Tietoturva & kyberhyökkäykset

[pamppu]

Huijarit kalastelee mobiilivarmenteen tunnuslukuja-hyödynnetty lainojen hakemiseen

Huijarit kalastelevat mobiilivarmenteen tunnuslukuja - hyödynnetty lainojen hakemiseen

Helsingin poliisilla on esitutkinnassa tapauksia, joissa huijarit ovat kalastelleet mobiilivarmenteen tunnuslukuja, joita on hyödynnetty asianomistajan tietojen tarkasteluun sekä lainojen hakemiseen.

dawn.fi

Vähän outo juttu. Ei mobiilivarmenteen pinnillä mitään tee, ellei ole myös Sim-korttia saanut haltuun. Koko ideahan on tunnistaa jollakin joka on hallussa ja jollakin jota tiedät (kortti+pin). Kumpikaan yksin ei riitä.

Kenties tuossa viitataan niihin taktiikoihin, joissa kerrotaan että sulle tulee varmennuspyyntö, kuittaa se, koska sitä ja tätä. Sitähän ei tietysti koskaan pidä tehdä.

 

[Arisoft]

Huijarit kalastelee mobiilivarmenteen tunnuslukuja-hyödynnetty lainojen hakemiseen

Siellä joku jo epäilee kommenteissa uutisen aitoutta kun varmenne on kuulemma "pultattu simmiin".

Mutta meni siis tämäkin "suoja" metsään heti kun varmenteella alkoi saada rahaa.

En yleensä ole saanut kalasteluviestejä sähköpostiini mutta ihan lähiviikkoina on tullut useita S-pankin yhteydenottoja vaikken olekaan pankin asiakas. Liekö hujausyritysten kokonaismäärä kiihtynyt reippaastikin hiljattain?

 

[Arisoft]

Ei mobiilivarmenteen pinnillä mitään tee, ellei ole myös Sim-korttia saanut haltuun.

No mitäs iloa tuollaisesta varmenteesta sitten on jos se pitää fyysisesti viedä jonnekin? Se ei siis olekaan mobiili? (Tai mitä sillä mobiililla sit tarkoitetaankaan)

 

[kotte]

Vähän outo juttu. Ei mobiilivarmenteen pinnillä mitään tee, ellei ole myös Sim-korttia saanut haltuun. Koko ideahan on tunnistaa jollakin joka on hallussa ja jollakin jota tiedät (kortti+pin). Kumpikaan yksin ei riitä.

Kenties tuossa viitataan niihin taktiikoihin, joissa kerrotaan että sulle tulee varmennuspyyntö, kuittaa se, koska sitä ja tätä. Sitähän ei tietysti koskaan pidä tehdä.

Toistaiseksi ei tiedotuksessa ole korostettu riittävästi sitä, että ei pitäisi varmentaa koskaa yhtään mitään sellaista, jolle et itse ole tehnyt aloitetta (siis ilman toisen tekemiä tarkennuksia, lisäehdotuksia ym.). Henkilöllisyyden (yksipuolinen) varmentaminen pankin kanssa asioidessa oli poikkeus, mutta tuosta käytännöstä lienee onneksi jo siirrytty parempiin menetelmiin myös asioitaessa pankin kanssa sähköisesti joko puheella tai kasvokkain videoyhteydellä.

 

[tet]

No mitäs iloa tuollaisesta varmenteesta sitten on jos se pitää fyysisesti viedä jonnekin? Se ei siis olekaan mobiili? (Tai mitä sillä mobiililla sit tarkoitetaankaan)

Pelkällä pinnillä ei tee mitään, koska se kelpaa ainoastaan sim-kortille, joka on puhelimessa. Eli käyttäjän pitää se pin naputella puhelimeen jokaisella varmennuskerralla. Tuossahan uutisoitiin, että jos annat huijareille mobiilivarmenteen pin-koodin, niin sen jälkeen voivat tietämättäsi varmentaa sillä vaikka mitä. Ei se niin mene, koska varmennus tapahtuu sim-kortilla. Aina tupsahtaa varmennuspyyntö puhelimen ruudulle, ja käyttäjän pitää se pin siihen näpytellä.

Toki nyt on alkanut tulla noita äppiversioita, olikohan niin että sekä Elisa että DNA ottavat äppiversiot käyttöön. Silloin varmenne on äpissä, ei sim-kortilla. Mutta puhelimessa edelleen kuitenkin, ei huijarin koneessa.

 

[Arisoft]

Pelkällä pinnillä ei tee mitään, koska se kelpaa ainoastaan sim-kortille, joka on puhelimessa. Eli käyttäjän pitää se pin naputella puhelimeen jokaisella varmennuskerralla. Tuossahan uutisoitiin, että jos annat huijareille mobiilivarmenteen pin-koodin, niin sen jälkeen voivat tietämättäsi varmentaa sillä vaikka mitä. Ei se niin mene, koska varmennus tapahtuu sim-kortilla. Aina tupsahtaa varmennuspyyntö puhelimen ruudulle, ja käyttäjän pitää se pin siihen näpytellä.

