Tyhmät ihmiset

[Jetula]

Miten nämä huijaukset käytännössä tapahtuvat (toimintaprosessi) kun käytössä on tunnuslukusovellus?

Joskus olen kokeillut noita huijaussivustoja väärillä tunnuksilla uteliaisuuttani, mutta en ole saanut niistä mitään irti.

T. Tietämätön, mutta ei niin tietämätön että näin olisi itselle käynyt.

Noisa lehtijutuissa tuo kerrotaan.

Huijarilla on valmiina pankin apit, ja kun saa tunnusluvun, voi liittää siihen huijatun tilin yhdellä tai kahdella tekstiviestillä.


Sitä en tajua, miksi pankit eivät vieläkään tarjoa "mummoturvaa", jossa kaikki asennukset ja yli x sadan euroiset tilisiirrot ovat estetty selainpankissa.

 

[axxu]

Käyttäjän syy toki mutta on tossa ihan hyvä kysymys että miksi pankki ei tunnistanut noita siirtoja poikkeuksellisiksi. 30min sisällä äpin käyttöön otosta 95% tilistä tyhjäksi 5 numeroisilla siirroilla, ei taida olla mikään ihan yleinen skenaario kuitenkaan.

 

[kjns]

Miten nämä huijaukset käytännössä tapahtuvat (toimintaprosessi) kun käytössä on tunnuslukusovellus?

Joskus olen kokeillut noita huijaussivustoja väärillä tunnuksilla uteliaisuuttani, mutta en ole saanut niistä mitään irti.

T. Tietämätön, mutta ei niin tietämätön että näin olisi itselle käynyt.

Lähtökohtahan näissä yleensä on se, että sinne verkkopankkiin ollaan menossa hakukoneen kautta, eli osoitepalkkiin kirjoitetaan vain "Aktia", "Nordea" tms ja sitten ensimmäisestä maksetusta mainoksesta klikataan huijaussivustolle.

Sinne sitten syötetään käyttäjätunnukset, mitä käyttäen rikollinen lähtee aktivoimaan mobiilipankkia ja/tai tunnistussovellusta käyttöönsä, asiakas saa vahvistusviestin puhelimeen "olet ottamassa käyttöön mobiilipankkia" tms, ei lueta mitään muuta viestistä kuin se tunnusluku jota huijaussivusto pyytää "sisäänkirjautumista" varten ja syötetään se huijaussivustolle. Näin rikollinen saa aktivoitua sovelluksen ja uhrin tilit vapaaseen käyttöönsä.

Sitten kun vielä tehdään niinkuin tämä edellisen tapauksen Merja, ja todetaan että "oho, ei päässy sisään" ja jätetään pankin lähettämä viesti "mobiilipankkisovellus aktivoitu uuteen laitteeseen iphone 6S, jos et tehnyt tätä ota välittömästi yhteys pankkiin" ja sitten mennään ihmettelemään Pertille että ei toiminunninnannunna.

Tällä välin rikollinen naksuttelee parit tilisiirrot ja tyhjentää tilit. Sitten Merja ihmettelee että on se kumma kun pankki ei vastaa tappioista kun itse on aktiivisesti avustettu rikollista siirtämään rahat pois toimittamalla kaikki pyydetyt MFA-tunnisteet sille...

 

[Dääm]

Tuo on kyllä paha että hakukoneisiin ei nykyään enää voi luottaa, ennen ei mikään huijaussivusto voinut näkyä hakutuloksissa ensimmäisenä.

Voisivat edes varmistaa että ostavat rehellisiltä yrityksiltä mainoksia.

 

[demu]

Käyttäisivät nuo tyhmät ihmiset pankkitunnusten sijaan mobiilivarmennetta. Niillä ei pääse tyhjentämään pankkitilejä.

 

[Ekaros]

Itsellä kyllä menee kyllä tähän ryhmään nämä päättäjät jotka ovat hyväksyneet nämä mobiiliappit joilla kahdella koodilla saa tiliin täydet oikeudet...

Käsitämättömän typerää luoda yhdenpisteen haavoittuvuus aivan kaikelle.

 

[Copper]

Itsellä kyllä menee kyllä tähän ryhmään nämä päättäjät jotka ovat hyväksyneet nämä mobiiliappit joilla kahdella koodilla saa tiliin täydet oikeudet...

Käsitämättömän typerää luoda yhdenpisteen haavoittuvuus aivan kaikelle.

Mobiiliappi itsessään on kohtuu luotettava (kaiketi, en ole mikään tietoturvanörtti). Suurin ongelma taitaakin olla siinä, että nämä Liisat ja Jormat. Antaa luvan asentaa sen toiseen laitteeseen.
Tuossa uutisessa Vantaalainen Mirja, 83, päätyi väärään nettipankkiin ja menetti 63 950 euroa – näin pankki kommentoi tosiaan pankki on ensin lähettänyt erillisen tekstarin/vahvistuskoodin, ja vielä ilmoituksen että mobiiliappi on otettu käyttöön NN-laitteella. Nämä huijaukset ei onnistuisi läheskään niin helposti, jos oletuksena kaikilla käyttäjillä olisi ulkomaanmaksut estettynä. Niiden käyttöönotto sitten vaatisi vaikka erikseen aktivoimisen, viikon viiveellä. Silloinkin ottaisin asiakkaan "profiloinnin" päälle, ja pankista soittaisin. Oletko nyt varma että haluat Abu Hassanille siirtää n+1 kertaa 20,000€.

 

[Maxwell]

Käyttäjän syy toki mutta on tossa ihan hyvä kysymys että miksi pankki ei tunnistanut noita siirtoja poikkeuksellisiksi. 30min sisällä äpin käyttöön otosta 95% tilistä tyhjäksi 5 numeroisilla siirroilla, ei taida olla mikään ihan yleinen skenaario kuitenkaan.

Jep. Ihmiset on toki näissä olleet huolimattomia, mutta sinänsä on ymmärrettävää, että rutiinilla tehdään asioita ja toisaalta, toiset eivät vaan ymmärrä miten hommat toimivat (mitä tarkoittaa mobiilisovelluksen asentaminen ja sen varmennuskoodi). Ehkä he ovat myös tyhmiä, mutta varmaan heitä kannattaisi suojella jos mahdollista. Tuo sanomasi skenaario on juuri sellainen, jonka perusteella pankki voisi blokata. Lisätään siihen vielä, että siirto tapahtuu ulkomaille. Lienee aika selvää mistä on kyse, ja ei varmaan olisi koneelle temppu eikä mitään narauttaa kiinni.

