No jos vielä puhumme pankkipalveluista, niin niissä varmaan hyvä muistisääntö on, että aidot ilmoitukset pankilta tulevat joko kirjepostina, tai sitten sinne verkko/mobiilipankin viesteihin. Ja hyvissä ajoin ennen muutosta, ainakin useita kuukausia ennen. Ei koskaan niin, että jos et nyt heti tee tätä niin menetät pankkipalvelut iäksi.
Tietoturva & kyberhyökkäykset
- Keskustelun aloittaja fraatti
- Aloitettu
No jos vielä puhumme pankkipalveluista, niin niissä varmaan hyvä muistisääntö on, että aidot ilmoitukset pankilta tulevat joko kirjepostina, tai sitten sinne verkko/mobiilipankin viesteihin. Ja hyvissä ajoin ennen muutosta, ainakin useita kuukausia ennen. Ei koskaan niin, että jos et nyt heti tee tätä niin menetät pankkipalvelut iäksi.
Ei se täsmälleen noin mene.
0. Käyttäjä etsii Googlesta haluamansa palvelun linkkiä ja menee ensimmäiseen tarjottuun
1. Käynnistää kirjautumisen antamalla puhelinnumeronsa sitä kysyttäessä
2. kun puhelimeen tulee mobiilivarmenteen hyväksymispyyntö, hyväksyy sen koska on pannut sen alulle ja tarkastuskoodi täsmää
Suurin virhe tapahtuu kohdassa 0 kun käyttäjä menee palveluun tietämättä sen oikeaa osoitetta.
Loppu on sitten tämän virheen seurausta.
Mediassa muistutetaan että pitää tarkastaa se koodi, mutta ei se tässä auta.
Uskon että hyvin pian aletaan tehdä (tai luultavasti on jo nytkin tekeillä) huijauksia hankkimalla eläkeläisten yhteystietoja, ja kylmästi soitetaan esittäen pankkia tai poliisia.
Varmasti paljon helpommin sortuu elävän ihmisen pyytämään tunnistautumispyyntöön kuin klikkaa tekstiviestilinkkiä.
Varmasti paljon helpommin sortuu elävän ihmisen pyytämään tunnistautumispyyntöön kuin klikkaa tekstiviestilinkkiä.
Ei sillä tileihin päässe, mutta varmaan jotain pikavippejä tms pystyy ottamaan.
Vielä enemmän mediassa korostetaan ja on pitempään korostettu, että kun otat yhteyden johonkin webbi-sivuun, kirjoita itse koko osoite (ellet vielä mieluummin ole tallentanut sitä aikaisemman vierailusi yhteydessä) ja tarkasta, että selain näyttää kyseessä olevan sertifioidun osoitteen, äläkä missään tapauksessa klickaa hakukoneen esille tuomia linkkejä tms. tarkastamatta huolellisesti, mikä on osoitepolun täsmällinen sisältö, jos kuitenkin käytät hakukonetta. Jokainen periaatteessa ymmärtää, että tämä vastaa vain sitä, ettei rupea liiketoimiin kadulla vastaan tulevan tuntemattoman henkilön kanssa tiedostamatta mahdollisia riskejä ja etenkin ulkomailla miettii myös riskejä, joita liittyy asioimiseen epämääräisissä asiointipisteissä.
Husky
Hyperaktiivi
Tästä kerran keskusteltiin ja todettiin ettei mene noin.
Kun kirjoitat sen alun omin kätösin niin blim samantien sinne tulee se upgoyf85fo5f6pf85oyfoyfo5foy loppuhäntä josta ei millään voi tarkistaa yhtään mitään.
No miten tämä asia nyt tällä kertaa nähdään?
Siis mitä ihmettä nyt taas. Ei sinne mitään häntiä tule, jos et ole aiemmin käynyt sellaisessa osoitteessa jossa nuo hännät on. Ja jos tulee, niin sitten poistat ne sieltä ennen kuin painat sitä enteriä.
Mobiilivarmenteen käytöstä pitää olla soppari, ei ole mikään avoin api jota vain otetaan käyttöön randomisti kalasteluun
Lienee tarkoittaa että urliin tulee random osoite sen domain osuuden jälkeen.
