Skip to main content

Keskustelua verkkopankkien turvallisuudesta.

Siirretty viestit, jotka koskevat verkkopankkien turvallisuutta Uudet laskutustavat aiheuttavat hämmennystä ketjusta omaan ketjuunsa.


@kiisseli67  kirjoitti:


OP mobiiliin kirjautuu kolmessa sekunnissa sormenjäljen avulla. 🤓>


mitä olen kuullut sormenjälkitunnistuksesta, niin sitä ei kannata käyttää mihinkään vakavaan. ehkä puhelimen avaamiseen jos puhelimessa ei hirveän tärkeätä ole. pankkiasioihin en käyttäisi.



@lasselusse  kirjoitti:

mitä olen kuullut sormenjälkitunnistuksesta, niin sitä ei kannata käyttää mihinkään vakavaan. ehkä puhelimen avaamiseen jos puhelimessa ei hirveän tärkeätä ole. pankkiasioihin en käyttäisi.


Sama juttu kasvontunnistuksen kanssa. Aukeaa ns. vakionaamoilla helposti, tästähän oli uutisiakin jokin aika sitten. Mulla on kuitenkin aivan liikaa varoja pankissa noiden takana, joten tuollaiset sormenjälki- ja kasvoleikit on ehdoton ei.



@SINAD  kirjoitti:



@lasselusse  kirjoitti:

mitä olen kuullut sormenjälkitunnistuksesta, niin sitä ei kannata käyttää mihinkään vakavaan. ehkä puhelimen avaamiseen jos puhelimessa ei hirveän tärkeätä ole. pankkiasioihin en käyttäisi.






Sama juttu kasvontunnistuksen kanssa. Aukeaa ns. vakionaamoilla helposti, tästähän oli uutisiakin jokin aika sitten. Mulla on kuitenkin aivan liikaa varoja pankissa noiden takana, joten tuollaiset sormenjälki- ja kasvoleikit on ehdoton ei.






Applen ja Nordean tapauksessa maksujen vahvistaminen edellyttää myös salasanan käyttämistä. Omien tilien välillä rahaa pääsee siirtämään ilman mitään tunnuksia mutta siitäpä ei kukaan ulkopuolinen hyödykään. Joten jos pelkää kasvojentunnistuksen luotettavuutta niin ei huolta. Toisaalta jos puhelimeni katoaa niin etälukitsen / tyhjennän sen muutenkin. Varmaankin Android-laitteessa tämä onnistuu myös.



 



Mikä tuo uutinen muuten oli mistä mainitsit?



@TeroRe  kirjoitti:

@SINAD  kirjoitti:

@lasselusse  kirjoitti:

mitä olen kuullut sormenjälkitunnistuksesta, niin sitä ei kannata käyttää mihinkään vakavaan. ehkä puhelimen avaamiseen jos puhelimessa ei hirveän tärkeätä ole. pankkiasioihin en käyttäisi.


Sama juttu kasvontunnistuksen kanssa. Aukeaa ns. vakionaamoilla helposti, tästähän oli uutisiakin jokin aika sitten. Mulla on kuitenkin aivan liikaa varoja pankissa noiden takana, joten tuollaiset sormenjälki- ja kasvoleikit on ehdoton ei.


Applen ja Nordean tapauksessa maksujen vahvistaminen edellyttää myös salasanan käyttämistä. Omien tilien välillä rahaa pääsee siirtämään ilman mitään tunnuksia mutta siitäpä ei kukaan ulkopuolinen hyödykään. Joten jos pelkää kasvojentunnistuksen luotettavuutta niin ei huolta. Toisaalta jos puhelimeni katoaa niin etälukitsen / tyhjennän sen muutenkin. Varmaankin Android-laitteessa tämä onnistuu myös.

 

 


Sama homma OP mobiilissa ja Androidissa  ja huom! sen sovelluksen saa asennettua vain 2 laitteeseen kerrallaan. Sormenjälki on yksilöllinen ja maksujen vahvistaminen vaatii sen salasanan/pin-koodin. Pankin sovellukset ovat turvallisempia maksaa laskuja kuin tietokoneen selaimella. Tietokoneella maksettaessa täytyy olla varma että olet taatusti pankin sivuilla, etkä huijaussivustolla. Toki esim. Telian turvaselaimella se varmistuu kyllä ja jos kirjanmerkkeihin on tallentanut oikean sivuston.