Pankit tarjoavat myös muutenkin todella vähän mitään mahdollisuuksia asettaa estoja. Miksi ei voi asettaa geoblokkiestoa (siirto ulkomaille ei onnistu ilman X) tai yleisesti tiukkoja siirtorajoja. Nyt jotain maksimisummia voi asettaa, mutta nehän saa vaihdettua nopeasti kun on saanut tilin halliintansa (no taitaa niistä vielä tekstari tulla ainakin OP:ssa). Tiedän esim. sukulaiseni, jolla on mukava summa rahaa tilillä ja vaikka hän fiksu onkin, silti mietin miten rahoja suojaisi. Nyt parhaalta idealta tuntuu siirtää rahat toiseen pankkiin tilille, johon ei ole mitään verkkopankkitunnuksia. Ei luulisi olevan pankin tahto.

Aiemmin tänne linkatussa Kanta-huijauksessa lisäongelma on myös se, että Suomeen on luotu systeemi jossa (käyttötilin) verkkopankkitunnuksilla tunnistaudutaan joka paikkaan. Eihän tuo Kantaan kirjautuminen pitäisi olla sidoksissa verkkopankkitunnuksiin. Jos verkkopankkitunnuksilla kirjauduttaisiin vain verkkopankkiin, olisi potentiaalisia huijaussivustoja paljon vähemmän.

 

[Baldrick]

Tuo on kyllä paha että hakukoneisiin ei nykyään enää voi luottaa, ennen ei mikään huijaussivusto voinut näkyä hakutuloksissa ensimmäisenä.

Voisivat edes varmistaa että ostavat rehellisiltä yrityksiltä mainoksia.

Vastuuta tulisi tosiaan siirtää sinne yhteistyökumppanille. Muutenhan nuo on hyvä sivubisnes vaan mainostajille.

 

[Kautium]

Käyttäisivät nuo tyhmät ihmiset pankkitunnusten sijaan mobiilivarmennetta. Niillä ei pääse tyhjentämään pankkitilejä.

Eivät nuo vanhukset osaa sellaista käyttää. Ja sitten vielä sekin, ettei mobiilivarmenne ole juurikaan sen kummempi tilanteessa, jossa käyttäjä syöttää itse tiedot jollekin feikkisivulle ja hyväksyy päätelaitteessa kaikki kirjautumispyynnöt.

 

[Chaos]

Se, että koko tili on jo jonkun toisen hallinnassa, on toinen juttu, mutta varmaan kaikilla pankeilla on kertanosto/siirtorajat olemassa, samoiten vuorokausi- ja kuukausirajat. En ole varma saako ihan kaikille summille tekstarin ja varmennuksen, mutta noille yli tonnin maksuille/siirroille saa, ainakin osuuspankilla näin.

 

[GGoljatti]

Käyttäjän syy toki mutta on tossa ihan hyvä kysymys että miksi pankki ei tunnistanut noita siirtoja poikkeuksellisiksi. 30min sisällä äpin käyttöön otosta 95% tilistä tyhjäksi 5 numeroisilla siirroilla, ei taida olla mikään ihan yleinen skenaario kuitenkaan.

Voisihan tuohon vaikka oletuksena laittaa pankin puolelta että jos siirto 5000+ niin vaatisi puhelun tjs.

 

[Wolttis]

Jep. Ihmiset on toki näissä olleet huolimattomia, mutta sinänsä on ymmärrettävää, että rutiinilla tehdään asioita ja toisaalta, toiset eivät vaan ymmärrä miten hommat toimivat (mitä tarkoittaa mobiilisovelluksen asentaminen ja sen varmennuskoodi). Ehkä he ovat myös tyhmiä, mutta varmaan heitä kannattaisi suojella jos mahdollista. Tuo sanomasi skenaario on juuri sellainen, jonka perusteella pankki voisi blokata. Lisätään siihen vielä, että siirto tapahtuu ulkomaille. Lienee aika selvää mistä on kyse, ja ei varmaan olisi koneelle temppu eikä mitään narauttaa kiinni.

Pankit tarjoavat myös muutenkin todella vähän mitään mahdollisuuksia asettaa estoja. Miksi ei voi asettaa geoblokkiestoa (siirto ulkomaille ei onnistu ilman X) tai yleisesti tiukkoja siirtorajoja. Nyt jotain maksimisummia voi asettaa, mutta nehän saa vaihdettua nopeasti kun on saanut tilin halliintansa (no taitaa niistä vielä tekstari tulla ainakin OP:ssa). Tiedän esim. sukulaiseni, jolla on mukava summa rahaa tilillä ja vaikka hän fiksu onkin, silti mietin miten rahoja suojaisi. Nyt parhaalta idealta tuntuu siirtää rahat toiseen pankkiin tilille, johon ei ole mitään verkkopankkitunnuksia. Ei luulisi olevan pankin tahto.

Aiemmin tänne linkatussa Kanta-huijauksessa lisäongelma on myös se, että Suomeen on luotu systeemi jossa (käyttötilin) verkkopankkitunnuksilla tunnistaudutaan joka paikkaan. Eihän tuo Kantaan kirjautuminen pitäisi olla sidoksissa verkkopankkitunnuksiin. Jos verkkopankkitunnuksilla kirjauduttaisiin vain verkkopankkiin, olisi potentiaalisia huijaussivustoja paljon vähemmän.

Kyllä ainakin itselle tullut muutaman kerran vastaan isompia siirtoja tehdessä että eipäs ole suoraan onnistunutkaan vaan joku pankin tutka havainnut epänormaalia toimintaa ja jonkun ajan päästä pankkitäti soittanut ja varmistellut että olenko siirtämässä rahaa, enkä ole mitään estoja asettanut. Näistä kyllä nyt tosin jo jokunen vuotta aikaa, joten on voinut käytännöt muuttuakin.

 

[demu]

Eivät nuo vanhukset osaa sellaista käyttää. Ja sitten vielä sekin, ettei mobiilivarmenne ole juurikaan sen kummempi tilanteessa, jossa käyttäjä syöttää itse tiedot jollekin feikkisivulle ja hyväksyy päätelaitteessa kaikki kirjautumispyynnöt.

