Tietoturva & kyberhyökkäykset

[Arisoft]

Mitähän hyötyä tästäkin systeemistä on kenellekään.

Moni säästää siinä osakekirjan säilytysmaksut, jos eivät pidä sitä piironginlaatikossa. Itse olin onnekas ja hoidin paperit ajoissa rekisteröitäväksi niin siinä ei mennyt montaakaan kuukautta. Paha ruuhka alkoi sitten myöhemmin kun mattimyöhäiset heräsivät asiaan.

Mielestäni tämä on ihan hyvä asia, jos tiedot vain on turvattu kunnolla eikä jonain päivänä tule sellainen ilmoitus, että rekisteri on kadonnut eikä kukaan tiedä mitä kukin omistaa.

Voisihan sitä rahaakin pitää seteleinä ja kolikkoina sen sijaan että ne rekisteröi pankkiin.

 

[kaihakki]

Mielestäni tämä on ihan hyvä asia, jos tiedot vain on turvattu kunnolla eikä jonain päivänä tule sellainen ilmoitus, että rekisteri on kadonnut eikä kukaan tiedä mitä kukin omistaa.

Kannattaa kuitenkin tulostaa paperituloste kaikista tärkeistä omistuksista piirongin laatikkoon.

 

[kotte]

Mitähän hyötyä tästäkin systeemistä on kenellekään. Vuosisatoja ja tuhansia on osakkeita kaupattu ilman mitään ongelmia.

Ongelmia on kuule ollut ihan riittävästi ja etenkin haltijoiden osakekirjojen katoamisen seurauksena. Kiinteistöomistusten puolella todettiin jo kai jo sata vuotta sitten tai aikaisemminkin (en tosiaan tiedä, milloin), että mokomasta ei pitkän päälle synny muuta on kuin selvittämätön sotku eikä kaikkien kiinteistöjen omistusta pysty selvittämäänkään. Isännöitsijänkin hallussa olevat rekisterit ovat lopulta aika haavoittuvia (on esimerkkejä seurakunnista, joiden kirkonkirjat ovat aikoinaan hävinneet tyystin tulipalossa ja toisiin liitettyjä pikkukuntia, joiden kaikki rakennuslupa-arkistot ja vastaavat ovat kadonneet) ja sen ohella aiheuttaa turhia kustannuksia. Käsittääkseni nuo maanmittaushallituksen arkistot ja niiden päivitystiedot on puolestaan kopioitu useampiin ydinpommin kestäviin ja pitkälti salaisiin turvaluolastoihin.

On sitten toinen kysymys, että 1990 aloitetun valtionhallinnon jatkuvan trimmauksen ja lisäsäästöjen seurauksena ei ole viime aikoina ollut riittäviä hallintoresursseja välttämättömien säädettyjen tehtävien suorittamiseen. Näistäkin säätyneet rahat on kohdistettu vaikkapa sote-kuluihin ja vastaaville sektoreille, jotka ovat ylittäneet kansantalouden kestokyvyn (koska tuottavuuskehitys on laahannut pitkään, eikä uusia verotuloja ole syntynyt). Hallinnon säästöt ovat lopulta aika mitättömiä verrattuna juuri vaikkapa sote-sektorin moolokin kitaan, joka imee kaikki liikenevät varat eikä riitäkään (ja tarpeellinen tuo on, mutta kun rahat eivät riitä, niin eivät). Voi olla, että tilanne vain pahenee noiden rekisterien kohdalta.

 

[tet]

Kysymys:
Onko mobiilivarmenne ns pankkiturvallinen, koska sen avulla voi (ainakin Nordeassa) aktivoida pankkitunnkukset, niin jos jotenkin sössii valesivustolle varmennetunnuksensa, niin onko joku porsaanreikä, että rikollinen pääsee olemassaoleviin tileihin käsiksi?

Tähän ei näemmä kukaan ole ottanut vielä kantaa. Kyllä on turvallinen. Mobiilivarmenteessa ei ole mitään varmennetunnusta, vaan se toimii puhelinnumeron avulla. Kun valitsee tunnistuksen mobiilivarmenteella, tulee selaimeen seuraavaksi kenttä johon syötetään oma puhelinnumero. Sen jälkeen ruudulle tulee viisinumeroinen kertakäyttöinen tunniste, ja hetken päästä oman puhelimen ruudulle ilmestyy mobiilivarmenteen ilmoitus jossa on tuo samainen tunniste. Siinä on myös napit tunnistuksen jatkamiseen tai keskeyttämiseen. Jos jatkaa, puhelin kysyy seuraavaksi mobiilivarmenteen pin-koodia (oma erillinen koodi, ei puhelimen pin). Kun sen on syöttänyt, katoaa varmenteen näkymä ruudulta, ja hetken kuluttua selain jatkaa eteenpäin tunnistuksen mentyä läpi.

Mitään muuta tietoa varmenteesta ei syötetä nettiin, kuin puhelinnumero. Jos se menee hakkerille, niin silloin tietysti puhelimeesi voi ilmestyä varmennuspyyntö milloin vain, kun hakkeri yrittää jonnekin sisään. Mutta tiedät hylätä pyynnön, kun et ole itse tunnistusta juuri käyttämässä. Ja jos olet käyttämässä, muistat vain katsoa, että viisinumeroinen kertakäyttöinen tunniste on sama selaimen ja puhelimen ruudulla, niin tiedät että kyse on omasta tunnistuksestasi, ei hakkerin.