Uutisessa ei käytetä "PIN-koodia" vaan "huijarit ovat kalastelleet mobiilivarmenteen tunnuslukuja". Mitä tämä sitten tarkoittaneekaan. Oletan että toimittaja on keksinyt huijausmetodin omasta päästään.

Samassa jutussa on myös poliisin versio asiasta "Huijauksesta saattaa olla kyse, jos esimerkiksi tekstiviestissä pyydetään toimimaan nopeasti, klikkaamaan linkkejä tai syöttämään pin-koodi."

 

[tet]

Uutisessa ei käytetä "PIN-koodia" vaan "huijarit ovat kalastelleet mobiilivarmenteen tunnuslukuja". Mitä tämä sitten tarkoittaneekaan. Oletan että toimittaja on keksinyt huijausmetodin omasta päästään.

Samassa jutussa on myös poliisin versio asiasta "Huijauksesta saattaa olla kyse, jos esimerkiksi tekstiviestissä pyydetään toimimaan nopeasti, klikkaamaan linkkejä tai syöttämään pin-koodi."

Näyttää olevan sanatarkasti poliisin tiedote lainattu eri medioihin. Eipä tuosta selviä, mikä se oikea huijausmetodi on. Ihan selvä virhe tuossa tiedotteessa kuitenkin on:

Pankkitunnuksia tai mobiilivarmennetta ei pidä antaa ulkopuolisten henkilöiden tietoon.

Pankkitunnukset voi antaa ulkopuolisen tietoon, mobiilivarmennetta sen sijaan ei. Se ei ole mikään kirjoitettavissa oleva numerosarja tai muu vastaava tieto. Se on ohjelmakoodia ja siihen liitetty pitkä numeerinen tieto, jotka sijaitsevat kännykän SIM-kortilla tai sovelluksessa. Niitä ei sieltä saa millään esille, eikä niitä siten voi antaa ulkopuolisen tietoon. Ja kuten todettua, sen mobiilivarmenteen salasanan (eli pin-koodin) voi antaa jonkun tietoon, mutta tiedon saaja ei sitä pysty mitenkään höydyntämään, koska se kelpaa vain kännykässä olevalle ohjelmalle paikallisesti näppäiltynä.

Mobiilivarmenteita käytetään nyt huijauksiin – varmenteella pystyy tarkastelemaan henkilötietoja ja hakemaan lainoja

poliisi.fi

 

[Husky]

Vähän outo juttu. Ei mobiilivarmenteen pinnillä mitään tee, ellei ole myös Sim-korttia saanut haltuun. Koko ideahan on tunnistaa jollakin joka on hallussa ja jollakin jota tiedät (kortti+pin). Kumpikaan yksin ei riitä.

Kenties tuossa viitataan niihin taktiikoihin, joissa kerrotaan että sulle tulee varmennuspyyntö, kuittaa se, koska sitä ja tätä. Sitähän ei tietysti koskaan pidä tehdä.

Joo, ärsyttää suunnattomasti että näissä huijausuutisissa yleensä ei selitetä mistä on kyse.
Toitotetaan vain niitä samoja asioita mitkä jokainen tietää ja itse asia jää epäselväksi. Tästä johtuen itse en ole saanut kunnollista kuvaa eri metodeista.
Luulin laatua Ylen Digihuijatut sarjasta mutta oli yhtä huono tuossa mielessä

 

[Arisoft]

Pankkitunnukset voi antaa ulkopuolisen tietoon, mobiilivarmennetta sen sijaan ei. Se ei ole mikään kirjoitettavissa oleva numerosarja tai muu vastaava tieto. Se on ohjelmakoodia ja siihen liitetty pitkä numeerinen tieto, jotka sijaitsevat kännykän SIM-kortilla tai sovelluksessa. Niitä ei sieltä saa millään esille, eikä niitä siten voi antaa ulkopuolisen tietoon.

Joo ei voi antaa tietoon mutta voi antaa käyttöön. Esim. ojentamalla puhelin huijarille tai asentamalla etäkäyttösovellus, jonka kautta huijari voi komentaa puhelinta. Silloin PIN koodin kertominen huijarille on se viimeinen tarvittava osa ennen henkilöllisuuden menettämistä.

 

[tuna]

Eihän sitä puhelinta nyt kenellekään tarvitse antaa. Kysehän on itse varmenteen antamisesta väärälle taholle.

Tyyppi soittaa sulle puhelimella ja sanoo että meidän pitää varmistaa nyt henkilöllisyys. Puhelimesi piippaa mobiilivarmenteesta ja sen hyväksyt.