Mutta kukin taaplaa tyylillään. Pankkien konttoreissa laskun maksut ovat huomattavasti vähentyneet, koska konttorit, palvelut ja aukioloajat ovat supistuneet.



@TeroRe  kirjoitti:

Mikä tuo uutinen muuten oli mistä mainitsit?


minä muistan ainakin yhden jutun kasvojentunnistuksesta, jossa poika pääsi äidin puhelimeen helposti.



@kiisseli67  kirjoitti:

Pankin sovellukset ovat turvallisempia maksaa laskuja kuin tietokoneen selaimella. Tietokoneella maksettaessa täytyy olla varma että olet taatusti pankin sivuilla, etkä huijaussivustolla. Toki esim. Telian turvaselaimella se varmistuu kyllä ja jos kirjanmerkkeihin on tallentanut oikean sivuston.

 


Oleellista on , että kirjautuu oikeille pankin sivuille eikä feikkiin. Tuo kirjanmerkki on siitä tae ja milloinkaan ei pidä kirjautua pankkiin hakukoneen antamien tulosten kautta. Ei ne pankin appit ja Telian turvaslaimet sen turvallisempia ole kuin tietokoneen selainkaan oikein käytettynä. Siis tietokoneellakin pitää käyttää mm. pankkisuojausta ja kaikkia mahdollisia turvaominaisuuksia niin kirjautumisessa kuin yhteyden salauksessa.



@TeroRe  kirjoitti:

Mikä tuo uutinen muuten oli mistä mainitsit?


Juttua esimerkiksi täällä.



@SINAD  kirjoitti:

@TeroRe  kirjoitti:

Mikä tuo uutinen muuten oli mistä mainitsit?


Juttua esimerkiksi täällä.


siis se on huonompi kuin olin olettanut. mä jotenkin oletin että tarvitaan joku kuva tai maski joka jotenkin imitoi kyseistä henkilöä. eli siis jotain vaivaa tarvitaan, nyt kuulostaa että joku amatööri hakkeri pääsee sisään tuosta vain.



@kiisseli67  kirjoitti:


Pankin sovellukset ovat turvallisempia maksaa laskuja kuin tietokoneen selaimella.


Syvässä on joidenin usko. Unohdetaan täysin mm. sellaiset pikku jutut, että käyttäjä ei itse tiedä / voi todellisuudessa vaikuttaa siihen mitä älypuhelin (ja siihen asennetut malwaret joko tehtaan tai käyttäjän toimesta) loppupeleissä tekevät. Esimerkiksi tietoja vuotaa laitteesta ulos 24/7. Kaikki käyttäjän näppäiilyt (kuten verkkopankin samana pysyvä tunnusluku) voidaan napata keyloggerilla. Jos puhelimella ohitetaan perinteinen tunnuslukutaulukko kokonaan ja kakki tunnistautuminen on yhden ainoan, muuttumattoman salasanan takana niin se on oikeastaan aika sama kuin kantaisi tunnuslukutaulukkoa sekä paperille kirjoitettuja tunnuksia lompakossaan. Aivan eri asia kuin ulkoa opelellut kirjautumistiedot sekä kassakaapissa säilytetty tunnuslukutaulukko. Sitten kun puhelin häviää, kadotetaan samalla kaikki em. tiedot ja niiden käytön estäminen jää ainoastaan epävarmojen suojauksien varaan.

 

OP:han varmistaa maksut ja toisinaa kirjautumisenkin lähettämällä tekstiviestin. Joten tunnuslukutaulukon lisäksi tarvitaan myös puhelinta sen verran. Millä todennäköisyydellä hyökkääjällä olisi sekä kassakaapista pöllitty tunnuslukutaulukko SEKÄ puhelin? Sensijaan puhelinsovelluksen tapauksessa tarvitaan vain se puhelin. Sehän voitaisiin esimerkiksi ryöstää - tai huumata käyttäjä - ja pakottaa käyttäjä tekemään siirtoja. Yhdeltä sukulaiselta treffihuijarit pöllivät yli 20000 euroa huumaalalla tämän ja sen mahdollisti nimenomaan älypuhelimessa oleva verkkopankkisovellus, koska ei vaadittu mitään muuta kuin se puhelin. Olivat jotenkin onkineet tietoonsa sen ainokaisen tunnuksen mitä koko touhuun tarvitaan, sen jälkeen kaverilta tolkku pois tyrmäystipoilla ja puhelimen kimppuun.