 

[fraatti]

Liettuassa ollaan huolissaan tietoturvasta ja sen mahdollisesti aiheuttamista ongelmista aurinkosähkö- ja akkuinverttereille. Ilmeisesti tässä osoitellaan sormella itään.

Lithuania to block Chinese inverters with cybersecurity legislation

Lithuania passed legislation to limit the ability of Chinese inverter manufacturers to remotely access the country’s solar plants.

www.pv-tech.org

 

[Husky]

Tähän ei näemmä kukaan ole ottanut vielä kantaa. Kyllä on turvallinen. Mobiilivarmenteessa ei ole mitään varmennetunnusta, vaan se toimii puhelinnumeron avulla. Kun valitsee tunnistuksen mobiilivarmenteella, tulee selaimeen seuraavaksi kenttä johon syötetään oma puhelinnumero. Sen jälkeen ruudulle tulee viisinumeroinen kertakäyttöinen tunniste, ja hetken päästä oman puhelimen ruudulle ilmestyy mobiilivarmenteen ilmoitus jossa on tuo samainen tunniste. Siinä on myös napit tunnistuksen jatkamiseen tai keskeyttämiseen. Jos jatkaa, puhelin kysyy seuraavaksi mobiilivarmenteen pin-koodia (oma erillinen koodi, ei puhelimen pin). Kun sen on syöttänyt, katoaa varmenteen näkymä ruudulta, ja hetken kuluttua selain jatkaa eteenpäin tunnistuksen mentyä läpi.

Mitään muuta tietoa varmenteesta ei syötetä nettiin, kuin puhelinnumero. Jos se menee hakkerille, niin silloin tietysti puhelimeesi voi ilmestyä varmennuspyyntö milloin vain, kun hakkeri yrittää jonnekin sisään. Mutta tiedät hylätä pyynnön, kun et ole itse tunnistusta juuri käyttämässä. Ja jos olet käyttämässä, muistat vain katsoa, että viisinumeroinen kertakäyttöinen tunniste on sama selaimen ja puhelimen ruudulla, niin tiedät että kyse on omasta tunnistuksestasi, ei hakkerin.

Ok.

Tuo että itse kirjautuu on noin , mutta entä toisinpäin eli onkohan mahdollista, että varmenteen PIN saadaan käsiin, eli lähinnä että puhelin on jotenkin kaapattu jonkin valesivustotyyppisen kuvion kautta? Eli että annatkin PIN:n muualle kuin luulet antavasi tapauksessa, että olet johonkin itse kirjautumassa.

Palstalla yleinen näkemys on ollut, että tietokoneen voi kaapata valesivustolla ja kännykkää ei. Mutta lieneekö absolut totuus?

 

[xismo]

Minä tein isän kuolinpesäsässä vain yhden rekisteröinnin, omasta , siskon ja äidin puolesta yhdella hakemuksella. Ei siinä useampaa tarvittu.
Nyt on sisässä poikapuolen kanssa yhteinen hakemus sijoitusasunnon rekisteröintiin , mennyt jo useita kuukausia.

 

[kaihakki]

Tähän ei näemmä kukaan ole ottanut vielä kantaa. Kyllä on turvallinen. Mobiilivarmenteessa ei ole mitään varmennetunnusta, vaan se toimii puhelinnumeron avulla. Kun valitsee tunnistuksen mobiilivarmenteella, tulee selaimeen seuraavaksi kenttä johon syötetään oma puhelinnumero. Sen jälkeen ruudulle tulee viisinumeroinen kertakäyttöinen tunniste, ja hetken päästä oman puhelimen ruudulle ilmestyy mobiilivarmenteen ilmoitus jossa on tuo samainen tunniste. Siinä on myös napit tunnistuksen jatkamiseen tai keskeyttämiseen. Jos jatkaa, puhelin kysyy seuraavaksi mobiilivarmenteen pin-koodia (oma erillinen koodi, ei puhelimen pin). Kun sen on syöttänyt, katoaa varmenteen näkymä ruudulta, ja hetken kuluttua selain jatkaa eteenpäin tunnistuksen mentyä läpi.

Mitään muuta tietoa varmenteesta ei syötetä nettiin, kuin puhelinnumero. Jos se menee hakkerille, niin silloin tietysti puhelimeesi voi ilmestyä varmennuspyyntö milloin vain, kun hakkeri yrittää jonnekin sisään. Mutta tiedät hylätä pyynnön, kun et ole itse tunnistusta juuri käyttämässä. Ja jos olet käyttämässä, muistat vain katsoa, että viisinumeroinen kertakäyttöinen tunniste on sama selaimen ja puhelimen ruudulla, niin tiedät että kyse on omasta tunnistuksestasi, ei hakkerin.

Äskettäin tuli sama mieleen. Jos saan vaikkapa sinun puhelinnumeron ja menen trafin sivulle ja klikkaan mobiilivarmennetta ja laitan sinun numerosi. Sinulla pärähtää puhelin ja voit epähuomiossa laittaa pin koodisi ja minä ole sinun trafiasioissa. Voisin vaikkapa myydä autosi jollekin.
Mutta onneksi mobiilivarmenteella ei pääse pankkitileille.
Ei taida löytyä mitään täysin varmaa tunnistautumisratkaisua näihin nettipohjaisiin juttuihin.