Oletko itse koskaan oikeasti käyttänyt mobiilivarmennetta?
Jos annat mobiilivarmenteen tiedot (puhelinnumero + tunnusluku), niillä ei takuuvarmasti pääse kirjautumaan minnekään pankkitilille tilisiirtoja varten.
Ja jos joku ne tiedot saakin ja niillä yrittää kirjautua jonnekin, niin sinne puhelimeenhan se kirjautumisyritys päätyy tunnusluvun kyselyyn.
Jos tuonkin jälkeen hyväksyy transaktion, niin edelleenkään ei päästä pankkitileihin kiinni.

Ja luulisi, että vanhuksenkin on helpompi muistaa ja kirjoittaa kirjautumisikkunaan oma puhelinnumero + tunnusluku kuin muistaa verkkopankin käyttäjätunnus + tunnusluku.

 

[Kautium]

Oletko itse koskaan oikeasti käyttänyt mobiilivarmennetta?
Jos annat mobiilivarmenteen tiedot (puhelinnumero + tunnusluku), niillä ei takuuvarmasti pääse kirjautumaan minnekään pankkitilille tilisiirtoja varten.
Ja jos joku ne tiedot saakin ja niillä yrittää kirjautua jonnekin, niin sinne puhelimeenhan se kirjautumisyritys päätyy tunnusluvun kyselyyn.
Jos tuonkin jälkeen hyväksyy transaktion, niin edelleenkään ei päästä pankkitileihin kiinni.

Käytän mobiilivarmennetta ja kutakuinkin kaikkia muitakin mahdollisia varmennustapoja ihan jo työnkin puolesta päivittäin.

Taivuttelen rautalankaa mahdollisesta skenaariosta :

1.) Menet linkistä hyökkääjän sivulle, joka näyttää ihan siltä verkkopankin sivulta, jonne halusitkin mennä
2.) Syötät sivulle tarvittavat tiedot ja valitset tunnistautumistavaksi mobiilivarmenteen
3.) Taustalla hyökkääjän sivu täyttää automaattisesti samat tiedot sinne oikealle verkkopankin sivulle, josta sinulle lähetetään puhelimeen se mobiilivarmenteen pin-kysely
4.) Syötät pin-koodin ja toivot pääseväsi verkkopankkiin
5.) Pam, sinulle tulee esim. joku virheilmoitussivu, jossa pyydetään odottamaan tai tekemään jotain
6.) Samaan aikaan taustalla hyökkääjälla on käytössä sinun verkkopankkisi täysin avoimena ja siellä voi tehdä siirtoja
7.) Jos siirrot edellyttävät uusia varmennuksia, niitä voidaan hyväksyttää sinulta vaikkapa juuri sen aiemman feikkisivun kautta samalla tavalla, tai ihan vain luottamalla siihen, että hyväksyt ongelman korjaantumisen toivossa kaikki uudetkin varmennekyselyt (ikävän moni tekee niin)

Tuo oli vain yksi esimerkki. Hyväksikäyttötapoja on paljon muitakin kuin vain jonkin tunnus/salasanaparin varastaminen. Vahvan tunnistuksen heikoin lenkki on nimenomaan tyhmä ihminen, eikä sitä voi teknisesti korjata.

Ja luulisi, että vanhuksenkin on helpompi muistaa ja kirjoittaa kirjautumisikkunaan oma puhelinnumero + tunnusluku kuin muistaa verkkopankin käyttäjätunnus + tunnusluku.

Niin luulisi ja osalle ehkä onkin. Vaan jos nyt otan vaikka omat vanhemmat esimerkiksi, niin heillä ei ole ensinnäkään sellaista puhelinta, jossa voisi käyttää mitään sms-viestiä monimutkaisempaa varmennusmenetelmää (kun eivät osaa monimutkaisempia puhelimia käyttää) ja toisekseen, kun ovat oppineet joskus 20v sitten käyttämään niitä pankin koodeja, niin eivät enää osaa kuvitellakaan mitään muuta vaihtoehtoa, saati sitten että ymmärtäisivät mihin se vaikuttaa ja miksi.

 

[tootsi]

Lähtökohtahan näissä yleensä on se, että sinne verkkopankkiin ollaan menossa hakukoneen kautta, eli osoitepalkkiin kirjoitetaan vain "Aktia", "Nordea" tms ja sitten ensimmäisestä maksetusta mainoksesta klikataan huijaussivustolle.

Sinne sitten syötetään käyttäjätunnukset, mitä käyttäen rikollinen lähtee aktivoimaan mobiilipankkia ja/tai tunnistussovellusta käyttöönsä, asiakas saa vahvistusviestin puhelimeen "olet ottamassa käyttöön mobiilipankkia" tms, ei lueta mitään muuta viestistä kuin se tunnusluku jota huijaussivusto pyytää "sisäänkirjautumista" varten ja syötetään se huijaussivustolle. Näin rikollinen saa aktivoitua sovelluksen ja uhrin tilit vapaaseen käyttöönsä.

Sitten kun vielä tehdään niinkuin tämä edellisen tapauksen Merja, ja todetaan että "oho, ei päässy sisään" ja jätetään pankin lähettämä viesti "mobiilipankkisovellus aktivoitu uuteen laitteeseen iphone 6S, jos et tehnyt tätä ota välittömästi yhteys pankkiin" ja sitten mennään ihmettelemään Pertille että ei toiminunninnannunna.

Tällä välin rikollinen naksuttelee parit tilisiirrot ja tyhjentää tilit. Sitten Merja ihmettelee että on se kumma kun pankki ei vastaa tappioista kun itse on aktiivisesti avustettu rikollista siirtämään rahat pois toimittamalla kaikki pyydetyt MFA-tunnisteet sille...

Kuulunen tähän ketjuun koska en vieläkään ymmärrä. Väännetään siis rautalangasta.

1. Syötän käyttäjätunnukseni 123456 huijaussivustolle jolloin se menee luonnollisesti huijarin käyttöön.
2. Avaan Nordea ID:n joka aktivoituu salasanan syöttöä varten vasta kun kirjautuisin oikealle pankin sivulle. Eli mitään ei tapahdu kun en ole syöttänyt oikealle sivustolle käyttäjätunnustani eikä huijari tee tuolla 123456 tunnuksella mitään.

