verkkopankkiin.
Jos johonkin verkkopankkiin pääsee mobiilivarmenteella niin kerrotko sen pankin täällä?

Eikä verkkopankki lähetä mobiilivarmennekyselyitä.

En tiedä puhutaanko nyt tässä samasta asiasta, mutta ainakin op:n verkkopankki lähettää esim. op-pohjolan laskun hyväksymistä varten mobiiliavain varmenteen myös mobiiliin vaikka olet kirjautuneena verkkopankkiin.

 

[emagdnim]

En tiedä puhutaanko nyt tässä samasta asiasta, mutta ainakin op:n verkkopankki lähettää esim. op-pohjolan laskun hyväksymistä varten mobiiliavain varmenteen myös mobiiliin vaikka olet kirjautuneena verkkopankkiin.

Operaattoreiden palvelu, kännykkään tulee pin-kysely ilman asennettavia appeja. e-simillä ei toimi. Ihan kätevä ja nopea, mut op:n mobiiliavain on aikalailla yhtä nopea, vaikkakin vaatii sen ohjelman aukaisun.

Mobiilivarmenne - Mobiilivarmenne

mobiilivarmenne.fi

Mobiilivarmenne – Wikipedia

fi.wikipedia.org

 

[Tonnin Seteli]

Kohta 3. Ei onnistu. Verkkopankkiin ei pääse mobiilivarmenteella. Ei ainakaan minun pankkini verkkopankkiin. Toivottavasti ei minkään muunkaan pankin verkkopankkiin.
Jos johonkin verkkopankkiin pääsee mobiilivarmenteella niin kerrotko sen pankin täällä?

Tätä minäkin haluaisin kysyä. Enhän voi amatöörinä tietää vaikka jonkin pankin varsinaisiin pankkipalveluihin voisikin käyttää mobiilivarmenteella tunnistautumista, kun en ole kaikkien pankkien asiakas enkä pankkilainsäädännön tuntija. En ole kyllä moisesta kuullut, mutta olen etenkin viime vuosien typeryyksien jälkeen valmis yllättymään pahastikin.

Lähin mieleen tuleva verkkopankin vastine, johon voi tunnistautua mobiilivarmenteella, on joku ei-tiliasiakkaille luottojen hallintaan tarkoitettu palvelu.

 

[Dääm]

Ongelma on että kansa ei tiedä että että muihin palveluihin tunnistaudutaan vain mobiilivarmenteella.

Huijaussivusto voi pyytää asiakastaan tekemään mitä haluaa, vaikka mikään oikea palvelu ei pankkitunnuksia kyselisi.

 

[Kautium]

Kohta 3. Ei onnistu. Verkkopankkiin ei pääse mobiilivarmenteella. Ei ainakaan minun pankkini verkkopankkiin. Toivottavasti ei minkään muunkaan pankin verkkopankkiin.
Jos johonkin verkkopankkiin pääsee mobiilivarmenteella niin kerrotko sen pankin täällä?

Eikä verkkopankki lähetä mobiilivarmennekyselyitä. Verkkopankit lähettävät kyselyitä ainoastaan pankin omaan tunnuslukusovellukseen (Nordea ID, Danske ID jne.). Eikä siihen sovellukseen voi lähettää tunnistautumispyyntöjä mikään muu taho kuin se pankki itse. Tietenkin, jos olet mennyt hölmöyttäsi luovuttamaan verkkopankkitunnukset huijarisivulle, niin osaahan se huijari sitten kirjautua sinun tunnuksillasi verkkopankkiin, ja lisäksi lähettää sen tunnistautumispyynnön sinun sovellukseesi.

Verkkopankkitunnisteella pitäisi oikeasti mennä vain sinne verkkopankkiin, ja silloinkin kirjautumisessa tulisi käyttää ainoastaan pankin verkkopankkisovellusta (mobiili) tai tunnuslukusovellusta.

Kaikkeen muuhin mahdolliseen pitäisi sitten käyttää mobiilivarmistetta.