Toinen, mikä epäilyttää myös on mobilepay. Eilen ostin torilta laitteen ja maksoin mobilepaylla. Myyjä antoi puhelinnumeronsa ja sain hänen täydellisen nimensä samalla. Nyt on nimi ja puhelinnumero tiedossa. Taitava hakkeri pääsee näilläkin jo eteenpäin huijausproseduurissa.
Aiemmin kun tekee torilla kauppaa ja myyjä antaa pankkitilinumeron, jolle maksetaan, ei puhelinnumeroa käytetä. On mielestäni turvallisempi tapa.

 

[tet]

Äskettäin tuli sama mieleen. Jos saan vaikkapa sinun puhelinnumeron ja menen trafin sivulle ja klikkaan mobiilivarmennetta ja laitan sinun numerosi. Sinulla pärähtää puhelin ja voit epähuomiossa laittaa pin koodisi ja minä ole sinun trafiasioissa. Voisin vaikkapa myydä autosi jollekin.

No niin humalassa en ole koskaan, että näppäilisin mobiilivarmenteen promptiin pin-koodin, vaikka en ole itse mihinkään tunnistautumassa.

Toki mobiilivarmenne ei suojaa yhtään sen enempää huijaussivustoilta, kuin muutkaan tunnistusmuodot. Jos käyttäjä ei huomaa syöttävänsä puh.numeroa huijaussivustolle, niin kyllä silläkin voi antaa huijarille identiteettinsä. Siihen puhelimen promptiin kun tulee tosiaan vain se kertakäyttöinen numerokoodi, ei tietoa siitä mihin sillä ollaan kirjautumassa. Huijaussivusto voi väittää sinulle, että olet kirjautumassa esim. Trafiin, kun todellisuudessa "pellin alla" kirjaudutaankin jonnekin aivan muualle.

 

[HiTec]

Ei taida löytyä mitään täysin varmaa tunnistautumisratkaisua näihin nettipohjaisiin juttuihin.

Mitenkäs tuo Hightrust? Sehän toimii näytöllä näkyvällä QR-koodilla, jonka kuvaat kännykälläsi, valitset kännylompakostasi kortin ja näppäilet sen PIN-koodin perään. Myös tuleva EUDI perustuu tuohon samaan, näytöltä kuvataan QR-koodi, josta homma lähtee liikkeelle.

 

[kaihakki]

Hightrust taitaa olla Megical Oy nimisen firman kehittämä. Näyttäisi olevan kolmen henkilön kokoinen firma.

Megical - yritystiedot, päättäjät, taloustiedot | Finder

Finder kertoo Megical yrityksestä kaiken olennaisen. Tutki yritystietoja, taloustietoja, päättäjätietoja ja tulosta.

www.finder.fi

Aika kapeat on hartiat kansallisen tietoturvan hoitoon.

 

[VesA]

Näitä lompakoita piisaa. Suomessa tämä on kolmas julkiseen hallintoon liittyvä, ja ensimmäinen joka pääsee tuotantoon. Hommaa sotkee ennenkaikkea eri ministeriöiden välinen politikointi.

 

[kotte]

onkohan mahdollista, että varmenteen PIN saadaan käsiin, eli lähinnä että puhelin on jotenkin kaapattu jonkin valesivustotyyppisen kuvion kautta? Eli että annatkin PIN:n muualle kuin luulet antavasi tapauksessa, että olet johonkin itse kirjautumassa.

Kertoohan tuo kenelle on todistamassa, että tietyn hetun mukainen henkilö on pyytänyt mainitulta taholta varmistamaan henkilöllisyytensä (so. että tämän tietyn hetun omistaja tosiaankin linkkautuu johonkin toisella vahvalla tunnistautumismenetelmällä varmistettuun henkilöllisyyteen). PIN-koodi käsittääkseni vain avaa puhelimen SIM-kortille talletetun paljon vahvemman tunnistesertikaatin, joten perinteistä SIMmiä käytettäessä pitäisi ko. SIM myös varastaa fyysisesti. Verkko-SIM on toinen juttu, eli jos tuota ei voi kaapata verkon kautta, niin ei turva liene siitä heikkene?

Mitenkäs tuo Hightrust? Sehän toimii näytöllä näkyvällä QR-koodilla, jonka kuvaat kännykälläsi, valitset kännylompakostasi kortin ja näppäilet sen PIN-koodin perään.

Kertakäyttöinen tuo käsittääkseni on(!) ja transaktiokohtainen (kuten Nordean koodikin, joka vielä vilistää koko ajan silmissä). Lisäksi tunnistus vaatii kuittauksen QR-koodin syöttäminsen jälkeen joko biometrisella laitteen tunnistimella vielä erikseen (itse luotan sormenjälkeen enemmän kuin kasvokuvaan, ehkä tyhmästi, kun en tunne kasvontunnistuksen sofistikoituneesastetta, eli katsooko tosiaan naamaa kolmiulotteisesti ja seuraa kasvojen liikkeen luonnonmukaisuutta silmänräpäyksineen niin kuin pitäisi), jotta luottamussuhde saadaan luoduksi toiseenkin suuntaan (laitteen hallussapidon ohella toiseksi yksilöintivälineeksi). Vaihtoehtona käsittäkseni on virallisen henkilökortin aktivointivoinnin kaltaisen allekirjoitus-PINin syöttäminen, jollaisen asettamista vaaditaan aktivoinnin yhteydessä (en ole kokeillut tätä jälkimmäistä vaihtoehtoa esim. verottajan sivulle mennessä suomi.fi:n kautta).

