Jos minä menen huijaus sivustolle, joka on pankin näköinen. Menen sisään tunnusluku laitteella. Se sivu kysyy numerot ja yksi on sign-näppäimellä, kun maksu pitää hyväksyä, sivunhan pitää näyttää koodi joka syötetään tunnusluku laitteeseen ja se antaa varsinaisen numeron, jolla maksu vasta hyväksytään. Miten huijaussivu pystyy antamaan tämän koodin.

Samahan se on sillä tunnunnumero paperillakin, sivusto antaa kirjaimen jonka kohdasta löytyy numerot, joilla saa maksut hyväksyttyä.

Jospa niissä huijauksissa on mukana pankin väkeä. Jos menee esim. Omakantaan, sinnehän mennään tunnusluku laitteen ID-painikkeellla, eikä millään rahan nosto nappulalla. Miten sieltäkin kautta voi tili tyhjentyä, niinkuin eräs sanoi käyneen.

Minulla on mobiilivarmenne käytössä. Se on helppo ja nopea enkä luopuisi siitä millään.

Tätä periaatetta olen noudattanut, eli mobiilivarmennetta käytän kaikkeen muuhun vahvaan tunnistautumiseen ja verkkopankkitunnuksia ainoastaan pankkiasiointiin. Joihinkin pankkipalveluihinkin pääsee mobiilivarmenteella, mutta ei kaikkiin. Suomessa käytetään paljon turhaan pankkitunnuksia eri verkkopalveluihin kirjautumiseen ja tunnistautumiseen. Telian puhelinliittymässäni mobiilivarmenne on ilmainen, mutta maksaisin siitä lisäpalveluna sen pari euroa, mitä muut operaattorit veloittavat.

On kyllä sen verran kätevä, että käytän aina kun mahdollista kun ei tarvitse erillisiä sovelluksia availla itse. Kyllä sillä mobiilivarmenteellakin saa tehtyä vaikka mitä pikavippisopimuksia yms, ettei senkään kanssa kannata alkaa uskomaan yhteenkään roskapostiin.

Mies välissä hyökkäyksellä.

Eli otat yhteyden huijaussivustolle. Huijaussivusto ottaa yhteyden pankkiin ja välittää kirjautumissivun sinulle. Luulet kirjautuvasi pankkiin, mutta huijaussivusto seuraa koko ajan ”vieressä” ja muuttaa sinun ja pankin välisiä viestejä.

Tunnuslukulaite tekee tästä toki hieman hankalampaa kuin muista kirjautumistavoista. Huijaussivustoilta onkin usein jätetty pois osa kirjautumisvaihtoehdoista, jotta huijarin olisi helpompi toimia.

Kannattaa siis painaa mieleen, mitä kirjautumisvaihtoehtoja aito sivusto käyttää. Näin huijaussivusto paljastuu helposti. Esimerkiksi, jos Kelaan kirjauduttaessa varmennekortti ja mobiilivarmenne puuttuvat listalta, olet huijaussivustolla.

Mobiilivarmenteella ei kai pääse pankkiin, MUTTA sen huolimattomaan käyttöön liittyy riski. Korjatkaa, jos olen väärässä. Esimerkkitilanne:

1. Henkilö A (liittymä 040xxxxxx1) on asentanut omalle puhelimelle mobiilivarmenteen X
2. Henkilö B (liittymä 040yyyyyy3) on asentanut omalle puhelimelle mobiilivarmenteen Y
3. A on kirjautumassa esim. Kanta.fi palveluun
4. A syöttää puhelinnumeron kohdalle vahingossa väärin B:n numeron
5. Tällöin B saa vahvistuspyynnön ja syöttää siihen huolimattomasti oman varmenteen Y itse valitun vahvistuskoodin.

Tämän jälkeen A:n selaimeen avautuu Kanta.fi sivu ja siellä näkyykin B:n datat.

Olenko oikeassa vai väärässä? Siis, vaikka pankkiin ei pääsekään, niin onnistuu kurkkimaan toisen henkilön tietoja mobiilivarmennetta tukevissa palveluissa (Kanta, Vero, Trafi, Suomi.fi, MML jne). Jos vahvistuspyyntöjen tullessa ei ole tarkkana.

Omat riskinsä mobiilivarmennekin tarjoaa, jos huolimattomasti käyttää. Vai mitä?