En tiedä ihan kaikkien pankkien toimintamenetelmiä, mutta se ei ole tässä olennaista. Tuossa oli kyseessä yksi esimerkki hyväksikäyttömenetelmästä. Lopputulos on ihan sama oli kyse nyt sitten teknisesti mobiilivarmenteesta, pankin omasta MFA-sovelluksesta, tai jostakin kolmannen osapuolen erillisestä authenticator-sovelluksesta. Pointti oli, että mobiilivarmenne tai mikään muukaan vahvan tunnistuksen menetelmä ei auta, jos käyttäjä on yksinkertainen ja ensinnäkään ei osaa varmistaa sivua/sovellusta/palvelua jota käyttää ja toisekseen hyväksyy ne autentikointipyynnöt. Taidat nyt kuvitella, ettei tuollaista hyväksikäyttöä jotenkin maagisesti voisi tapahtua, jos on käytössä juuri se pankin tunnussovellus.

Hyökkääjän feikkisivu/palvelu ei tietenkään lähetä niitä tunnistuspyyntöjä, eikä se ole edes helposti mahdollista. Se on vain siinä välissä ja näkyy vain ja ainoastaan käyttäjälle. Taustalla tietenkin operoidaan sen alkuperäisen pankin kanssa, joka taas lähettää varmennuskyselyt käyttäjälle normaalilla tavalla ja käyttäjä sitten hyväksyy ne. Sinne pankin tai minkä tahansa hyökkäyksen kohteena olevan palvelun suuntaan kaikki näyttää ihan normaalilta koko ajan ja jos se käyttäjälle näkyvä sivu on toteutettu riittävän fiksusti, niin kaikki näyttää hyvin normaalilta myös sinne suuntaan.

Jos käytetään selainpalvelua, käyttäjälle tämä kaikki saattaa olla havaittavissa pelkästään osoitteen domainin kautta. Jos on onnistunut asentamaan jonkin feikkisovelluksen, menetetään sekin mahdolisuus. Nykyään on aika triviaalia tehdä sovelluksia mm. Chromium-selainten application-modessa, jotka näyttävät käyttäjälle näennäisesti oikean osoitteenkin.

Phishing With Chromium's Application Mode | mr.d0x

Security Research | C:\Users\mr.d0x>

mrd0x.com

 

[Tonnin Seteli]

En tiedä ihan kaikkien pankkien toimintameneltelmiä, mutta se ei ole tässä olennaista.

On se nyt aika olennaista jos aiheena on se, voiko pankkipalveluihin tehdä middleman-hyökkäyksen mikäli asiakas käyttää vain mobiilivarmennetta eikä suostu pankin systeemiä käyttämään kun ei mitään ole maksamassa. Sikäli kun mikään pankki ei anna kirjautua verkkopankkiinsa mobiilivarmenteella, saati hyväksyä toimeksiantoa, niin ei voi.

Eri juttu tietysti jos jossain pankissa tämä on mahdollista.

 

[Josef]

e-simillä ei toimi.

Kummallista, oon tota kuitenkin käytellyt viikottain mun Telian eSim:illä

 

[Tonnin Seteli]

Kummallista, oon tota kuitenkin käytellyt viikottain mun Telian eSim:illä

Aiheesta on aika vaikea löytää tietoa, mutta ilmeisesti ainakin keväästä asti tosiaan toimii Telialla "tietyin rajoituksin" joihin en löytänyt tarkennusta. Elisalla ja DNAlla ei edelleenkään toimi, ainakaan löytämäni tuoreimman tiedon mukaan.

 

[Kautium]

On se nyt aika olennaista jos aiheena on se, voiko pankkipalveluihin tehdä middleman-hyökkäyksen mikäli asiakas käyttää vain mobiilivarmennetta eikä suostu pankin systeemiä käyttämään kun ei mitään ole maksamassa. Sikäli kun mikään pankki ei anna kirjautua verkkopankkiinsa mobiilivarmenteella, saati hyväksyä toimeksiantoa, niin ei voi.

Eri juttu tietysti jos jossain pankissa tämä on mahdollista.

Miksi juuri se mobiilivarmenne on tässä olennainen? Ei sillä ole oikeasti mitään väliä mikä se vahvan tunnistuksen menetelmä on, kun tuon mainitun hyväksikäyttömenetelmän voi toteuttaa samalla tavalla siitä riippumatta.