Sehän ei kuitenkaan ole se niinkään ongelmallinen vaan ne palvelua muistuttavat domain osoitteet
Joku kyseisen sopparin tehnyt taho myöntelee mobiilivarmenteen perusteella lainoja. Se tässä on jäänyt kokonaan selvittämättä, kuka?
esim
Itse olen tunnistautunut autoraihoitukseen mobiilivarmenteella.
Tais olla kans työsopparin sähköinen allekirjoitus tuolla
Firman verkkoon etä autentikointi mobiilivarmenteella
Eli kunhan kysyn sinulta puhelinnumeron ja pyydän sinua sen jälkeen hyväksymään mobiilivarmenteen tunnistenumerolla X niin saan haettua esim. autorahoituksen nimiisi. Muitako tietoja ei tarvita?
Tietty siitä tulee vielä se soppari nähtäväksi ja se hyväksytetään erikseen.
Ihan vastaavasti pankkitunnuksilla asia hoituu
Tokihan sen sopparin saan itselleni. Mutta sinulle voin kertoa että tunnistautuminen epäonnistui, yritä myöhemmin uudelleen.
Pankkitunnuksilla hoituu samalla tavalla. Pieni ero voi olla joillakin pankeilla siinä, että kun vahvistat todennuksen, niin sinulle näytetään omassa puhelimessasi, minne olet itseäsi vahvistamassa. Ymmärsin että mobiiliavaimessa tunnistaudutaan täysin sokkona. Onko näin?
Mukamas kunnialliset toimijat, kuten pankit, edellleen vahvistavat omilla touhuillaan kelmien toimintamahdollisuuksia. Mulla on Danske Bankilta joskus ammoisina aikoina tullut luottokortti. Nyt tuli paperikirje, jossa pyydettiin vahvistamaan/päivittämään henkilötiedot.
Ja mitä siinä paprussa olikaan? QR-koodi. Kuvaa tämä ja anna pankkitunnuksesi… Herran tähden nyt. Kuka tahansa vo ilähetellä kirjeitä, joissa on pankin logo ja ohjata QR-koodilla mihin sattuu antamaan pankkitunnuksia. Täytynee yrittää tehdä joku security-incidentti sinnekin, että heräisivät 2000-luvulle.
Ja mitä siinä paprussa olikaan? QR-koodi. Kuvaa tämä ja anna pankkitunnuksesi… Herran tähden nyt. Kuka tahansa vo ilähetellä kirjeitä, joissa on pankin logo ja ohjata QR-koodilla mihin sattuu antamaan pankkitunnuksia. Täytynee yrittää tehdä joku security-incidentti sinnekin, että heräisivät 2000-luvulle.
Ei tarvita. Tosin siinä kohtaa on jo käyttäjä täysi idiootti, jos menee varmentamaan omalla tunnuksellaan jotain sen perusteella että joku soittaa. Sulaa hulluuttahan se olisi. Miksi ikäänkuin vetäisit allekirjoituksen ilmaan, että käyttäkää kuka tahansa tästä ja tehkää minuna mitä tahansa. Varmentamisen pitää liittyä tietysti omiin tekemisiin, ei mitään kenellekään muulle anneta, sehän on avoin valtakirja touhuta mitä vaan.
Eiköhän se noin mene. Ennen vanhaan ennen mobiilivarmenteen aikaa tuo sama olisi mennyt niin, että olisit raahannut minut pankkiin, ja pyytänyt näyttämään passini/henkilökorttini pankkitädille, joka sen autolainan sinulle myöntää. Arvaa olisinko tullut kanssasi pankkin, ja näyttänyt sen passin? Arvaa hyväksyisinkö mobiilivarmenteen, jos pyytäisit?
Ihmisten pitää ymmärtää, että mobiilivarmenne on virallinen henkilöllisyystodistus.
HiTec
Eipä turhia höttyillä :)
No siinä välitetään se kyselyn ID, muutaman kirjaimen tunnus, jonka pitäisi sitten käyttäjälle linkittää se näytöllä näkyvä ja juuri se nimenomainen kysely kännykässäsi toisiinsa.