 

Sovellus olisi järkevämpi jos sillä ei voisi ohittaa tunnuslukutaulukkoa, mutta näinhän nimenomaan ei ole - ainakaan mitä mulle mainostettiin. Lakkasi kiinnostamassa tasan siinä kohtaa kun tajusin että nää hölmöt yrittää saada mut ohittamaan kassakaapissa olevat tunnisteet. Ei jatkoon!

Muutenkin pankkiturvallisuus ja -salaisuus menevät koko ajan huonompaan suuntaan. Nykyään voi esimerkiksi valtuuttaa verkkokaupan maksuja ilman, että niitä tarvitsee joka kerta erikseen hyväksyä yms. Kyse ei siis ole kk-maksuista, vaan ihan tavaran ostosta. Ja kansa on niin sinisilmäistä että hypää ilomielin mukaan, kun se on niin helppoa...

 


@kiisseli67  kirjoitti:


Sama homma OP mobiilissa ja Androidissa  ja huom! sen sovelluksen saa asennettua vain 2 laitteeseen kerrallaan.


Niin, juuri tällaisia rajoituksia ei tarvitsisi pitää, jos sovellus olisi ehdottoman turvallinen. Tuohan on käyttäjän kannalta todella suuri rasite. Eihän tavallista verkkopankkiakaan rajoiteta vain tiettyihin tietokoneisiin - ei tarvitse, koska suojaus on riittävän toimiva.

 


@kiisseli67  kirjoitti:

Tietokoneella maksettaessa täytyy olla varma että olet taatusti pankin sivuilla, etkä huijaussivustolla. Toki esim. Telian turvaselaimella se varmistuu kyllä ja jos kirjanmerkkeihin on tallentanut oikean sivuston.

Miten voi olla väärällä sivustolla jos oikea sivusto on tallennettu esimerkiksi linkkipalkkiin, josta sen saa esiin hetkessä? Lisäksi jokaisella pitäisi olla 'selkäpiissä' tapa tarkistaa aina osoiterivi ennen kirjautumista - tämähän ei koske pelkästään verkkopankkeja, vaan aivan kaikkea.



@lasselusse  kirjoitti:



@SINAD  kirjoitti:



@TeroRe  kirjoitti:





Mikä tuo uutinen muuten oli mistä mainitsit?






Juttua esimerkiksi täällä.






siis se on huonompi kuin olin olettanut. mä jotenkin oletin että tarvitaan joku kuva tai maski joka jotenkin imitoi kyseistä henkilöä. eli siis jotain vaivaa tarvitaan, nyt kuulostaa että joku amatööri hakkeri pääsee sisään tuosta vain.






En ole tietoturvan ammattilainen mutta minä taas koen tuon perusteella - jos tieto pitää paikkaansa - että ihan turvallisesti kasvotunnistusta voi käyttää ja aion myös käyttää jatkossa. Tai sormenjälkitunnistusta. Jos minä unohdan puhelimen puiston penkille niin aika huoleti saan olla jatkossakin, kunhan teen asiaan kuuluvat toimenpiteet mitä puhelimen katoamiseen liittyen pitää tehdä muutoinkin.



 



Aina kun on kyse ATK:sta niin heikoin lenkki on ihminen. Laitteita ja palveluita on kuitenkin pakko ja tarkoitus myös käyttää.


Laitan vain tämän linkin lyhyesti @SINAD tähän :

https://www.op-media.fi/omat-rahat/maksaminen/pankki-ja-lompakko-kannykassa-enta-turvallisuus/ 



@SINAD  kirjoitti:

@kiisseli67  kirjoitti:


Pankin sovellukset ovat turvallisempia maksaa laskuja kuin tietokoneen selaimella.