 

[Husky]

Kertoohan tuo kenelle on todistamassa, että tietyn hetun mukainen henkilö on pyytänyt mainitulta taholta varmistamaan henkilöllisyytensä (so. että tämän tietyn hetun omistaja tosiaankin linkkautuu johonkin toisella vahvalla tunnistautumismenetelmällä varmistettuun henkilöllisyyteen). PIN-koodi käsittääkseni vain avaa puhelimen SIM-kortille talletetun paljon vahvemman tunnistesertikaatin, joten perinteistä SIMmiä käytettäessä pitäisi ko. SIM myös varastaa fyysisesti. Verkko-SIM on toinen juttu, eli jos tuota ei voi kaapata verkon kautta, niin ei turva liene siitä heikkene?

Totta.
Ja tuo alkukysymykseeni johtanut asiakin oli spekulattivinen ongelma, kun huomasin Nordean ohjeissa, että voi varmanteella jotakin tehdä verkkopankissa, mutta mahtaako tileille päästä. Että voi olla vaikka uuden tilin avaus vain mikä ei ole ongelma ja jos jonkin luottokorttitilin saisi hankittua kaappaamalla toisen varmenteen, niin tuho olisi varsin rajoitettu.

Ja ennekuin joku jo kuittaa, että älkää nyt ihmetelkö, niin mielestäni hyvä näistä silti on keskustella, kun tuossa keväällä tuli havahduttua että niiden perusasioiden hanskaaminen mitä ainoastaan mediassa toitotetaan, ei todellakaan estä kosahdusta.

 

[kotte]

TV1:n MOT tänään sisälsi montakin mielenkiintoista yksityiskohtaa esillä olevaan asiaan liittyen: Asiantuntijat ihmettelivät, miksei suomalaisissa verkkopankeissa ole yleensä mahdollisuutta kategorisoida transaktioita niin, että vaaralliset operaatiot vaatisivat useamman vahvistuksen ja ehkä vielä niin, että välissä olisi aikaviivettä. Ilmeisesti Euroopassa (muualla kuin Suomessa, jo Ruotsissakin) tuollaisia mahdollisuuksia olisi. Nordea ilmeisesti on jo jotakin tuohon suuntaan on ollutkin tekemässä, koska ulkomainen paine taitaa alkaa painaa ja itsepäinenkin tajuaa, että tässähän on kyse pankkien kilpailutekijästä. Suomalaiset jääräpääpankit tuskin ovat aloitteellisia aiheessa, kun minimoivat riskinsä ja vaivansa näin ja finanssiyhdistyksen tietoturvajohtajakin vain horisee, että useimmat ihmiset (muka) arvostavat nopeita tilisiirtoja ym. kärjistettyjä yleistyksiä sotkemalla aivan erilaiset tarpeet yhdeksi sekasotkuksi. Täälläkin palstalla keskustelu mielestäni todistaa, että moinen liika asioiden yksinkertaistaminen vain johtaa allikkoon.

 

[VesA]

seimmat ihmiset (muka) arvostavat nopeita tilisiirtoja

Todella nopeat tilisiirrot ovat pankkimaailman vastaus myyntihuijauksiin - niiden avulla voit vaikka mydä auton tilisiirrolla ja luovuttaa sen vasta kun rahat näkyvät omalla tilillä - eikä tartte pakkasessa palella.

 

[kotte]

Todella nopeat tilisiirrot ovat pankkimaailman vastaus myyntihuijauksiin - niiden avulla voit vaikka mydä auton tilisiirrolla ja luovuttaa sen vasta kun rahat näkyvät omalla tilillä - eikä tartte pakkasessa palella.

Toimiihan tuo fyysisten esineiden kaupassa ja tilanteissa, joissa omistus perustuu johonkin sähköiseen rekisteriin. Ongelma onkin siinä, että pankit eivät tarkkaan ottaen noudata kauppalainsäädännön ja hyvän sopimuskäytännön henkeä, kun hoitavat asioita toisen puolesta. Eli pankit itse asiassa menevät huijaukseen, josta työntävät vastuun asiakkaalle, kun myöntävät lainoja vaatimatta allekirjoitusta riittävän selvästi kirjoitettuun lainakirjaan, kun kuitenkin merkkaavat noita kansalaisen vastuulle. Toisaalta rahansiirroista ja sovittujen järjestelyiden muutoksista ilmoitetaan luvattoman epäselvästi ja ylimalkaisesti laadituilla dokumenteilla, jollainen ei muodoltaan kelpaisi juuri minkäänlaisen oikeustoimen yksilöimiseen. Verrattuna esimerkiksi verkkokauppoilta laissa vaadittavaan pankkien toiminta on sopimusmielessä järjestään ala-arvoista eikä päivittäistä nappikauppaa mitenkään erotella vaikkapa itsensä myymisestä käytännössä orjan asemaan sähköisessä asioinnissa.

 

[HiTec]

Asiantuntijat ihmettelivät, miksei suomalaisissa verkkopankeissa ole yleensä mahdollisuutta kategorisoida transaktioita niin, että vaaralliset operaatiot vaatisivat useamman vahvistuksen ja ehkä vielä niin, että välissä olisi aikaviivettä.

Eikös noissa joissain kaappauksissa se huijari napannut itselleen uhrinsa nettipankin, jolloin noi kaikki useammat lisävahvistukset yms. menisi sille samaiselle apille, joka on jo sen huijarin hallussa. Eli tuo useampi vahvistuskin toimisi vain jos se käyttäisi useampaa eri mediaa. Ekan tason vahvistus sellaisille ns. normaaleille siirroille apilla juu, mutta sitten isommat summat ja ulkomaan siirrot appi + sms niin tuossa on silloin jo kaksi eri mediaa, jotka molemmat pitäisi olla sen huijarin hallussa. Tai vaikka nykyaikana laitetaan se AI puhesyntikka soittamaan asiakkaalle ja kertomaan ihan suomeksi mitä hän on nyt (mukamas) tekemässä ja pyydetän tälle toimelle tosiaan se varmistus.