- Sinut harhautetaan jollain keinolla sivulle X, jolle tunnistaudutaan mobiilivarmenteella
- Syötät sinne puh.numerosi, saadaksesi sen tunnistuspyynnön kännyysi
- Taustalla hämärähemmot ottaa tuon numerosi, syöttää sen esim. sinne lainahakemuksen varmennukseen ja saa sieltä tuon ID:n, jonka sitten he voivatkin näpsästi näyttää sulle tuolla huijaus-sivustollaan. Tuon aikaa kun he tuon tunnistuksen tekevät ja sen ID:n sieltä kaivavat, sulle näytetään jotain "odota hetki" tms. spinneriä
- Chekkaat että huijaussivuston antama ID ja kännysi näyttämä ID täsmäävät, jolloin syötät sen PIN-tunnuksesi sille ja ajattelet että homma selvä, onhan kaikki näyttänyt toimivan kuten kuuluukin
- Todellisuudessa tuo PIN olikin siis sen huijareiden tekemän lainahakemuksen tunnistuksen ID ja näin huijarit saivat sen hakemuksensa sinuna läpi
- Lopuksi sinulle näytetään jotain "jokin meni nyt pieleen" tms. tyyppinen ilmoitus
Eikä ole merkitystä käytitkö mobiili- vaiko pankkitunnareita, homma menee ihan 1:1 tasan samalla systeemillä. Joku Nordean käyttämä jatkuvasti vaihtuva QR-koodi voikin olla sitten jo hiukan kinkkisempi rasti näille huijareille, ihan niin nopsaan hekään tod.näk. ei pysty niitä aidon kyselyn QR-koodeja tuolle huijaussivulleen näyttämään mitä tahtia se aito sivu niitä vaihtelee ja uskoisin että tuossakin Nordea tarttee N kpl niitä onnistuneesti vaihtuneita QR-koodeja putkeen, ennen kuin varsinaisesti hyväksyy sen tunnistautumiseksi.
Kuten kesteluissa todettu, se ihminen joka tekee tunnistamisen on se heikoin lenkki koko ketjussa.
Vastaavalla tavalla toimi S-pankin tunnistautuminen.
@HiTec Ensimmäisellä tunnistautumiskierroksella saa tarjouksen ja tarvitaan toinen tunnistautuminen jotta hyväksyy sen lainan.
Eikä niitä paperisena lähetetä vaan ovat siellä sähköisessä arkistossa tallessa tai hyväksymisen yhteydessä ladattavissa PDF muodossa
Näyttää tunnistamisessa sen kenen tunnistuspalvelua ollaan käyttämässä
Vastaavalla tavalla toimi S-pankin tunnistautuminen.
@HiTec Ensimmäisellä tunnistautumiskierroksella saa tarjouksen ja tarvitaan toinen tunnistautuminen jotta hyväksyy sen lainan.
Eikä niitä paperisena lähetetä vaan ovat siellä sähköisessä arkistossa tallessa tai hyväksymisen yhteydessä ladattavissa PDF muodossa
Minä en kylläkään vastaisi mihinkään mobiilivarmennuspyyntöön, jonka joku toinen on tehnyt ja sinulle tulee vain PIN-koodikysely. Mobiilivarmennetta on tarkoitus käyttää niin, että otat itse yhteyden tunnistupalveluun ja sen perään tulee tunnistuspyyntö (linkitettynä siihen, mitä ensimmäinen palvelu näytti) ja sitten kirjoitat itse puhelinnumerosi siihen kenttään, jonka varmennuspalvelu näyttää ja pyytää täyttämään.
Joo, kyllähän ainakin Telia näyttää mistä tunnistautumispyyntö tulee.
Se mikä tietysti haittaa, on että viranomaiset käyttävät Suomi.fi -palvelua ja monet yritykset esim. Signicatia, ja pyynnössä näkyy tuo palvelu, eikä se lopullinen kohde. Tätä kannattaisi varmaan kehittää niin, että siinä pyynnössä olisi esim. "Suomi.fi / Fingrid Datahub" jne.
Se mikä tietysti haittaa, on että viranomaiset käyttävät Suomi.fi -palvelua ja monet yritykset esim. Signicatia, ja pyynnössä näkyy tuo palvelu, eikä se lopullinen kohde. Tätä kannattaisi varmaan kehittää niin, että siinä pyynnössä olisi esim. "Suomi.fi / Fingrid Datahub" jne.
Kiva homma, mutta kuinka moni 70+ vastaisi?