Missä huijaus siis tapahtuu? Odottaako huijari 24/7 päätteen ääressä että saa tunnuksen 123456 käyttöönsä, jolloin hän syöttää sen oikealle sivustolle -> Nordea ID aktivoituu ja loggaan sisään hyväuskoisena -> huijarille pääsy tilille. Tässä ongelmana on se, että tilisiirto tulee vielä vahvistaa uudestaan Nordea ID:llä ja ID aukaista erikseen sitä varten.

Vai onko tosiaan noin, että kuka tahansa pääsee asentamaan mobiilipankin omaan puhelimeensa pelkästään tuolla käyttäjätunnuksella? Sinnekin kun kuuluu kirjautua sisään Nordea ID:llä tai face ID:llä.

Edit: Kautium avasikin asiaa ylempänä. Eli ilmeisesti ensimmäinen skenaario on se oikea tapa.

 

[samsungaaja]

Olisko kalastelua En nyt tiedä olisiko varsinaisesti tyhmä tällaiseen haksahtaja, turhan luottavainen ehkä..

 

[emagdnim]

Olisko kalastelua En nyt tiedä olisiko varsinaisesti tyhmä tällaiseen haksahtaja, turhan luottavainen ehkä..

nordea.fi on ihan legitti osoite? Kyllähän sitä nyt oman pankin sivuille voi osoitteen kirjoittamalla mennä. Jos tulis sähköpostina linkin kera, nii sit eri asia.

 

[samsungaaja]

nordea.fi on ihan legitti osoite? Kyllähän sitä nyt oman pankin sivuille voi osoitteen kirjoittamalla mennä. Jos tulis sähköpostina linkin kera, nii sit eri asia.

Joo tuolla sivuillaan näköjään kertovat tällaisia kyselevänsä: Asiakkaan tunteminen – miksi pankki kysyy?

Vaikeaa tämä nykyaika, osasivat kuitenkin kirjeen lähettää niin mitä muuta tietoa voi tarvita. Hetukaan ei voi (vielä) muuttua..

 

[pulatunnus]

Missä huijaus siis tapahtuu? Odottaako huijari 24/7 päätteen ääressä että saa tunnuksen 123456 käyttöönsä, jolloin hän syöttää sen oikealle sivustolle -> Nordea ID aktivoituu ja loggaan sisään hyväuskoisena -> huijarille pääsy tilille. Tässä ongelmana on se, että tilisiirto tulee vielä vahvistaa uudestaan Nordea ID:llä ja ID aukaista erikseen sitä varten.

Voi olla scripiti pohjaista , joku voi päivystää tai olla päivystämättä siinä rinnalla. Riippuu toki mitä yritetään, jos yritetään saa uhrin "nordea ID" omaan luuriin, niin kannattaa siinä jo vähän silmäpäria valmiudessa. Jos taasen vain siirellä välistä rahoja, samalla kun uhri kuvittelee surffailevan normi verkkopankissa.

 

[Kautium]

Joo tuolla sivuillaan näköjään kertovat tällaisia kyselevänsä: Asiakkaan tunteminen – miksi pankki kysyy?

Vaikeaa tämä nykyaika, osasivat kuitenkin kirjeen lähettää niin mitä muuta tietoa voi tarvita. Hetukaan ei voi (vielä) muuttua..

Siellä kysellään juuri niitä tuolla sivulla kerrottuja lain vaatimia tietoja mm. rahanpesuun ja terrorismiin liittyvien kytkösten selvittämiseksi.

Tässä OP:n vastaava ohjesivu:

Asiakkaan tunteminen - Miksi pankki kysyy?

Meille on tärkeää, että tunnemme asiakkaamme. Näin voimme varmistaa luotettavan ja turvallisen asioinnin.

www.op.fi

 

[samsungaaja]

Siellä kysellään juuri niitä tuolla sivulla kerrottuja lain vaatimia tietoja mm. rahanpesuun ja terrorismiin liittyvien kytkösten selvittämiseksi.

Tässä OP:n vastaava ohjesivu:

Asiakkaan tunteminen - Miksi pankki kysyy?

Meille on tärkeää, että tunnemme asiakkaamme. Näin voimme varmistaa luotettavan ja turvallisen asioinnin.

www.op.fi

Ok, aikaisemmin sain kirjeen (tästä aikaa), jossa pyydettiin lähettämään kopio passista/henkkarista tms. Ei vaikuttanut niin legitiltä niin olin nytkin skeptinen.

 

[demu]

Käytän mobiilivarmennetta ja kutakuinkin kaikkia muitakin mahdollisia varmennustapoja ihan jo työnkin puolesta päivittäin.

Taivuttelen rautalankaa mahdollisesta skenaariosta :

1.) Menet linkistä hyökkääjän sivulle, joka näyttää ihan siltä verkkopankin sivulta, jonne halusitkin mennä
2.) Syötät sivulle tarvittavat tiedot ja valitset tunnistautumistavaksi mobiilivarmenteen
3.) Taustalla hyökkääjän sivu täyttää automaattisesti samat tiedot sinne oikealle verkkopankin sivulle, josta sinulle lähetetään puhelimeen se mobiilivarmenteen pin-kysely
4.) Syötät pin-koodin ja toivot pääseväsi verkkopankkiin
5.) Pam, sinulle tulee esim. joku virheilmoitussivu, jossa pyydetään odottamaan tai tekemään jotain
6.) Samaan aikaan taustalla hyökkääjälla on käytössä sinun verkkopankkisi täysin avoimena ja siellä voi tehdä siirtoja
7.) Jos siirrot edellyttävät uusia varmennuksia, niitä voidaan hyväksyttää sinulta vaikkapa juuri sen aiemman feikkisivun kautta samalla tavalla, tai ihan vain luottamalla siihen, että hyväksyt ongelman korjaantumisen toivossa kaikki uudetkin varmennekyselyt (ikävän moni tekee niin)

Tuo oli vain yksi esimerkki. Hyväksikäyttötapoja on paljon muitakin kuin vain jonkin tunnus/salasanaparin varastaminen. Vahvan tunnistuksen heikoin lenkki on nimenomaan tyhmä ihminen, eikä sitä voi teknisesti korjata.