Oho, rahat meni.

 

[HiTec]

Tämä on nyt tätä jatkuvaa helppokäyttöisyyden ja tietoturvan välillä taiteilua. Voisihan systeemin tehdä niin että joka ainut toimenpide tarttee sen kännykällä vahvistuksen ja näin luulisi jo tyhmemmänkin tajuavan jos kysellään kertaalleen valrmistusta ja sen perään vielä muutamaan kertaan varmistukset jokaiselle niille muillekin muutoksille mitä huijarit ovat haluamass, jotta nyt on kyllä kyse jostain ihan muusta kuin vain kertatunnistautumisesta. Tälläinen systeemi olisi ihan järkyttävä käyttää, kännykällä saisi räpeltää jatkuvasti teki siellä vaikka pankissa nyt ihan mitä tahansa ja asiasta nousisi melkoinen älämölö. Koita siinä sitten tehdä systeemejä jotka olisi luotettavia ja turvallisia, mutta samalla myös sujuvia ja helppokäyttöisiä.

 

[Arisoft]

Kun kirjaudut tuttuun verkkopalveluun, valitse Mobiilivarmenne tunnistautumistavaksi. Syötä oma puhelinnumerosi. Puhelimesi ruudulle pomppaa ilmoitus kirjautumisyrityksestä. Tarkista, että kirjautumissivulla ja ruudulla olevat numerot täsmäävät ja hyväksy kirjautuminen syöttämällä itse valitsemasi pin-koodi.

Tällä varmenteella siis varmennetaan ihan sokkona mitä tahansa. Ja tätä markkinoidaan turvallisena käyttäjille, jotka uskovat kaiken mitä heille sanotaan?

 

[tj86430]

Mobiilivarmennetta kai käytetään tunnistautumiseen eikä muuhun? Olen ollut siinä uskossa, että se on melko turvallinen tunnistautumistapa seuraavilla oletuksilla:
- tunnistautuminen hyväksytään vain kun sen on itse aloittanut ja katsotaan, että tunnistustapahtuman yksilöivä koodi on oikea
- kukaan ei pääse käyttämään puhelinta siten, että pystyy hyväksymään tunnistustapahtuman pin-koodilla

 

[-Teme-]

Olen itse käyttänyt mobiilivarmennetta sen alkuajoista, ollen jo palvelun testaaja sekä pilottikäyttäjä, enkä vaihda pois kovinkaan helposti

Muutaman vuoden takaa muistuu mieleen tapahtuma jossa käyttäjä a pääsi henkilön b tilitietoihin kun pankissa oli tuo mobiilivarmenne käytössä. Keissiä tutkittiin ja selvisi että nämä kaksi käyttäjää olivat "yhtä aikaa" kirjautumassa omille tileille käyttäen mobiilivarmennetta, käyttäjä a oli epähuomiossa antanut oman puh.nron virheellisesti ja se sattui just olemaan käyttäjän b numero ja oisko ollut että käyttäjä b oli myös syöttänyt väärän numeron. Käyttäjä b ei varmistanut että autentikointi koodi vastasi omaa annettua koodia vaan löi pin koodin sisään ja näin käyttäjä a pääsi hänen tietoihin.
Tuossa oli kaikki mahdolliset kuun, auringon ja tähtien kiertoradat kohdallaan että onnistui tapahtumaan.

 

[Arisoft]

Mobiilivarmennetta kai käytetään tunnistautumiseen eikä muuhun? Olen ollut siinä uskossa, että se on melko turvallinen tunnistautumistapa seuraavilla oletuksilla:
- tunnistautuminen hyväksytään vain kun sen on itse aloittanut ja katsotaan, että tunnistustapahtuman yksilöivä koodi on oikea
- kukaan ei pääse käyttämään puhelinta siten, että pystyy hyväksymään tunnistustapahtuman pin-koodilla

No tässä on tunnistauduttu esim. lainan maksajaksi. Ajatus markkinoinnissa kai oli sellainen että mobiilivarmenteella voi tunnistautua vain jonninjoutaviin palveluihin, joissa voi menettää kasvonsa jos sen kanssa sössii, mutta ei rahojaan. Mutta ilmeisesti näin ei olekaan vaikka toistaiseksi pankkitili oliiskin suojassa mobiilivarmenteelta.

 

[-Teme-]

Mobiilivarmenne ei siis ole mikään uusi juttu, vaan se on ollut käytössä jo yli 20 vuotta
edit: vuonna 2003 näyttää ensimmäiset palvelut otettu käyttöön

 

[Arisoft]

Tuossa oli kaikki mahdolliset kuun, auringon ja tähtien kiertoradat kohdallaan että onnistui tapahtumaan.