Syvässä on joidenin usko. Unohdetaan täysin mm. sellaiset pikku jutut, että käyttäjä ei itse tiedä / voi todellisuudessa vaikuttaa siihen mitä älypuhelin (ja siihen asennetut malwaret joko tehtaan tai käyttäjän toimesta) loppupeleissä tekevät. Esimerkiksi tietoja vuotaa laitteesta ulos 24/7. Kaikki käyttäjän näppäiilyt (kuten verkkopankin samana pysyvä tunnusluku) voidaan napata keyloggerilla. Jos puhelimella ohitetaan perinteinen tunnuslukutaulukko kokonaan ja kakki tunnistautuminen on yhden ainoan, muuttumattoman salasanan takana niin se on oikeastaan aika sama kuin kantaisi tunnuslukutaulukkoa sekä paperille kirjoitettuja tunnuksia lompakossaan. Aivan eri asia kuin ulkoa opelellut kirjautumistiedot sekä kassakaapissa säilytetty tunnuslukutaulukko. Sitten kun puhelin häviää, kadotetaan samalla kaikki em. tiedot ja niiden käytön estäminen jää ainoastaan epävarmojen suojauksien varaan.

itsekään en ole niin vakuuttunut älypuhelin appien turvallisuudesta. jos alusta ei ole kunnossa.

 

toinen pointti. suurimmalla osalla on android googlen komponenteilla tai apple ios. app:it suorasti (joskus epäsuorasti) nojaa näihin suljettuihin alustoihin, siis tarvitsee google tilin tai apple id:n. tämä on monopoli valtaa.

 

lyhyt versio android:sta. android voi teknisesti olla open source jos katsoo aosp käyttistä. käytännössä android on bundlattu google suljetuilla osilla ja google ohjaa android:n kehitystä. käytännössä android on suljettu.



@lasselusse  kirjoitti:

lyhyt versio android:sta. android voi teknisesti olla open source jos katsoo aosp käyttistä. käytännössä android on bundlattu google suljetuilla osilla ja google ohjaa android:n kehitystä. käytännössä android on suljettu.


Sepä se. Suljettu alusta = käyttäjä ei voi tietää, mitä laite tekee. Puhelinen tapauksessa vielä kohtuu vaikea selvittääkään, ilman roottausta. Eikä Apple nähtävästi ole yhtään parempi - itsellä kokemusta ainostaan Apple TV:stä, mutta sekin generoi täysin turhaa verkkoliikennettä 24/7, vaikka laite ei ole edes varsinaisesti käytössä. Sama juttu oli AndroidTV:n kanssa. Näistä kumpikin generoi kaikista eniten DNS-liikennettä yli meidän kymmenien laitteiden verkossa, vaikka niitä käytetään kaikista vähiten. Eli ei voi olla oikein. Nyt tosin molemmilla on ns. kill switch asennettuna, eli laitteilta katkaistaan Ethernet kokonaan silloin kun niitä ei käytetä.


Se tietokone tallentaa ne sormenjäljet ja kasvot nollina ja ykkösinä. Jonkun sormenjälki voi olla 0101010100000, jonkun naama voi olla takaperin edellinen. Sormenjäljet ja naama salasanat voi olla helpostikin murrettavissa.

Elokuvassa naama tunnistin ei pitänyt, varas nappasi puhelimen ja näytti sitä sen naamalle jolta otti ja sitten menoksi.

 


Ja kas kummaa, taas tuli todistetta sille mitä aiemmin kirjoitin näistä suljetuista järjestelmistä. Liettua teki hätkähdyttävän löydän Kiinalaisista puhelimista.

 

Lainauksia mm. "Toiminto on kytketty EU:ssa pois päältä, mutta raportin mukaan se voidaan kytkeä päälle etänä koska vain." tai "Xiaomin puhelin myös lähettää salattua puhelimen käyttötietoa palvelimelle Singaporessa. Huawein P40 5G -puhelimesta puolestaan löydettiin tietoturva-aukko, mutta niin ikään kiinalaisen Oppon omistaman OnePlussan puhelimesta sellaisia ei havaittu."

 

Että sellaista.. minuahan tämä ei jaksa edes hämmästyttää enää. Että jatkakaa vaan sitä verkkopankin käyttöä puhelimella - mukamas kaikista turvallisin tapa.. ja kissan viikset!


ilmeisesti se varsinainen lähde:

https://www.reuters.com/business/media-telecom/lithuania-says-throw-away-chinese-phones-due-censorship-concerns-2021-09-21/

 

minusta huonoa uutisointia siis myös reuters lähteeltäkin, tai sitten liettuan puolustus panttaa teknisiä faktoja. tietoturva asioissa asioiden salaaminen melkein aina pahentaa asiaa, ja eikä herätä luottamusta. onko tuo haitallinen koodi käyttiksessä (miui) vai piireissä. voi olla myös ajureissakin (oem partition). todennäköisesti on miui käyttiksessä, jolloin tuon voi välttää. mutta jos olisi piireissä tai niiden ajureissa, niin olisi paha ongelma. tosin silloin melkein kaikki luurit iphone:sta android:hin voivat sisältää ei-toivottua koodia koska ne tehdään kiinassa suurin osin.