Niin luulisi ja osalle ehkä onkin. Vaan jos nyt otan vaikka omat vanhemmat esimerkiksi, niin heillä ei ole ensinnäkään sellaista puhelinta, jossa voisi käyttää mitään sms-viestiä monimutkaisempaa varmennusmenetelmää (kun eivät osaa monimutkaisempia puhelimia käyttää) ja toisekseen, kun ovat oppineet joskus 20v sitten käyttämään niitä pankin koodeja, niin eivät enää osaa kuvitellakaan mitään muuta vaihtoehtoa, saati sitten että ymmärtäisivät mihin se vaikuttaa ja miksi.

Kohta 3. Ei onnistu. Verkkopankkiin ei pääse mobiilivarmenteella. Ei ainakaan minun pankkini verkkopankkiin. Toivottavasti ei minkään muunkaan pankin verkkopankkiin.
Jos johonkin verkkopankkiin pääsee mobiilivarmenteella niin kerrotko sen pankin täällä?

Eikä verkkopankki lähetä mobiilivarmennekyselyitä. Verkkopankit lähettävät kyselyitä ainoastaan pankin omaan tunnuslukusovellukseen (Nordea ID, Danske ID jne.). Eikä siihen sovellukseen voi lähettää tunnistautumispyyntöjä mikään muu taho kuin se pankki itse. Tietenkin, jos olet mennyt hölmöyttäsi luovuttamaan verkkopankkitunnukset huijarisivulle, niin osaahan se huijari sitten kirjautua sinun tunnuksillasi verkkopankkiin, ja lisäksi lähettää sen tunnistautumispyynnön sinun sovellukseesi.

Verkkopankkitunnisteella pitäisi oikeasti mennä vain sinne verkkopankkiin, ja silloinkin kirjautumisessa tulisi käyttää ainoastaan pankin verkkopankkisovellusta (mobiili) tai tunnuslukusovellusta.

Kaikkeen muuhin mahdolliseen pitäisi sitten käyttää mobiilivarmistetta.

 

[Chaos]

Kohta 3. Ei onnistu. Verkkopankkiin ei pääse mobiilivarmenteella. Ei ainakaan minun pankkini verkkopankkiin. Toivottavasti ei minkään muunkaan pankin verkkopankkiin.
Jos johonkin verkkopankkiin pääsee mobiilivarmenteella niin kerrotko sen pankin täällä?

Eikä verkkopankki lähetä mobiilivarmennekyselyitä.

En tiedä puhutaanko nyt tässä samasta asiasta, mutta ainakin op:n verkkopankki lähettää esim. op-pohjolan laskun hyväksymistä varten mobiiliavain varmenteen myös mobiiliin vaikka olet kirjautuneena verkkopankkiin.

 

[emagdnim]

En tiedä puhutaanko nyt tässä samasta asiasta, mutta ainakin op:n verkkopankki lähettää esim. op-pohjolan laskun hyväksymistä varten mobiiliavain varmenteen myös mobiiliin vaikka olet kirjautuneena verkkopankkiin.

Operaattoreiden palvelu, kännykkään tulee pin-kysely ilman asennettavia appeja. e-simillä ei toimi. Ihan kätevä ja nopea, mut op:n mobiiliavain on aikalailla yhtä nopea, vaikkakin vaatii sen ohjelman aukaisun.

Etusivu - Mobiilivarmenne

Tunnistaudu ja kirjaudu helposti ja turvallisesti. Mobiilivarmenteella hoidat asiasi juuri silloin, kun se itsellesi sopii.

mobiilivarmenne.fi

Mobiilivarmenne – Wikipedia

fi.wikipedia.org

 

[Tonnin Seteli]

Kohta 3. Ei onnistu. Verkkopankkiin ei pääse mobiilivarmenteella. Ei ainakaan minun pankkini verkkopankkiin. Toivottavasti ei minkään muunkaan pankin verkkopankkiin.
Jos johonkin verkkopankkiin pääsee mobiilivarmenteella niin kerrotko sen pankin täällä?

Tätä minäkin haluaisin kysyä. Enhän voi amatöörinä tietää vaikka jonkin pankin varsinaisiin pankkipalveluihin voisikin käyttää mobiilivarmenteella tunnistautumista, kun en ole kaikkien pankkien asiakas enkä pankkilainsäädännön tuntija. En ole kyllä moisesta kuullut, mutta olen etenkin viime vuosien typeryyksien jälkeen valmis yllättymään pahastikin.

Lähin mieleen tuleva verkkopankin vastine, johon voi tunnistautua mobiilivarmenteella, on joku ei-tiliasiakkaille luottojen hallintaan tarkoitettu palvelu.

 

[Dääm]

Ongelma on että kansa ei tiedä että että muihin palveluihin tunnistaudutaan vain mobiilivarmenteella.

Huijaussivusto voi pyytää asiakastaan tekemään mitä haluaa, vaikka mikään oikea palvelu ei pankkitunnuksia kyselisi.

 

[Kautium]

Kohta 3. Ei onnistu. Verkkopankkiin ei pääse mobiilivarmenteella. Ei ainakaan minun pankkini verkkopankkiin. Toivottavasti ei minkään muunkaan pankin verkkopankkiin.
Jos johonkin verkkopankkiin pääsee mobiilivarmenteella niin kerrotko sen pankin täällä?

Eikä verkkopankki lähetä mobiilivarmennekyselyitä. Verkkopankit lähettävät kyselyitä ainoastaan pankin omaan tunnuslukusovellukseen (Nordea ID, Danske ID jne.). Eikä siihen sovellukseen voi lähettää tunnistautumispyyntöjä mikään muu taho kuin se pankki itse. Tietenkin, jos olet mennyt hölmöyttäsi luovuttamaan verkkopankkitunnukset huijarisivulle, niin osaahan se huijari sitten kirjautua sinun tunnuksillasi verkkopankkiin, ja lisäksi lähettää sen tunnistautumispyynnön sinun sovellukseesi.

Verkkopankkitunnisteella pitäisi oikeasti mennä vain sinne verkkopankkiin, ja silloinkin kirjautumisessa tulisi käyttää ainoastaan pankin verkkopankkisovellusta (mobiili) tai tunnuslukusovellusta.

Kaikkeen muuhin mahdolliseen pitäisi sitten käyttää mobiilivarmistetta.