Vaatii useiden epäonnisten sattumien ja huolimattomuuksien ketjun. Erityisesti henkilö B jos syöttää varmenteen, vaikka ei ole kirjautumassa mihinkään, ja ehtii tehdä sen ennen aikakatkaisua. Teoriassa tuo on kuitenkin mahdollista. Huolimattomuudessa on riskinsä.

Mobiilivarmenteessa onkin vahinkojen tai häirinnän estämiseksi häirinnänestokoodi. Tällöin pitää puhelinnumeron lisäksi olla siihen liitetty häirinnänestokoodi syötetty oikein, jotta tunnistuspyyntö lähtee eteenpäin.

Häirinnänestokoodi kannattaakin ottaa käyttöön, jos jostain syystä ei jo ole.

https://www.telia.fi/asiakastuki/palvelut/mobiilivarmenne#hairinnanestokoodi

Häirinnänestokoodi on valitsemasi salasana, joka syötetään puhelinnumeron lisäksi tunnistuksen yhteydessä. Kun häirinnänestokoodi on käytössä, puhelimeesi ei voi lähettää tunnistuspyyntöä ilman koodia, joten et saa aiheettomia tunnistuspyyntöjä. Koodi auttaa myös varmistamaan, ettet vahingossakaan valtuuta ulkopuolisia kirjautumaan palveluihin henkilöllisyydelläsi.

Häirinnänestokoodin käyttöönotto ja hallinnointi onnistuvat helposti tekstiviestein, jotka lähetetään numeroon 15011:

Ota häirinnänesto ensimmäistä kertaa käyttöön lähettämällä viesti ESTO valitsemasi koodi (esim. ESTO veturi1). Koodi voi olla enintään 10 merkkiä pitkä, eikä se saa sisältää ääkkösiä.

Kyllä, näin voi tapahtua. Käytännössä A:n ja B:n tulisi lisäksi tunnistautua mobiilivarmenteella samanaikaisesti. Mikäli B ei ole tunnistautumassa minnekään, hän todennäköisimmin hylkää odottamatta saapuneen vahvistuspyynnön.

Raportoidusti samankaltainen tilanne on tapahtunutkin Nordean tunnuslukusovelluksessa. Kaksi asiakasta yritti kirjautua verkkopankkiin samanaikaisesti ja toinen näppäili asiakasnumeronsa väärin. Näin väärän numeron oikea käyttäjä tuli vahingossa vahvistaneeksi väärän käyttäjän kirjautumisen verkkopankkiinsa.

Uutinen hymyilytti aikoinaan minua kovasti. Nordea on markkinoinut tunnuslukusovellustaan asiakkailleen kyllästymiseen saakka. Ja sitten paljastuikin, että heidän sovelluksensa turvallisuus on jopa tunnuslukulistaa huonompi.

Tämän jälkeen Nordea paransi sovelluksensa turvallisuutta. Mikäli kirjautumisen tekee päivitetyssä sovelluksessa asiakasnumeron sijaan 2D-viivakoodilla, näppäilyvirheen mahdollisuus eliminoituu.

─═─

Jos samanaikaisten kirjautumisten sekaantuminen mobiilivarmenteella huolettaa, kannattaa ottaa häirinnänestokoodi käyttöön. Mutkikkaasta termistään huolimatta kyse on yksinkertaisesti salasanasta.

Häirinnänestokoodia käytettäessä esittämäsi sekaannus olisi mahdollinen ainoastaan siinä harvinaisessa tapauksessa, että sekä A että B käyttävät mobiilivarmenteissaan samaa häirinnänestokoodia.

Onko muilla kadonnut se varmennekoodi tunnistautuessa? Ennen muistelisin, että ilmoitti alkuun sen koodin, jota piti vertailla palvelun antamaan. Nyt menee suoraan tunnusluvun kyselyyn. Itse toki pidän tästä, joten en ole jaksanut asiaa tarkemmin miettiä, mutta nyt kun oli muutakin häiriöitä niin tuli taas mieleen kysäistä. Ajattelin sen olevan vain palvelun parantamista asikkaiden toiveesta, mutta jos ei näin ole niin sitten pitää varmaan nollata puhelin.

Kyllä minulla tulee tunnistuspyynnössä ensin numero, eli tuo vertaaminen palvelussa olevaan tapahtumatunnisteeseen, joka on hyväksyttävä ennen jatkamista tunnusluvun syöttämiseen.