Toki asiakkaalle annetaan se mahdollisuus ihan itse myös asettaa kyseiset rajat, milloin riittää tavallinen ja milloin vaaditaan lisävahvistuksia, mutta tuonkin asetuksen muuttaminen täytyy sitten olla sen lisävahvistuksen takana, sillä muutoinhan se huijari käy ensitöikseen sillä apilla poistamassa nuo rajat ja taas on taivas auki vapaille pankkisiirroille.

 

[Arisoft]

Eikös noissa joissain kaappauksissa se huijari napannut itselleen uhrinsa nettipankin, jolloin noi kaikki useammat lisävahvistukset yms. menisi sille samaiselle apille, joka on jo sen huijarin hallussa.

Näitä juuri on tapahtunut, että uhri on halunnut antaa koko pankkiyhteytensä hyökkääjälle, joka saa sen jälkeen touhuta täysin vapaasti. Eli ainakin tuon pankkiyhteyden siirto toiseen laitteeseen on tällainen toiminto, joka selvästi on "liian helppo". Suhteellisen turvallinen keino olisi sellainen, jossa asiakkaan pitäisi mennä sinne pankin konttoriin suorittamaan tämä siirto. Näinhän tapahtuu kun asiakas esim. unohtaa PIN-koodinsa. Konttorille on mentävä asiaa hoitamaan. Siirto on haluttu helpoksi koska pankit haluavat että asiakas käyttää mobiilisovellusta salasanalistojen sijaan.

 

[tj86430]

Eikös noissa joissain kaappauksissa se huijari napannut itselleen uhrinsa nettipankin, jolloin noi kaikki useammat lisävahvistukset yms. menisi sille samaiselle apille, joka on jo sen huijarin hallussa.

SMS menee puhelimelle. Toki jos huijari on vienyt puhelimen ja sen mukana sen sovelluksen ja saanut pääsyn kaikkeen, niin sitten ei auta. Eikä tietysti myöskään jos asiakkaan yhteyspuhelinnumero on vaihdettu toiseksi.

 

[HiTec]

Suhteellisen turvallinen keino olisi sellainen, jossa asiakkaan pitäisi mennä sinne pankin konttoriin suorittamaan tämä siirto. Näinhän tapahtuu kun asiakas esim. unohtaa PIN-koodinsa. Konttorille on mentävä asiaa hoitamaan.

No ei ainakaan Nordealla tartte. Jos muistat asiakanumerosi ja sulla on tietoihisi syötettyinä puh.nro lisäksi myös email, niin sinnehän ne tupsahtaa väliaikaiset tunnarit joilla saat sen Nordean tunnistustyökalun jälleen takaisin käyttöösi esim. uuteen puhelimeen jos wanha phone on vaikkapa tuhoutunut käyttökelvottomaksi. Jos sulla ei tuota email ole siellä syötettynä, niin sitten tuo tieto tulee etanapostilla + se sms.

Tietty tuossa on sauma että kaveri nyysii sun puhelimen ja saa sen auki. Sulla on sinne tallennettuna tietty pääsy sun sähköpostiin ja tokihan myös kaikki sms tulee siihen phoneen että napsahtaa => puhelinvarkaalla on siis varsin aidosti mahis kaapata myös sun Nordea tilisikin

 

[Arisoft]

No ei ainakaan Nordealla tartte.

Tarkoitin PIN-koodilla pankkikortin PIN-koodia. Jäi vain tarkentamatta. Sitä ei etänä saa avattua vaan on mentävä konttorille. Puhelimissa on SIMmissä PUK-koodi, jolla sen voi avata etänä. Pankkikortissa ei ole edes sellaista.

Olen mielestäni törmännyt muutaman kerrran sellaiseenkin tapaukseen että, kun pankin asiakas on nettipankkinsa sössinyt lukkoon niin sekin on tarvinnut käydä konttorilla avaamassa.

Kaipa näissä on se takana, että pankki haluaa vain varmistua siitä, että tunnukset ja käyttöoikeudet luovutetaan oikealle henkilölle heidän puoleltaan, mutta mitä asiakas sitten oikeuksillaan tekee jää asiakkaan vastuulle. Siitähän tuossa uutisessakin oli kerrottu. Jos on Nordea-ID:llä hyväksytty niin se on silloin vahvasti tunnistettu pankin kannalta.

 

[kotte]

Eikös noissa joissain kaappauksissa se huijari napannut itselleen uhrinsa nettipankin, jolloin noi kaikki useammat lisävahvistukset yms. menisi sille samaiselle apille, joka on jo sen huijarin hallussa.

Nimenomaan. Ja ongelmahan on, että pankille voi antaa "valtakirjan" siirtää omaisuutensa hallinnan tuntemattomalle huijarille tuosta noin vaan vips. Vertaapa tuota vaikka prosessiin, joka vaaditaan vaikkapa edunvalvontapäätöksen tekemiseen täysin omia asioitaan hoitamaan kykenemättömäksi tulleen dementikon asioiden hoitamiseksi ja miten moista sen jälkeen valvotaan yhteiskunnan toimesta.