Ainakin se osoitti sen ettei autentikoidikoodia tarkasteta kovinkaan usein. Muutamissa muissa varmentajissa käytetty "valitse yksi kolmesta numeroista" -tyyppinen aktivointi vaikuttaa itse asiassa varsin hyvältä, kun se pakottaa salakavalasti tarkastamaan, että koodit täsmää, vaikka olisivatkin vain kaksinumeroisia.

 

[-Teme-]

Ainakin se osoitti sen ettei autentikoidikoodia tarkasteta kovinkaan usein. Muutamissa muissa varmentajissa käytetty "valitse yksi kolmesta numeroista" -tyyppinen aktivointi vaikuttaa itse asiassa varsin hyvältä, kun se pakottaa salakavalasti tarkastamaan, että koodit täsmää, vaikka olisivatkin vain kaksinumeroisia.

aika paljon silti turvallisempi kuin avainlukulistat, kun tiedossa on vain yksi tapaus jossa em.tilanne päässyt tapahtumaan 20vuoden aikana.
pankkitunnusten kanssa aika paljon useampi tilanne tiedossa

 

[tet]

No tässä on tunnistauduttu esim. lainan maksajaksi. Ajatus markkinoinnissa kai oli sellainen että mobiilivarmenteella voi tunnistautua vain jonninjoutaviin palveluihin, joissa voi menettää kasvonsa jos sen kanssa sössii, mutta ei rahojaan. Mutta ilmeisesti näin ei olekaan vaikka toistaiseksi pankkitili oliiskin suojassa mobiilivarmenteelta.

En muista missään mobiilivarmennetta markkinoidun vain "jonninjoutavien" palveluiden käyttöön. Vaan nimenomaan turvallisimpana tunnistautumiskeinona esim. viranomaispalveluihin. Syy miksi sitä on tuputettu pankkitunnusten sijaan käytettäväksi muissa kuin pankkipalveluissa, on se että pankkiin se ei kelpaa, ainakaan yleisesti. Tietääkseni meikäläiset pankit eivät mobiilivarmennetta kelpuuta, joten käyttämällä sitä muualla kuin pankeissa, huomaa paremmin potentiaaliset huijaukset. Jos palvelun X tunnistusvaihtoehtona ei ole mobiilivarmennetta, pitäisi hälytyskellojen soida, jotta miksi vaativat nimenomaan pankkitunnusten käyttöä.

Minusta mobiilivarmenne on ehdottomasti turvallisempi kuin pankkitunnukset, mihin tahansa käyttöön. Tässä edellä poliisin varoittamassa skenaariossa vaikutti olleen kyse siitä, että rikolliset pääsisivät täysin omineen huseeraamaan sen varmenteen kanssa, ilman että tarvitsevat sinun toimiasi jokaisessa tunnistuksessa. En ole varma, mutta luulenpa ettei etäkäyttösovelluskaan auta huijaria, ainakaan tässä perinteisessä SIM-kortilla olevassa varmenteessa. Uudet äppipohjaiset sillä voinee kesyttää, mutta luulisin ettei SIM-sovellusta pysty käyttämään etäkäytöllä. En tosin tästä ole varma, joku tietävämpi voinee korjata jos olen väärässä? Ainakin tuo varmenne ohittaa kaikki puhelimen asetukset; vaikka luurissa on näyttölukko sormenjäljellä tai koodilla, niin varmenteen prompti tulee silti läpi ruudulle vaikka näyttölukko on päällä. Se ottaa koko ruudun haltuunsa, ruutu on aina musta lukuunottamatta sitä syöttölaatikkoa jossa pin-koodia kysytään.

 

[Arisoft]

En muista missään mobiilivarmennetta markkinoidun vain "jonninjoutavien" palveluiden käyttöön. Vaan nimenomaan turvallisimpana tunnistautumiskeinona esim. viranomaispalveluihin.

Sitähän se ei ole, siis turvallisin tunnistautumiskeino viranomaispalveluihin. Niihin turvallisin keino on tietysti kansalaisvarmenne, koska se on viranomaisen myöntämä ja sillä ei nähtävästi mihinkään muualle pääsekään kuin viranomaispalveluihin.

Viestintä on viimeaikoina korostanut mobiilivarmenteen käyttämistä erityisesti pankkiasioinnin turvaamiseksi - koska sillä ei pääse pankkiin - niin sen leväperäinen käyttö ei riskeeraa pankkiasiointia. Nyt kumminkin jostain on saanut rahaa myös mobiilivarmeneella pankin ohi.