En tiedä ihan kaikkien pankkien toimintamenetelmiä, mutta se ei ole tässä olennaista. Tuossa oli kyseessä yksi esimerkki hyväksikäyttömenetelmästä. Lopputulos on ihan sama oli kyse nyt sitten teknisesti mobiilivarmenteesta, pankin omasta MFA-sovelluksesta, tai jostakin kolmannen osapuolen erillisestä authenticator-sovelluksesta. Pointti oli, että mobiilivarmenne tai mikään muukaan vahvan tunnistuksen menetelmä ei auta, jos käyttäjä on yksinkertainen ja ensinnäkään ei osaa varmistaa sivua/sovellusta/palvelua jota käyttää ja toisekseen hyväksyy ne autentikointipyynnöt. Taidat nyt kuvitella, ettei tuollaista hyväksikäyttöä jotenkin maagisesti voisi tapahtua, jos on käytössä juuri se pankin tunnussovellus.

Hyökkääjän feikkisivu/palvelu ei tietenkään lähetä niitä tunnistuspyyntöjä, eikä se ole edes helposti mahdollista. Se on vain siinä välissä ja näkyy vain ja ainoastaan käyttäjälle. Taustalla tietenkin operoidaan sen alkuperäisen pankin kanssa, joka taas lähettää varmennuskyselyt käyttäjälle normaalilla tavalla ja käyttäjä sitten hyväksyy ne. Sinne pankin tai minkä tahansa hyökkäyksen kohteena olevan palvelun suuntaan kaikki näyttää ihan normaalilta koko ajan ja jos se käyttäjälle näkyvä sivu on toteutettu riittävän fiksusti, niin kaikki näyttää hyvin normaalilta myös sinne suuntaan.

Jos käytetään selainpalvelua, käyttäjälle tämä kaikki saattaa olla havaittavissa pelkästään osoitteen domainin kautta. Jos on onnistunut asentamaan jonkin feikkisovelluksen, menetetään sekin mahdolisuus. Nykyään on aika triviaalia tehdä sovelluksia mm. Chromium-selainten application-modessa, jotka näyttävät käyttäjälle näennäisesti oikean osoitteenkin.

Phishing With Chromium's Application Mode | mr.d0x

Security Research | C:\Users\mr.d0x>

mrd0x.com

 

[Tonnin Seteli]

En tiedä ihan kaikkien pankkien toimintameneltelmiä, mutta se ei ole tässä olennaista.

On se nyt aika olennaista jos aiheena on se, voiko pankkipalveluihin tehdä middleman-hyökkäyksen mikäli asiakas käyttää vain mobiilivarmennetta eikä suostu pankin systeemiä käyttämään kun ei mitään ole maksamassa. Sikäli kun mikään pankki ei anna kirjautua verkkopankkiinsa mobiilivarmenteella, saati hyväksyä toimeksiantoa, niin ei voi.

Eri juttu tietysti jos jossain pankissa tämä on mahdollista.

 

[Josef]

e-simillä ei toimi.

Kummallista, oon tota kuitenkin käytellyt viikottain mun Telian eSim:illä

 

[Tonnin Seteli]

Kummallista, oon tota kuitenkin käytellyt viikottain mun Telian eSim:illä

Aiheesta on aika vaikea löytää tietoa, mutta ilmeisesti ainakin keväästä asti tosiaan toimii Telialla "tietyin rajoituksin" joihin en löytänyt tarkennusta. Elisalla ja DNAlla ei edelleenkään toimi, ainakaan löytämäni tuoreimman tiedon mukaan.

 

[Kautium]

On se nyt aika olennaista jos aiheena on se, voiko pankkipalveluihin tehdä middleman-hyökkäyksen mikäli asiakas käyttää vain mobiilivarmennetta eikä suostu pankin systeemiä käyttämään kun ei mitään ole maksamassa. Sikäli kun mikään pankki ei anna kirjautua verkkopankkiinsa mobiilivarmenteella, saati hyväksyä toimeksiantoa, niin ei voi.

Eri juttu tietysti jos jossain pankissa tämä on mahdollista.

Miksi juuri se mobiilivarmenne on tässä olennainen? Ei sillä ole oikeasti mitään väliä mikä se vahvan tunnistuksen menetelmä on, kun tuon mainitun hyväksikäyttömenetelmän voi toteuttaa samalla tavalla siitä riippumatta.

Jos mikään pankki ei juuri tällä hetkellä käytä mobiilivarmennetta, niin Demun alkuperäinen "käyttäkää mobiilivarmennetta, niin tällaista ei voi tapahtua" on täysin epärelevantti kommentti. Silloin hyökkääjät käyttävät sitä optiota mikä milläkin pankilla/käyttäjällä on aktiivisena. Ainoa varma menetelmä mikä pelastaa tyhmän käyttäjän tällaisilta on asioida fyysisesti henkilöpaperien kanssa pankin tiskillä. Jos siellä tapahtuu varmistuksessa virhe ja väärä henkilö saa rahat tililtä, vastuu on pankilla.

Ja pankin tilalle voi vaihtaa oikeastaan minkä tahansa muunkin palvelun, jolla voi siirrellä rahoja, suorittaa maksuja, tehdä tilauksia jne.

 

[demu]

Kummallista, oon tota kuitenkin käytellyt viikottain mun Telian eSim:illä

Et ole käyttänyt eSIM:llä (eSIM ei käytä fyysistä SIM-korttia).
Jos näin luulet, niin silloin puhelimessasi on eSIM:n lisäksi myös fyysinen SIM-kortti.
Nykyinen mobiilivarmenne toimii SIM Toolkittiä käyttämällä, ja vaatii fyysisen SIM-kortin. Piste.

Artikkelit - Mobiilivarmenne

mobiilivarmenne.fi

Mobiilivarmenne on uudistumassa - mahdollisesti jo tämän vuoden aikana. Tämä uusikin mobiilivarmenne toteutetaan operaattoreiden (D,E, T) yhteistyönä.
SIM-korttiriippuvuudesta luovutaan, ja tilalle tulee älypuhelimiin tarjolle tuleva tunnistautumisapplikaatio. Tämä hanke vain on aika rankasti myöhässä alkuperäisestä aikataulustaan.
...
Uuden Mobiilivarmenteen version lanseeraus on siirtynyt vuoden 2022 loppupuoliskolle. Tiedotamme tarkemmasta ajankohdasta myöhemmin. Uudet ominaisuudet tulevat käyttöön vaiheittain käyttöönoton jälkeen.
...

Artikkelit - Mobiilivarmenne

mobiilivarmenne.fi

 

[lunkwill]

Onkohan vähän taas karannut mobiilivarmenne/eSim-keskustelu otsikosta vai ollaanko sittenkin ihmisten ytimessä?