 

itse en haluaisi olla kiinaphoobinen jota on ilmassa. oikea lääke tähän olisi läpinäkyvä tuotekehitys sekä softassa ja piireissä. se pitäisi myös länsi-toimijat kurissa.

 

huawei oli jo boikotissa, tosin eri syistä. xiaomi menee kuitenkin boikottiin, tosin tämä on lisä argumentti.



@lasselusse  kirjoitti:

salaaminen melkein aina pahentaa asiaa, ja eikä herätä luottamusta. onko tuo haitallinen koodi käyttiksessä (miui) vai piireissä. voi olla myös ajureissakin (oem partition). todennäköisesti on miui käyttiksessä, jolloin tuon voi välttää. mutta jos olisi piireissä tai niiden ajureissa, niin olisi paha ongelma. tosin silloin melkein kaikki luurit iphone:sta android:hin voivat sisältää ei-toivottua koodia koska ne tehdään kiinassa suurin osin.

Niin.. tämäpä juuri kun ei voi mistään tietää, kun on puhelimesta kyse. Todella vaikea hallita ja roottaamattomana jopa mahdotonta. En ymmärrä miten nykyihmiset suostuvat "laitteen orjiksi" eli hyväksyvät täysin sinisilmäisesti sen, etteivät voi hallita omistamaansa vekotinta ja sitten vielä luotetaan kriittiset raha yms. asiat sen varaan. Koska ei olisi mikään pakko.

 

Toki myös Windows on varsin suljettu järjestelmä PC:ssä, mutta sillä puolella on mahdollista nähdä kaikki tietoliikenne helposti ja valvoa/rajoittaa sitä. Eli jos jokin sovellus tai käyttiksen osa alkaa pitää mystisiä yhteyksiä, siitä jää heti kiinni ja tarvittaessa liikenne, joka ei palvele käyttäjän omia tarpeita voidaan estää. Toki myös puhelimessa onnistuu palomuurin laitto kunhan roottaa ensin laitteen, samalla voi myös poistaa kaiken ylimääräisen bloatwaren. Näin olen itse tehnyt ja puhelimen harjoittama nettiliikenne on tosi vähäistä silloin kun en sitä käytä. Mutta siltikään en uskaltaisi käyttää sitä esim. tunnuslukutaulukon korvikkeena.


nyt tais löytyä se todellinen lähde.

https://www.nksc.lt/naujienos/ka_daro_ismanusis_telefonas_jums_nezinant_triju_ki.html

 

harmi kun liettua ei oikein taivu.



@lasselusse  kirjoitti:

nyt tais löytyä se todellinen lähde.

https://www.nksc.lt/naujienos/ka_daro_ismanusis_telefonas_jums_nezinant_triju_ki.html

 

harmi kun liettua ei oikein taivu.


käytännössä uutinen on jonkun sortin ankka. https://www.xda-developers.com/xiaomi-secret-blacklist-explained/

onkin kyse mainostenestolistasta. liettuan valtio on tutkiessaan ottanut rusinat pullasta ja tehnyt liian pitkälle menneitä tulkintoja.

 

xiaomi:n boikotti jokseenkin osittain jää mutta eri syistä. tämä pistää yleisemmällä tasolla miettimään mitä käyttis tekee taustalla ja siinä kontekstissa siinä on pointtinsa. näitä pitäisi kyseenalaistaa myös muiltakin toimijoilta.


"Miten voi olla väärällä sivulla, jos se on tallennettu linkkipalkkiin."

Muutama aika sitten kun meni oikealla osoitteella Nordean sivuille ja kirjautui verkkopankkiin. Tuli ilmoitus harmaallla hyppy ikkunalla, istuntosi on vanhentunut, hyppyikkunassa oli linkki jatkaa uudelleen. Minnehän oli linkitetty, en koskaan käyttänyt sitä, vaan sammutin sivun ja menin uudelleen, eikä tullut ilmoitusta istunnnon vanhenemisesta. Tämä ilmoitus systeemi oli pari kuukautta, kun oli tunnukset kirjoittanut ja painoi kirjaudu verkkopankkiin .

 


Vastaa