Minusta mobiilivarmenne on ehdottomasti turvallisempi kuin pankkitunnukset

No mielipiteitä saa toki olla laidasta laitaan. Omasta mielestäni pankkitunnusten, mitä sitten ovatkaan, tulisi olla erityisen turvallisia. Jostain syystä pankit eivät kelpuuta mobiilivarmennetta, onko siinä jokin turvallisuusongelma pankkien kannalta vai onko kyseessä oman tuotteen markkinointi?

luulisin ettei SIM-sovellusta pysty käyttämään etäkäytöllä

Asian voit helposti testata kokeilemalla puhelimesi etäkäyttöä vaikka tietokoneeltasi, pystyykö PIN-koodin sinne antamaan. Toki tällainen hyökkäystapa edellyttä että huijari saa sinut asentamaan ensin jonkin etäkäyttösovelluksen.

 

[tj86430]

Kansalaisvarmenne on toki hyvä, vaan harvalla on kortinlukijaa. Tiedän toki Hightrust.id:n, mutta aktivointi vaatii kuitenkin sirunlukijan - vai eikö tämä pidä enää paikkaansa:

"Tarvitset aktivointitunnusluvun, tietokoneen, sirukortinlukijan ja kortinlukijaohjelmiston." (https://dvv.fi/kansalaisvarmenne)

edit: näköjään tuonne on lisätty eri kohtaan: "Voit aktivoida henkilökorttisi myös puhelimella hightrust.id-sovellusta käyttäen. " - eli lukijaa ei tarvita enää edes aktivointiin.

 

[kotte]

Sitähän se ei ole, siis turvallisin tunnistautumiskeino viranomaispalveluihin. Niihin turvallisin keino on tietysti kansalaisvarmenne, koska se on viranomaisen myöntämä ja sillä ei nähtävästi mihinkään muualle pääsekään kuin viranomaispalveluihin.

Omasta mielestäni kansalaisvarmenteen heikko kohta on kortinlukija + tietokone (jos pyörii jokin Windows). Vaikka kortti onkin turvallinen, joku saattaa päästä Windowsin sisään ja varmentaakin aivan muita palveluita, mitä ruutu käyttäjälle kertoo. Käytännössä tuo tietenkin on varsin turvallinen ammattimaisen tietohallinnon operoimassa organisaation sisäisessä tietoverkossa, jossa koneet ovat etähallinnassa, mutta kotikäyttäjien ympäristössä on itse luota moiseen (ainakaan ilman parempaa tietoa).

 

[Husky]

Muutaman vuoden takaa muistuu mieleen tapahtuma jossa käyttäjä a pääsi henkilön b tilitietoihin kun pankissa oli tuo mobiilivarmenne käytössä. Keissiä tutkittiin ja selvisi että nämä kaksi käyttäjää olivat "yhtä aikaa" kirjautumassa omille tileille käyttäen mobiilivarmennetta, käyttäjä a oli epähuomiossa antanut oman puh.nron virheellisesti ja se sattui just olemaan käyttäjän b numero ja oisko ollut että käyttäjä b oli myös syöttänyt väärän numeron. Käyttäjä b ei varmistanut että autentikointi koodi vastasi omaa annettua koodia vaan löi pin koodin sisään ja näin käyttäjä a pääsi hänen tietoihin.
Tuossa oli kaikki mahdolliset kuun, auringon ja tähtien kiertoradat kohdallaan että onnistui tapahtumaan.

Mielenkiintoista. Vai että mobiilivarmenteella kuitenkin kaikista tiedoista poiketen pääsee verkkopankkiin?

Ei liity lainaukseen, mutta:
Ja vielä kun joskus saisi eläviä esimerkkejä miten on laitteiden kaappaukset tapahtuneet. Paljon yleisen tason tietoa on, mutta todellisia esimerkkejä ei yhtään missään.
Sanotaan että pitää hyväksyä jonkin sovelluksen asentuminen. Mutta ei kai nyt rikollinen niin tyhmä ole että läväyttää näytölle "hyväksy niin asentuu sovellus".

Eli voiko kaappaus tapahtua kun hyväksyt evästeet tms!?!?!?

 

[HiTec]

Sitähän se ei ole, siis turvallisin tunnistautumiskeino viranomaispalveluihin. Niihin turvallisin keino on tietysti kansalaisvarmenne, koska se on viranomaisen myöntämä ja sillä ei nähtävästi mihinkään muualle pääsekään kuin viranomaispalveluihin.

No mielipiteitä saa toki olla laidasta laitaan. Omasta mielestäni pankkitunnusten, mitä sitten ovatkaan, tulisi olla erityisen turvallisia. Jostain syystä pankit eivät kelpuuta mobiilivarmennetta, onko siinä jokin turvallisuusongelma pankkien kannalta vai onko kyseessä oman tuotteen markkinointi?

Kansalaisvarmenne, eli ns. sähköinen henkilökortti, eli ns. HST-kortti.