Jos mikään pankki ei juuri tällä hetkellä käytä mobiilivarmennetta, niin Demun alkuperäinen "käyttäkää mobiilivarmennetta, niin tällaista ei voi tapahtua" on täysin epärelevantti kommentti. Silloin hyökkääjät käyttävät sitä optiota mikä milläkin pankilla/käyttäjällä on aktiivisena. Ainoa varma menetelmä mikä pelastaa tyhmän käyttäjän tällaisilta on asioida fyysisesti henkilöpaperien kanssa pankin tiskillä. Jos siellä tapahtuu varmistuksessa virhe ja väärä henkilö saa rahat tililtä, vastuu on pankilla.

Ja pankin tilalle voi vaihtaa oikeastaan minkä tahansa muunkin palvelun, jolla voi siirrellä rahoja, suorittaa maksuja, tehdä tilauksia jne.

 

[demu]

Kummallista, oon tota kuitenkin käytellyt viikottain mun Telian eSim:illä

Et ole käyttänyt eSIM:llä (eSIM ei käytä fyysistä SIM-korttia).
Jos näin luulet, niin silloin puhelimessasi on eSIM:n lisäksi myös fyysinen SIM-kortti.
Nykyinen mobiilivarmenne toimii SIM Toolkittiä käyttämällä, ja vaatii fyysisen SIM-kortin. Piste.

Mikä ihmeen Mobiilivarmenne? - Mobiilivarmenne

Mikä Mobiilivarmenne oikein on ja kuinka sen saa käyttöön? Vastasimme kysymyksiin, joita suomalaiset pähkäilevät eniten.

mobiilivarmenne.fi

Mobiilivarmenne on uudistumassa - mahdollisesti jo tämän vuoden aikana. Tämä uusikin mobiilivarmenne toteutetaan operaattoreiden (D,E, T) yhteistyönä.
SIM-korttiriippuvuudesta luovutaan, ja tilalle tulee älypuhelimiin tarjolle tuleva tunnistautumisapplikaatio. Tämä hanke vain on aika rankasti myöhässä alkuperäisestä aikataulustaan.
...
Uuden Mobiilivarmenteen version lanseeraus on siirtynyt vuoden 2022 loppupuoliskolle. Tiedotamme tarkemmasta ajankohdasta myöhemmin. Uudet ominaisuudet tulevat käyttöön vaiheittain käyttöönoton jälkeen.
...

Vauhdilla kasvavasta kännykkätunnistuksesta entistä monipuolisempaa: DNA, Elisa ja Telia sopivat uudistetun Mobiilivarmenteen kehittämisestä - Mobiilivarmenne

Mobiilivarmenne on pankkitunnuksiin verrattava turvallinen ja helppokäyttöinen tunnistusväline, jolla voi kirjautua tuhansiin verkkopalveluihin.

mobiilivarmenne.fi

 

[lunkwill]

Onkohan vähän taas karannut mobiilivarmenne/eSim-keskustelu otsikosta vai ollaanko sittenkin ihmisten ytimessä?

 

[Josef]

Et ole käyttänyt eSIM:llä (eSIM ei käytä fyysistä SIM-korttia).
Jos näin luulet, niin silloin puhelimessasi on eSIM:n lisäksi myös fyysinen SIM-kortti.

Vielä kummallisempaa, joku on mun tietämättä käynyt masentelemassa mun luuriin näkymättömän sim-kortin..

Tähän salaliittoon on liittynyt teliakin, kertomalla muillekin ihmisille että tuo toimaa kyllä eSimin kanssakin, mut huono salaliittohan se oliskin jos se ois vaan mun päässäni..

"Tilaa liittymä ja eSIM laitteeseesi verkkokaupastamme, Telia Kaupasta tai asiakaspalvelustamme. Jos sinulla on jo liittymä meiltä, voit päivittää fyysisen sim-korttisi sähköiseen eSIMiin Minun Teliassa.

eSIM tukee myös Mobiilivarmennetta. Jos haluat Mobiilivarmenteen käyttöön, vaihda eSIM uuteen Minun Teliassa. Valitse siellä kyseessä oleva liittymä ja Tilaa uusi SIM-kortti tai eSIM."