 

[HiTec]

Vertaapa tuota vaikka prosessiin, joka vaaditaan vaikkapa edunvalvontapäätöksen tekemiseen täysin omia asioitaan hoitamaan kykenemättömäksi tulleen dementikon asioiden hoitamiseksi ja miten moista sen jälkeen valvotaan yhteiskunnan toimesta.

No juu, ei tuo nyt kyllä ihan niin helposti tapahdu kuin se bittien siirto pankin tietojärjestelmissä, mutta ei tuo EVM nyt mikään kummoinen prosessi loppuen lopuksi ole sekään, aikalailla rutiini hommia käräjäoikeudessa. Toki jos päämiehellä on jo EVV tehtynä, niin sittenhän se ei ole kuin DVV:n myöntämä vahvistus asialle ja se siitä.

Ja sama koskee myös vuositiliä. Toki onhan siinä aina oma vaivansa tehdä se, mutta melkolailla samalla rutiinilla se menee DVV:ssä jos ei nyt jotain ihan poikkeuksellista siitä silmille pomppaa. Toki asiamiehellä jos on jo edellisten vuosien vuositilit jemmassa, niin homma helpottuu hänenkin osaltaan sen kun päivittää noihin pdf-lappuihin uudet kurantit numerot, allekirjoittaa tuon pdf:n omalla HST-kortillaan, liittää tuoreet tiliotteet mukaan ja paiskaa turvapostilla holhoustoimeen. Done!

 

[haraldh]

Tuo SMS:n ja puheluiden kaappaaminen on yllättävän helppoa. Näin tuosta videon jossain. Perustui jotenkin roamingiin ja yhteistyöhön minkä tahansa maan mobiilioperaattorin työntekijään (näitä saa rahalla), hyökkääjä pyytää roamingia numerolle ja naps tulee tekstarit ja puhelut hänelle suoraan. Uhri ei tiedä mitään tästä, ja muutaman minuutin jälkeen voi ohjata numeron takaisin uhrille.

edit: löytyi

SIM-kortin salauspiirin kaappaaminen on paljon vaikeampaa. Mobiilivarmenne perustuu siihen että SIM-kortissa olevaa salausavainta ja sen PIN-koodia käyttämällä voi todistaa että SIM-kortti on hallussaan ja SIM-kortin omistajan nimi sekä h-tunnus on operaattorin tiedossa. Sitä salausavainta ei saa SIM-kortista ulos, SIM-kortissa on pieni "tietokone" joka suorittaa nämä salausoperaatiot kortin sisällä.

 

[kaihakki]

Justiinsa tulee telkkarista MOT, jossa käydään läpi huijauskeisejä. Tksi pariskunta menetti 45.000 euroa. Oli huijattu omakantasivustolle ja niin tyhjeni tili. Mies sanoi, että ei hänelle voinut tulla mieleenkään, että on kyse pankkihuijauksesta. Hänhän oli kirjautumassa omakantaan.

Nyt valkeni!!! Tässä on asian ydin. Eihän tavallinen satunnainen suomalainen voi tajuta, että tili tyhjenee, kun kirjautuu omakantaan tai moniin muihin palvelusivustoihin.

Elisaltahan voisi tulla soitto, jossa heleä-ääninen nuori empaattisen oloinen nainen opastaisi päivittämään liittymätiedot ja taas tyhjenisi tilit.
Asiaa ymmärtämätön menisi helposti vipuun.

Virkavallan pitäisi jollain tavalla selittää kansalle nämä huijausmekanismit, jotta väki ymmärtäisi varoa.

 

[haraldh]

Kyllähän näitä voi selittää, mutta ei niitä voi muiden puolesta ymmärtää.

 

[tj86430]

Ja olisiko selittämistä parempi pyrkiä aktiivisisesti pääsemään eroon pankkitunnuksista tunnistautumisvälineenä viranomaispalveluihin.

 

[HiTec]

Virkavallan pitäisi jollain tavalla selittää kansalle nämä huijausmekanismit, jotta väki ymmärtäisi varoa.

Kansalla pitäisi olla jotkin muut sähköisen tunnistautumisen välineet kuin vain pankkitunnukset! Noista pankkitunnareista on tullu niin defacto, että se mahdollistaa juurikin suurimman osan näistä huijauksista Omakannan, Kelan, Tarficomin... nimissä. Jos porukalla olisi tapana käyttää niitä pankkitunnareitaan vain ja ainoastaan kun nimenomaisesti pankkiin ollaan asioimassa ja kaikkialle muualle käytettäisiin vaikka sitten sitä mobiilitunnistautumista, niin jo pelkästään tuolla käyttötavalla leikkautuisi iso osa näistä huijauksista pois - ainakin vähäksi aikaa kunnes ne rotat keksii taas jonkin ihan uuden tavan jymäyttää tietämätöntä.

 

[Husky]

TV1:n MOT tänään sisälsi montakin mielenkiintoista yksityiskohtaa esillä olevaan asiaan liittyen: Asiantuntijat ihmettelivät, miksei suomalaisissa verkkopankeissa ole yleensä mahdollisuutta kategorisoida transaktioita niin, että vaaralliset operaatiot vaatisivat useamman vahvistuksen ja ehkä vielä niin, että välissä olisi aikaviivettä. Ilmeisesti Euroopassa (muualla kuin Suomessa, jo Ruotsissakin) tuollaisia mahdollisuuksia olisi. Nordea ilmeisesti on jo jotakin tuohon suuntaan on ollutkin tekemässä, koska ulkomainen paine taitaa alkaa painaa ja itsepäinenkin tajuaa, että tässähän on kyse pankkien kilpailutekijästä. Suomalaiset jääräpääpankit tuskin ovat aloitteellisia aiheessa, kun minimoivat riskinsä ja vaivansa näin ja finanssiyhdistyksen tietoturvajohtajakin vain horisee, että useimmat ihmiset (muka) arvostavat nopeita tilisiirtoja ym. kärjistettyjä yleistyksiä sotkemalla aivan erilaiset tarpeet yhdeksi sekasotkuksi. Täälläkin palstalla keskustelu mielestäni todistaa, että moinen liika asioiden yksinkertaistaminen vain johtaa allikkoon.