Pankkien takana on business. Toimimalla omien tunnistusvälineidensä kanssa, heillä on valta tuon välineen suhteen ottaa se vaikka tarvittaessa pois, mutta myös se että muilla tunnistustavoilla he joutuisivat maksamaan jokaisesta tunnistautumisesta sen operaattorille, esim. mobiilivarmenteen takanahan on Telia.

Kansalaisvarmenne on toki hyvä, vaan harvalla on kortinlukijaa. Tiedän toki Hightrust.id:n, mutta aktivointi vaatii kuitenkin sirunlukijan - vai eikö tämä pidä enää paikkaansa:

Hightrustin voi aktivoida NFC-sirullisella kännykällä ihan ilman mitään kortinlukijoitakin.

Tähän markkinaanhan on nyt tunkemassa myös muita, joista Hightrust oli ikäänkuin päänavaajana se 1. ns. "joku muu" tapa. Sieltä on tulossa myös mm. EU-lompakkoa yms. vaihtoehtoa, joihin voikin sitten tallennella kaikkea mahdollista ajokorteista aseenkantolupiin yms. viranmaisen myöntämää läpyskää - josta tuo lompakko nimityskin sitten tulee. Ja ihan uutena featurena joihinkin on tulossa myös tunnistautumismahis myös ns. kasvokkain, vilautat kännykässäsi olevaa QR-koodia, jonka tätsy tiskin takana lukasee ja näin saa varmistettua että sinä olet sinä, samaan tapaan kuin vaikka HST-korttia vilauttamalla sama asia hoidetaan vielä tänä päivänä.

 

[FinnDRZ]

Kyllähän jokainen tunnistautumiskeino on lähes yhtä turvallinen kuin käyttäjänsäkkin. Ikävä kyllä kun ikääntyvälle polvelle tarjotaan vain "mobiilipalveluita" kun ei enään ole konttoria missä asioida, joutuvat he tahtomattaan opettelemaan uudet tunnistautumistavat, mistä eivät välttämättä ymmärrä riittävästi.

 

[Arisoft]

Sanotaan että pitää hyväksyä jonkin sovelluksen asentuminen. Mutta ei kai nyt rikollinen niin tyhmä ole että läväyttää näytölle "hyväksy niin asentuu sovellus".

Eli voiko kaappaus tapahtua kun hyväksyt evästeet tms!?!?!?

Tyypillisiä keinoja on erehdyttää käyttäjää kertomalla valheita. Esittämällä, että tarvitsee asentaa tärkeä "päivitys" tai jokin palvelu lakkaa toimimasta. Yleensä tämä vaatii useamman kuin yhdin klikkauksen hiirellä. Ensin pitää ladata haittaohjelma ja sitten asentaa se. Olen nähnyt koneita joissa on haittaohjelmaa ladattu kymmeniä kertoja mutta ei ole hoksattu että se pitää vielä käynnistää lataamisen jälkeen. Yritys on siis ollut kova.

 

[tet]

Mielenkiintoista. Vai että mobiilivarmenteella kuitenkin kaikista tiedoista poiketen pääsee verkkopankkiin?

Ei ainakaan niihin kahteen pankkiin, joissa itse asioin. Ehkäpä joihinkin sitten pääsee, vai oliko tuossa kenties kyse jostain ulkomailla tapahtuneesta sattumuksesta?

 

[kotte]

^ Esimerkiksi Nordeasta pääsee lukemaan henkilökohtaisia viestejä ja vastaamaan niihin mobiilivarmenteella (vaikkapa tapauksessa, kun on lopettanut heidän verkkopalvelunsa käytön turhaan juoksevan laskutuksen takia, kun on keskittänyt asiansa muihin pankkeihin).

 

[Husky]

^ Esimerkiksi Nordeasta pääsee lukemaan henkilökohtaisia viestejä ja vastaamaan niihin mobiilivarmenteella (vaikkapa tapauksessa, kun on lopettanut heidän verkkopalvelunsa käytön turhaan juoksevan laskutuksen takia, kun on keskittänyt asiansa muihin pankkeihin).

Väitän että tämä on yksi huijauskuvio, mitä ei hieman etevämpikään hoksaa välttämättä.

Itse otat virallisessa kanavassa yhteyden => sen seurauksena sinuun otetaan yhteys ja siitä lähtee kun tyyppi puhuu yksityiskohtia asiastasi. Mutta tuo että virallinen kanava onkin hakkeroitu. Näitä päätynyt Iltasanomiin.

Tässä tullut huoleti kylvettyä varmennetta ties minne....