Tässähän ilmeisesti tuli jo selvitetyksi, että ainakin osassa huijauksia käyttäjä on saatu harhautettua huijaussivustolle, ja luulee olevansa tunnistautumassa oikealle sivustolle. Eli ihan sama mekanismi kuin joissain pankkitunnushuijauksissa. Siinä mielessä mobiilivarmenne ei ole huonompi eikä parempi kuin keskiverto pankkitunnus. Toki mobiilivarmenteeseen saa lisäsuojaksi ylimääräisen tunnuksen joka pitää syöttää puhelinnumeron lisäksi ennen kuin tunnistautuminen käynnistyy, mutta sama huijausmekanismi toimii edelleen, vaatii vain hieman enemmän vaivaa.
Ajatus, että voisit antaa jollekulle puhelinnumerosi ja vain vahvistaisit tulevan tunnistuspyynnön, rikkoo mobiilivarmenteen protokollan täydellisesti. Silloinhan suoraan luovutat avoimen valtakirjan toiselle osapuolelle.
Mediassa pitäisi jankuttaen valistaa, että älä syyllisty moiseen älyttömyyteen, joka on käytännössä melkein varma merkki huijausyrityksestä.
Esimerkin tilanne on rinnastettavissa kaikkiin sen variaatioihin. Puhelimessa tulevan pyynnön sijaan se voidaan näyttää vaikka https://viekkaus.fi sivustolla. Kyseisen sivuston ylläpitäjä näköjään on unohtanut rekisteröidä sertifikaattinsa oikein. Hyvin tuota palvelua kuvaava domain se silti on.
Kun menet tunnistautumaan mobiilivarmenteella aidolle sivulle, teet juuri noin: valitset tunnistustavaksi mobiilivarmenteen, syötät puhelinnumerosi ja hyväksyt tunnistuspyynnön. Näin mobiilivarmenne toimii. Kysehän on siitä, että pitää osata erottaa oletko tekemisissä aidon sivuston vai huijaussivuston kanssa, mutta itse prosessihan on sama
Näin on, mutta puhelinnumeron antaminen jollekulle toiselle mobiilivarmennusta varten niin, että joku toinen sitten lähetyttää omasta tietoverkkoistunnostaan sinulle vahvistuspyynnön antaa tälle toiselle osapuolelle avoimen valtakirjan toimia sinuna aivan missä tahansa asiassa, johon mobiilivarmennus antaa periaatteellisen mahdollisuuden.
Älä ikinä anna toiselle aloitetta moisen vaarallisen tietoverkkoistunnon käyttöön niin, että toinen sen aloittaa ja itse sen perään vahvistat, vaikka kuinka joku toinen yrittää sinut siihen puijata.
Kun menet pankin sijasta vahingossa vedonlyöntitoimistoon, seurauksetkin voivat yllättää. Valitettavasti webbimaailmassa kaikki voi olla varsin pienistä detaljeista kiinni ja monesti arkipäiväiseen tapahtumaan ei kiinnitetä riittävää huolellisuutta ja keskittymistä.
HiTec
Eipä turhia höttyillä :)
Aijai, kuinkakohan moni tuota käyttää ihan tietoisestikin, esim. wanha äiti hyväksyy tyttärensä tekemän mobiili-tunnisteen, jotta tämä tytär pääsee hoitamaan niitä äitinsä asioita ko. palvelussa sähköisesti
Siis yksiselitteisen laitontahan tuo toki on ja siksi pitäisikin Suomi.fi valtuuksia mainostaa huomattavasti enemmän. Tuolla se äiti voi antaa tälle tyttärelleen asiointivaltuudet ko. asiointipalveluun ja näin se tytär pääsee hoitamaan niitä äitinsä asioita sähköisesti ihan vain omilla tunnareillaan, jolloin ei myöskään lakia rikota lainkaan, eikä tartte alkaa mitään edunvalvonta taikka edunvalvontavaltuutuksenkaan kuvioita virittelemään. Samaisella Suomi.fi valtuuksilla voi wanha äiti antaa samaiset valtuudet vaikka kaikille lapsilleen, tai vaikka puolisot voivat ristiinvaltuuttaa toinen toisensa, tai...