Juu, helvetin hienoa, että säästötilillä on lojumassa eläkesäästöt, joita ei tarvita 10vuoteen ellei joku vesivahinko iske. Ja pankin mielestä ne pitää olla millisekunnissa siirrettävissä. Eikä saa laittaa viivettä eikä ulkomaillesiirtoestoa "kun moni suomalainen kuules siirtrlee rahojaan niin ei sitä tietenkään voi estää" sanoi se yksi s@@t@n@n rettalerikollinen MOT:ssa!!!

Aiai kun menee hermo. Olen tästä reklamoinut Nordealle. Täytyykin lähettää tiedot sinne että edellytän A ja B ja pitäkää huoli että toteutuu. Jos jotakin kosahtaa, niin voi vedota tuohon sopimusrikkona. Kyllä molemmat osapuolet saavat esittää vaateita sopimukseen!

Todella nopeat tilisiirrot ovat pankkimaailman vastaus myyntihuijauksiin - niiden avulla voit vaikka mydä auton tilisiirrolla ja luovuttaa sen vasta kun rahat näkyvät omalla tilillä - eikä tartte pakkasessa palella.

Ai vai nopeata? Siirräppä vaikka autokaupassa toisen tilille joka eri pankissa, niin voi kestää pari päivää. Miten voi 2024 olla noin hidasta ja sitten se ääliö puhuu MOT:ssa että asiakkaat arvostavat nopeutta!°!!!

 

[kotte]

ei tuo EVM nyt mikään kummoinen prosessi loppuen lopuksi ole sekään, aikalailla rutiini hommia käräjäoikeudessa.

Käräjäoikeus ei vaan toimi tyhjiössä, vaan edellyttää mm. että asiaa valmisteleva viranonomainen (DVV:stä?) on kysynyt kaikkein lähimpien perheenjäsenten suostumuksen, kirjannut puoltavat lääkärinlausunnot jne. Vaikka homma on rutiiniomainen, varsin tarkkaan asiat käydään lävitse ennen kuin toisen omaisuuteen liittyvät asiat uskotaan nimetyn edunvalvojan vastuulle.

 

[kotte]

Juu, helvetin hienoa, että säästötilillä on lojumassa eläkesäästöt, joita ei tarvita 10vuoteen ellei joku vesivahinko iske. Ja pankin mielestä ne pitää olla millisekunnissa siirrettävissä. Eikä saa laittaa viivettä eikä ulkomaillesiirtoestoa "kun moni suomalainen kuules siirtrlee rahojaan niin ei sitä tietenkään voi estää" sanoi se yksi s@@t@n@n rettalerikollinen MOT:ssa!!!

Osut naulan kantaan! Ei olisi lainkaan helpon rahaliikenteen vastaista lisätä maksatuksiin ominaisuus, että tällaiset helpot ulkomaansiirrot pitäisi erikseen käyttöön, jos niin haluaa eikä noiden tarvitisisi olla oletusarvoisesti päällä ja vielä niin ei ole mitään mahdollisuuksia rajoittaa. Onhan siirroille erilaisia kattoja mahdollista määrittää, mutta mitä hyötyä noistakin on, jos tilien hallinnan voi noin vain luovuttaa yhdellä epäonnisella ja puolihuolimattomalla transaktiolla eteenpäin, jolloin toinen voi muuttaa rajoja siltä istumalta miten lystää ilman, että omistajalle edes välitetään tietoa tapahtuneesta (puhumattakaan, että kysyttäisiin vielä toistamiseen, halutaanko moista, jos asiassa on vähänkään epäilyttävää).

Mielestäni pankkien ylimielinen asenne kuvastui oikein selvästi entiseksi poliisiksi TV1-MOT-ohjelmassa kuvatun ja haastatellun Finanssialan varautumisen ja rikostorjunnan johtajan puheissa, kun hyvinkin monimutkainen asiakokonaisuus muka asiakkaiden toivomuksesta halutaan hoitaa niin, että pankki selviää käytännössä minimaalisella järjestelmätyöllä ja kaikki vastuu virheistä sälytetään asiakkaalle. Vaikkapa loma-asunnon ostaminen ulkomailta ei ole hyvä perustelu löysälle toiminnalle (joka muuten altistaa pankinkin syyllistymään rahanpesuhuijauksiin, jos tuollaisen pitäisi onnistua noin vain ilman tarkempaa kontrollia ja jäljitettävyyttä) eikä asiansa ja korttinsa tms. ulkomailla sotkeneen ja korttinsa kadottaneen henkilöiden "pelastaminen" yleensä edellytä kaikkien pankkiasioiden automaattista avaamista ja välittämistä etänä hoidettavaksi, vaan riittäisi, että toimitetaan uusi luottokortti riittävällä luottorajalla ja rajoitetuilla käteisnosto-oikeuksilla matkan kerrotun luonteen ja keston huomioon ottaen. Pankit eivät ole hoitaneet proseduureja lainkaan niin kuin asiaa koskevan lainsäädännön henki ja käytännöt ovat jopa vuosisatojen aikana muovautuneet, kun kyse on vakavasta asiasta (kuten luoton nostamisesta) tai raha-asioidensa hoidon delegoimisesta jolle kulle ulkopuoliselle.