 

[Josef]

Et ole käyttänyt eSIM:llä (eSIM ei käytä fyysistä SIM-korttia).
Jos näin luulet, niin silloin puhelimessasi on eSIM:n lisäksi myös fyysinen SIM-kortti.

Vielä kummallisempaa, joku on mun tietämättä käynyt masentelemassa mun luuriin näkymättömän sim-kortin..

Tähän salaliittoon on liittynyt teliakin, kertomalla muillekin ihmisille että tuo toimaa kyllä eSimin kanssakin, mut huono salaliittohan se oliskin jos se ois vaan mun päässäni..

"Tilaa liittymä ja eSIM laitteeseesi verkkokaupastamme, Telia Kaupasta tai asiakaspalvelustamme. Jos sinulla on jo liittymä meiltä, voit päivittää fyysisen sim-korttisi sähköiseen eSIMiin Minun Teliassa.

eSIM tukee myös Mobiilivarmennetta. Jos haluat Mobiilivarmenteen käyttöön, vaihda eSIM uuteen Minun Teliassa. Valitse siellä kyseessä oleva liittymä ja Tilaa uusi SIM-kortti tai eSIM."

 

[lunkwill]

Vielä kummallisempaa, joku on mun tietämättä käynyt masentelemassa mun luuriin näkymättömän sim-kortin..

Eli on tullut päivitys mikä on aktivoinut eSimin mutta sulla ei ole sopimusta siitä?
Ei pitäisi johtaa toimenpiteisiin, otat vaan pois päältä.
Jos epäilyttää, niin käyt tsekkaamassa operaattirin sivuilta, että mistä maksat.

 

[Tonnin Seteli]

Eli on tullut päivitys mikä on aktivoinut eSimin mutta sulla ei ole sopimusta siitä?
Ei pitäisi johtaa toimenpiteisiin, otat vaan pois päältä.
Jos epäilyttää, niin käyt tsekkaamassa operaattirin sivuilta, että mistä maksat.

Hän tarkoitti viisastella siitä, että nykyään mobiilivarmenne toimii Telialla myös eSIMillä, vaikka edellä muut eivät olleet moista loistavasti markkinoitua lanseerausta huomanneet. En minäkään tiennyt että on edes suunnitteilla, enkä suoraan sanottuna ole kovin iloinen asiasta.

 

[Josef]

Eli on tullut päivitys mikä on aktivoinut eSimin mutta sulla ei ole sopimusta siitä?
Ei pitäisi johtaa toimenpiteisiin, otat vaan pois päältä.
Jos epäilyttää, niin käyt tsekkaamassa operaattirin sivuilta, että mistä maksat.

Mitä saatanaa nyt taas.. Tottakai mulla on sopimus siitä, ei se mikään yllätys ole koska sitä käyttelenkin jatkuvasti, en mä kyllä siitä mitään maksa mut ei se telialla maksakaan. Täällä vaan tietäjät tietää ettei se toimi eSim:illä ja se oli mulle yllätys.

 

[emagdnim]

Kummallista, oon tota kuitenkin käytellyt viikottain mun Telian eSim:illä

Jaa, koskee elisaa sit vain tai pitäis uusiksi aktivoida? E: oliki näemmä jo keskustelua asiasta

 

[Amskii]

Mitä saatanaa nyt taas.. Tottakai mulla on sopimus siitä, ei se mikään yllätys ole koska sitä käyttelenkin jatkuvasti, en mä kyllä siitä mitään maksa mut ei se telialla maksakaan. Täällä vaan tietäjät tietää ettei se toimi eSim:illä ja se oli mulle yllätys.

Päädyin tätä keskustelua sattumalta lukemaan ja hämmennyksekseni näköjään täällä oudon agressiivisesti väitetään ettei toimi eSIMillä mobiilivarmenne.
Omalta osaltani voin kyllä 100% vahvistaa, että toimii Telian eSIMillä ihan samalla lailla kuin fyysisellä SIMillä ja käytän sitä lähes päivittäin. Ehkä me vaan ollaan edelläkävijöitä. Nykyisessä puhelimessa ei edes ole missään vaiheessa käynyt fyysistä SIM-korttia ja silti toimii mobiilivarmenne.

 

[GGoljatti]

Kaikki pankit ovat jo ajat sitten antaneet suosituksen että jos et tiedä mitä teet niin käytä puhelimen sovellusta.

Eli asentakaa vanhuksillene pankkisovellus puhelimiin. Ei pääse kukaan väliin

 

[Weehoo]

Otsikkohan osuu ku naula arkkuun, jauhetaan samaa jorinaa ja väitellään asiasta omien kokemuksien mukaan. Hohhoijaa, odotin jotain lukemistakin täältä..

 

[Kautium]

Kaikki pankit ovat jo ajat sitten antaneet suosituksen että jos et tiedä mitä teet niin käytä puhelimen sovellusta.

Eli asentakaa vanhuksillene pankkisovellus puhelimiin. Ei pääse kukaan väliin

Niihin kaiken maailman Doroihin sun muihin senioripuhelimiin ei saa edes matopeliä, saati sitten jotain pankkisovelluksia.

 

[GGoljatti]

Niihin kaiken maailman Doroihin sun muihin senioripuhelimiin ei saa edes matopeliä, saati sitten jotain pankkisovelluksia.

Eipä noita otsikon mukaisia typeryksiä voi millään suojata.

Nää viime aikaiset uutiset vaan sattuu sieluun. Ei lueta mitä näyttöön tulee jne. Varmaan periaate että Suomessa kaikki rehellisiä

 

[Hyrava]

Niihin kaiken maailman Doroihin sun muihin senioripuhelimiin ei saa edes matopeliä, saati sitten jotain pankkisovelluksia.