Yksi monipuolisimmista vaihtoehdoista on joskos vaikka jollain on oma y-tunnus, vaikka sitten tmi. Näin vaikka koko suku voi antaa asiointivaltuudet tuolle tmi:lle, jonka yrittäjä voi sitten antaa edustusvaltuuksia eteenpäin ja näin nämä edustusvaltuutetut pääsevät hoitamaan näiden asiointivaltuudet tmi:lle antaneiden asioita. Ja jos noita haluaa jotenkin rajoittaa ettei kaikki pääse hoitamaan kaikkien asioita, niin ei ne valtuudet voi antaa valtuusasioittain ja vielä valtuusasiassakin voi käyttää tarkennetta, jolla sen käyttö rajoitetaan juuri jonkun tietyn hlö asioiden hoitamiseen. Toki jos tämä yrittäjä on kovin höveli tai muuten vain löytyy vahvaa luottoa johonkin, voi hän antaa myös edustajan valtuutusoikeuksia joillekin, jotka pääsevät näin antamaan noita em. edustusvaltuuksia edelleen joillekin tämän yrittäjän itsensä puolesta. Tällä mekanismilla toimii esim. tilitoimistot, joille heidän asiakkaansa ovat antaneet asiointivaltuuksia ja tilitoimisto on puolestaan antanut edustusvaltuuksia työntekijöilleen useimmiten vieläpä rajoittaen ne tiettyihin asiakkuuksiin.
Husky
Hyperaktiivi
1-2v sitten, kun jotakin vaimon asiaa hoidin kotoa vaimon ollessa töissä tuli hylky. Ajateltiin että olisi tunnistus että luuri eri paikassa kuin kirjautuminen.
Mutta tänä vuonna ei ollut ronkeli ja vastaava onnistui.
Mahtaisiko olla laitonta sopia toisen kanssa moinen käyttö?
Tulee mieleen, että vanhuksen pankkitunnistautumiseksi kelpaa se, että samassa puhelussa on toinen, joka tunnistautuu ja sanoo, että "on se se". Ja sitten tehdään rahasiirtoja...
Hempuli
Töllintunaaja
Meillä on kokemusta, miten wanhan äidin asioita hoidetaan pankin, kelan, yms. kanssa laillisesti vs. maan tapa, jossa jälkipolvi kirjautuu palveluihin wanhuksen omilla tunnuksilla. En voi suositella laillista toimintaa oman mielenrauhan säilyttämiseksi.Aijai, kuinkakohan moni tuota käyttää ihan tietoisestikin, esim. wanha äiti hyväksyy tyttärensä tekemän mobiili-tunnisteen, jotta tämä tytär pääsee hoitamaan niitä äitinsä asioita ko. palvelussa sähköisesti
Esim. pankin vaatima osoitetietojen päivitysvaade asiakkaan tuntemiseksi ei onnistunut valtuutettuna ja osa raha-asioista jäi holdiin, kunnes sai kuukauden päähän varattua konttorista ajan, jonne tuli 300 km ajoa wanhuksen seuraksi ilmoittamaan osoitteen olevan saman. Wanhuksen tunnuksilla olisi homman tehnyt netissä.
HiTec
Eipä turhia höttyillä :)
No juu, pankkien kanssa asiointi on kyllä kovin usein sitä kuuluisaa pilkun...
Lehdessä oli tänään ihan toisenlainen kuva
Tuossa Elisan mobiilivarmenne näyttää lähettäjäksi Telian vaikka tunnistaudutaan selvästi Suomi.fi sivustolle. Onko Telian liittymään tehty varmenne tehty paremmin? Vai mistä on kyse? Jos kuittaa OK niin tuleeko vasta sitten PIN kysely ja tieto minne tunnistaudutaan?
Onhan tuolla Suomi.fi
Mobiilivarmanne on Telian tuote jota Elisa ja DNA käyttää myös
Joo on sielä huijarin sivulla, tai ehkä se ei ole huijari mutta voisi siis olla.
Huijari näyttää että olet mukamas kirjautumassa suomi.fi palveluun mutta oikeasti oletkin kirjautumassa sinne viekkaus.fi palveluun.
Näyttääkö jonkun operaattorin mobiilivarmennus sen, minne olet oikeasti varmentautumassa näppäillessäsi sen PIN koodin?