PS nyt on tieto että ainakin Nordealla varmenteella pääset näkemään tilitapahtumat tililtä mihin sinulla ei ole verkkopankkitunnuksia! Huhhuh JÄRKYTTÄVÄÄ.
No, täytyy siis suhtautua noihinkin että ovat julkista tietoa. Mutta olen tyytyväinen kunhan tilejä ei tyhjennetä, tää muu nyt on mitä on

 

[tet]

PS nyt on tieto että ainakin Nordealla varmenteella pääset näkemään tilitapahtumat tililtä mihin sinulla ei ole verkkopankkitunnuksia! Huhhuh JÄRKYTTÄVÄÄ.
No, täytyy siis suhtautua noihinkin että ovat julkista tietoa. Mutta olen tyytyväinen kunhan tilejä ei tyhjennetä, tää muu nyt on mitä on

Otetaanpa nyt kerran vielä. Kukaan ei pääse niitä sinun tilitietojasi Nordealla näkemään sen mobiilivarmenteesi avulla, jollet itse kännykällä hyväksy kirjautumista. Ja Telian kirjautumissivusto kertoo kyllä, mihin palveluun olet kirjautumassa, siinä ruudussa pitää vielä klikata kirjaudu-nappia tjsp. jotta varmennekirjautuminen todella tapahtuu. Ensin varmistat, että kännykän kysymä varmennusluku on sama kuin sivustolla jonne olet menossa, ja sitten kun olet syöttänyt tunnuksen, varmistat vielä seuraavalta sivulta, että todella olet kirjautumassa siihen palveluun jonne aioit. Ei ole mitään vaaraa, kun näin toimit.

 

[Husky]

Joo kyllä, mutta toivottavasti mobiilivarmenne ei yhtään syvemmälle ala päästämään verkkopankkiin.
Otin varmenteen vain ja ainoastaan siksi, että sitä voi huoleti käyttää ilman eläkevarojen menetyksen vaaraa.

PS puhumme kyllä nyt jonkin verran ristiin tässä.

 

[Husky]

OP pankissa muuten ei toisen pankin tunnuksilla pääse näkemään tilitapahtumia tililtä mihin ei ole OP tunnuksia.
Mielenkiintoisia eroja pankkien välillä.

 

[Husky]

Tyypillisiä keinoja on erehdyttää käyttäjää kertomalla valheita. Esittämällä, että tarvitsee asentaa tärkeä "päivitys" tai jokin palvelu lakkaa toimimasta. Yleensä tämä vaatii useamman kuin yhdin klikkauksen hiirellä. Ensin pitää ladata haittaohjelma ja sitten asentaa se. Olen nähnyt koneita joissa on haittaohjelmaa ladattu kymmeniä kertoja mutta ei ole hoksattu että se pitää vielä käynnistää lataamisen jälkeen. Yritys on siis ollut kova.

Juujuu, mutta jos on harhauttava teksti, niin eihän tuo sinänsä liity asiaan, että pitää ladata ja erikseen asentaa. Mikäli luulee sen olevan tarpeellinen niin asentaahan sen sitten myös.

Ei juuri kukaan ala tekemään diplomityöselvitystä, että mikä piru on mikäkin päivitys mitä ehdotetaan.

Ja tosiaan tuo: en kovasti yllättyisi jos evästehyväksyntään saa samalle klikkaukselle piilotettua latauksen ja asennuksen. Noita helkutin evästeitä muuten samalla sivulla saatetaan kysyä kaksi kertaa, kun klikkaa sivulla jotakin linkkiä, niin tuossakin voi olla mahdollisuus ties mihin.

 

[HiTec]

Ja tosiaan tuo: en kovasti yllättyisi jos evästehyväksyntään saa samalle klikkaukselle piilotettua latauksen ja asennuksen. Noita helkutin evästeitä muuten samalla sivulla saatetaan kysyä kaksi kertaa, kun klikkaa sivulla jotakin linkkiä, niin tuossakin voi olla mahdollisuus ties mihin.

Noissa evästeissäkin on vielä sellainen pikku feature, jotta jos joku saa ne sun koneeltasi nyysittyä, niin hän pääsee niillä sinuna sisään jotta heilahtaa, ilman yhtään mitään kirjautumisia, varmenteita tms. kysymäti NAPS!

Sellainen pikku pikku "suojaus" noissa kyllä on että ne on sitten ns. identtisesti sinuna. Eli ihan niin kauan kun olet sisäänkirjautuneena tuo homma pelaa, vaan kun kirjaudut ulos, niin siellä palvelimen päässä se linkkaus tuohon evästeeseen tallennettuun sessio-id tunnisteeseen katkeaa ja näin se kopioijakin lentää samointein sieltä pihalle.

 

[Arisoft]

Ei juuri kukaan ala tekemään diplomityöselvitystä, että mikä piru on mikäkin päivitys mitä ehdotetaan.