 

[Husky]

Tuossa katselin wlaneja mitä näkyy koneella ja siellä useampikin naapurin wlan saattaa olla aukinaisena, vai voiko tulkita siitä, että näyttää tuon suojausavaimen, kun klikkaa näytä?

 

[kotte]

Tuossa katselin wlaneja mitä näkyy koneella ja siellä useampikin naapurin wlan saattaa olla aukinaisena, vai voiko tulkita siitä, että näyttää tuon suojausavaimen, kun klikkaa näytä?

Ei aukinaisissa verkoissa mitään suojausavaimia ole (hotelleissa tunnukset oli joskus järjestetty niin, että yhteyden reititys eteenpäin vaatii tunnuksen ja salasanan, vaikka WLAN onkin avoin). Kuvittelisin, että tuo vain näyttää ko. SSID:lle määritellyn avaimen (siis jollainen olisi määritely asiakaslaitteelle tavalla tai toiselle). En tosin ole törmännyt moiseen tapaan kertoa asiasta (vai oletko mustannut joitakin tietoja näkyvistä?).

 

[Husky]

En ole mustannut kuvasta mitään. Yläpuolelta vain olen leikannut rivin, jossa luki wlanin yksilöllinen nimi eli naapurin etunimi.

Kun vastaavasta suojausavainkohdasta avasin oman yhteyteni avaimin, niin se ulkomuistista kyllä näyttää siltä, joka pitää ekalla kertaa antaa ja sen jälkeen yhdistää sitten nettiin automatic sen kautta.

Tietsikkassani on win11 jos tuo näkymä on erikoinen.

Kysymys siis on, että jos syöttäisin ko avaimen niin voisinko käyttää naapurin yhetyttä? Ei ole tarvetta moiselle kylläkään mutta olisi hyvä ymmärtää nämä it asiat paremmin

 

[fraatti]

Kysymys siis on, että jos syöttäisin ko avaimen niin voisinko käyttää naapurin yhetyttä? Ei ole tarvetta moiselle kylläkään mutta olisi hyvä ymmärtää nämä it asiat paremmin

Tietysti. Naapurin sähköpostiakin voisi käyttää, jos se antaisi sulle sen salasanan.

 

[Husky]

Nii i.
No kertooko tämä jotakin siitä kuinka retuperällä on IT hemmojen operointi, kun ei tehdä laitteita ja softia kunnolla eikä mietitä minkälaisilla defaultasetuksilla jaetaan tavaraa taviksille?
Kaksi kolmesta naapurin wlanista näytti tuon avaimen.
Onko verrattavissa siihen, että toimitetaan auto, jossa ei jarrut toimi ellei käy alustassa piilossa olevaa venttiiliä kääntämässä?

 

[puuteknikko]

Wifit ei kyllä huutele mitään kirjautumisen salasanoja ulospäin, se nyt olisi ihan järjetöntä. Tuo toiminto näyttää yhteyteen liittyvän, koneellesi tallennetun wifi-salasanan.

Jos wifi on avoin niin siinä ei ole mitään salasanaa vaan kirjautuminen onnistuu suoraan. Jos wifi ei ole avoin vaan esim. WPA/WPA2/WPA3-suojattu, tulee salasanakysely tai sitten kirjautuminen tapahtuu automaattisesti jos koneellesi on tallennettu (oikea) salasana.

 

[Husky]

Wifit ei kyllä huutele mitään kirjautumisen salasanoja ulospäin, se nyt olisi ihan järjetöntä. Tuo toiminto näyttää yhteyteen liittyvän, koneellesi tallennetun wifi-salasanan.

Jos wifi on avoin niin siinä ei ole mitään salasanaa vaan kirjautuminen onnistuu suoraan. Jos wifi ei ole avoin vaan esim. WPA/WPA2/WPA3-suojattu, tulee salasanakysely tai sitten kirjautuminen tapahtuu automaattisesti jos koneellesi on tallennettu (oikea) salasana.

Noin ajattelinkin, että järjetöntä olisi että näkyisi salasanatyyppinen.

Mutta mikä tässä siis on takana: kun asetuksista otan hallitse tunnettuja wifi-verkkoja, niin siellä on naapureiden wifiä (eivät missän nimessä ole mitään omiani) ja kun klikkaa tuota suojausavainta, niin siellä on osassa naapureiden wifejä salasanatyyppistä kirjaimistoa. Ja oman wifini kohdassa samassa kohdassa on mielestäni (ulkomuistista) se avain joka tosiaan ekalla kertaa pitää laittaa kun kytkeytyy.

Ehkäpä tuo suojausavain ei kuitenkaan nyt ole se miksi sitä luulen? Termi "suojausavain" kyllä viittaisi juuri siihen. No täytyy kohta kaivaa esiin onko se tuo ekan kirjautumisen juttu noissa omissa wifeissä

 

[Harrastelija]

Oletko koskaan liittynyt/kirjautunut naapurin wifi verkkoon?
Tai yrittänyt?
Jos se on kysynyt salasanaa ja sellaisen olet naputellut niin se on talletettu sinun koneelle. Varsinkin jos vielä valitset ”kytkeydy automaattisesti”.