Juurikin niin, ja esimerkiksi faijalla kestää muutaman sanan tekstiviestin kirjoittamiseenkin jo puoli tuntia niin jossain mobiilipankin laskunmaksussa kerkiäisi sessio vanhentumaan 3 kertaa ennen kuin lasku on saatu maksettua. Faijalla ei ole älypuhelinta eikä tietokonetta joka on toisaalta onni, eipä ole haittaohjelmia tai niin paljoa huijauksia. Ja tuskin oppisi enää älypuhelinta tai tietokonetta käyttämäänkään, televisiokin on jo siinä ja siinä onko liian tekninen laite. No, annettakoon noin 80-vuotiaalle anteeksi ettei ole ihan perillä kaikesta uudesta tekniikasta kun ei ole ikinä mitään tietoteknistä laitetta työssään joutunut käyttämään.

edit:
Ja yhden noin saman ikäisen kaukaisen sukulaisen kanssa luovutin jo pari vuotta sitten, sillä on älypuhelin ja tietokone ja se sai koneensa aina niin jumiin että parhaimpina vuosina taisin 4-5 kertaa vuodessa asennella sen uusiksi kun sai sen aina solmuun. Vaikka kuinka teki rajatun käyttäjätilin, virustorjunnat, mainosblokkerit sun muut niin silti se sai jotenkin asennettua jotain haittaohjelmia koneen täyteen hetkessä.

 

[Kaaaapo]

Ainoa mikä tässä itseä ihmetyttää on se, että miten pankki on antanut tehdä noin suuria tilisiirtoja tuosta vain. Tyhmiä ihmisiä riittää yllin kyllin, mutta kyllä mielestäni jokaisella pankilla pitäisi olla joku systeemi, mikä blokkaa isommat tilisiirrot (tai useammat pienemmät saman päivän aikana) kunnes varmistutaan näiden aitoudesta.

OP:lla tämä ainakin toimi hienosti jo vuosia sitten. Meinasi tulla kusi housuun, kun piti maksaa 6kk vuokra kerralla toisessa maassa tai nukkua kadulla. Tilisiirto ei mene läpi, vuokrafirma menossa kiinni ja OP:n aspa myös.
Ehdin soittaa aspaan ja selvisi, että olivat yrittäneet soittaa minulle, mutta eivät tavoittaneet minua joten estivät tilisiirron (minulla oli vanha puhelinnumero OP:n tiedoissa). Siinä sitten vastailin puhelimessa kysymyksiin, kunnes olivat varmoja, että olenhan oikeasti minä ja tilisiirto on legitti.

 

[Kautium]

Eipä noita otsikon mukaisia typeryksiä voi millään suojata.

Nää viime aikaiset uutiset vaan sattuu sieluun. Ei lueta mitä näyttöön tulee jne. Varmaan periaate että Suomessa kaikki rehellisiä

Siksi keskustelu tavallaan kuuluukin juuri tänne. Ei tämä ongelma koske pelkästään suomalaisia, mutta luonnollisesti uutisointi meikäläisistä tapauksista kiinnostaa täällä eniten.

Digitalisaatio etenee paikoin kovempaa vauhtia kuin mihin tavan tallaajat tai edes palveluiden tarjoajat ovat kyvykkäitä ja rikolliset luonnollisesti käyttävät tätä häikäilemättä hyväkseen. Tietoturvan vastapainona on aina jossakin määrin käytettävyys ja yhtälö on siksi ongelmallinen, kun juuri se osa kansasta, joka tarvitsee ja vaatii mahdollisimman helppoa käytettävyyttä, eivät ymmärrä itse mitä tekevät.

Ehkä vielä jonain päivänä tämäkin tilanne ratkeaa jonkin uuden täysin teknologian myötä. Sitten tilalle tulee taas uusia ongelmia.

 

[Hyrava]

Siksi keskustelu tavallaan kuuluukin juuri tänne. Ei tämä ongelma koske pelkästään suomalaisia, mutta luonnollisesti uutisointi meikäläisistä tapauksista kiinnostaa täällä eniten.

Digitalisaatio etenee paikoin kovempaa vauhtia kuin mihin tavan tallaajat tai edes palveluiden tarjoajat ovat kyvykkäitä ja rikolliset luonnollisesti käyttävät tätä häikäilemättä hyväkseen. Tietoturvan vastapainona on aina jossakin määrin käytettävyys ja yhtälö on siksi ongelmallinen, kun juuri se osa kansasta, joka tarvitsee ja vaatii mahdollisimman helppoa käytettävyyttä, eivät ymmärrä itse mitä tekevät.

Ehkä vielä jonain päivänä tämäkin tilanne ratkeaa jonkin uuden täysin teknologian myötä. Sitten tilalle tulee taas uusia ongelmia.

Tuota kehitystä mä vähän pelkäänkin vanhempien tapauksessa, toinen on ihan toivoton kaiken tekniikan kanssa ja toinenkaan ei niin kovin paljon paremmin pärjää minkään nykytekniikan kanssa. Vaikka en mitään kuolemaa toivokaan niin toivon että heistä aika jättää ennen kuin alkaa olla pakko tehdä kaikki digitaalisesti, sen verran hankalaa heille on opettaa enää mitään uutta. Sekin oli jo SUURI helpotus kun joku vuosi sitten pääsi viimein eroon erillisestä digiboksista ja nyt on käytössä enää yksi kaukosäädin telkkarin katsomiseen. Tosin, taas on faija jonkun jutun saanut telkkarista sekaisin kun pyyteli käymään...

 

[baabaa]

Onhan tässä ollut joku vajaa 20 vuotta aikaa pistää huijarit kuriin, mutta kun ei kiinnosta. Huijauksiahan on nykyään satoja eri ja viranomaiset ja pankit ja päättäjät vaan levittelee käsiään. Kukaan ei halua ottaa vastuuta. Vastuu sysätään Pekalle ja Marjalle 80-vee ja sitten naureskellaan kuinka tyhmiä olivat. Samalla rikolliset naureskelevat partaansa kun viranomaisia ei kiinnosta muuta kuin syödä munkkeja ja nostella liksaa.

 

[Kautium]

Onhan tässä ollut joku vajaa 20 vuotta aikaa pistää huijarit kuriin, mutta kun ei kiinnosta. Huijauksiahan on nykyään satoja eri ja viranomaiset ja pankit ja päättäjät vaan levittelee käsiään. Kukaan ei halua ottaa vastuuta. Vastuu sysätään Pekalle ja Marjalle 80-vee ja sitten naureskellaan kuinka tyhmiä olivat.

Miten niin ei kiinnosta? Millä tavalla ne huijarit laitetaan kuriin, jos Pekka ja Marja 80-vee hyväksyy kaikki mahdolliset kusetukset kaikista turvatoimista huolimatta? Lähtökohtaisesti pitäisi ensin kiinnostaa edes Pekkaa ja Marjaa ja sitten vasta muita.