Tässä kohtaa ohjeistus on jäänyt ajastaan jälkeen hieman. Käytännössä kaikki päivitykset, mitä tarvitaan, tulevat nykyään ihan ilman, että käyttäjän tarvitsee niille mitään tehdä muuta kuin ymmärtää että päivitys on tehty kun kone niin ilmoittaa. Puhelimessa joitain Appeja näyttää tarvitsevan päivittää erikseen. Mutta silloinkin Appi itse yleensä lakkaa ensin toimimasta, joten päivitytarve on silleen selkeä.

Päivittäminen jonkin ponnatavan ikkunan vuoksi on yleensä huijaus.

 

[kaihakki]

Koitin päästä Nordean nettipankkiin mobiilivarmenteella, mutta en löydä sellaista sivua, jossa se olisi mahdollista.
Vain tämän sivu tulee näkyviin, jossa ei ole mobiilivarmennamahdollisuutta.
Voisiko joku selittää, että miten huijari voisi päästä mobiilivarmenteella minun Nordea nettipankkiin.

 

[tj86430]

Ei kai Nordean nettipankkiin pääse mobiilivarmenteella. Omapostiin pääsee, ja on syytäkin päästä (esim. itselläni vain Nordean Stockmann-Mastercard, ei mitään muita pankkipalveluja. Ei siis nettipankkia eikä mitään, mutta jotenkin pitää pystyä lähettämään esim. asuinpaikkatodistukset sun muut).

 

[-Teme-]

OP tarjosi aiemmin mahdollisuutta käyttää mobiilivarmennetta tunnistautumisen, mutta nykyään poistettu käytöstä.

 

[kotte]

PS nyt on tieto että ainakin Nordealla varmenteella pääset näkemään tilitapahtumat tililtä mihin sinulla ei ole verkkopankkitunnuksia! Huhhuh JÄRKYTTÄVÄÄ.
No, täytyy siis suhtautua noihinkin että ovat julkista tietoa. Mutta olen tyytyväinen kunhan tilejä ei tyhjennetä, tää muu nyt on mitä on

Jos viittaat minun kirjoittamaani, ymmärsit väärin. Eli jos Nordea osoittaa viestin tietylle yksilöidylle henkilölle (henkilö == on tietyn ns. maammekirjan sotuun linkkiytyvä kansalainen), ko. viestin pystyy lukemaan Nordean verkkopankin sisäisestä viestikanavasta myös ilman pankkitunnuksia, jos tunnistautuu ensin vahvalla tunnistusmenetelmällä kuten mobiiliviestillä verkkopankista erilliselle pankin ylläpitämälle viestikanavalle ja lukemaan ja mahdollisesti vastaamaan viestiin siellä. Tuohan vastaa täsmälleen sitä, että menet konttoriin ja asioita, kun olet näyttänyt virallisen henkilötopistuksen tai passin. Ei tuollaiseen viestiin edes lähetetä mitään linkkiä, vaan kehotetaan avaamaan moinen palvelu ao. pankin webbisivulta suunnilleen samoin kuin mennään verkkopankkiin.

Turha edes kuvitella, että pääsisit näkemään mitään tilitietoja edes itseäsi koskien kuin pankkivirkailijan valtuuttamana, jos moiseen on tarvetta ja aihetta. Voit tietenkin pyytää mitä vain, mutta pankki ratkaisee, suostuuko antamaan tietoja, jos on siihen perusteita ja vastaavasti tekemään jotakin tai yhtään mitään pyynnöstäsi.

 

[HiTec]

On se varmana pidetty tunnistusmenetelmä nyt about mikä tahansa, niin noita systeemejä on jo niin tolkuton määrä, jotta jos yhden tavan olet menettänyt jostain syystä rikollisille, niin silloin on koko luottamusketjusi yksinkertaisesti rikki ja he pystyvät tuolla yhdellä kaappaamaan aika monta muutakin tunnistustapaa itselleen = joskos vaikka pankkitunnarit sulta nollattaisiinkin ja saisit pankista itsellesi uudet, niin aina jää ilmaan epäilys joskos nämä velmut olisivat kerinneet jo kaappaamaan itselleen noilla varastetuilla tunnareilla myös esim. mobiilivarmenenteesi, jolla he voivatkin sitten näpsästi palauttaa ne pankkitunnaritkin jälleen itselleen, vaikka tällä kertaa itse et olisikaan ns. munannut noiden tunnareittesi kanssa.

Kaikki nuo tunnistustavat kun muodostavat yhdessä luottamuksen kokonaisuuden ja yhden tavan avulla voit näin melko helposti saada lisää myös noita muita tapoja = jos yhden olet menettänyt, pitäisi olla joku keino nollata koko tuo wanha luottamuksen kokonaisuus osaltasi ja luoda ihan kokonaan uusi, vaan kuis sen teet. No ehkä hetua vaihtamalla tms. mutta tuo onkin sitten jo melko järeä toimi ja siinä menee sitten todellakin ihan kaikki uusiksi.