Aihe: Mobiilivarmenne

Tätä olen kanssa ihmetellyt...

Jos pankin feikkisivulla rosvolle erehtyy antamaan pankkitunnuksensa ja salasanansa, niin huijatun täytyy käsittääkseni tehdä vielä lopullinen virhe hyväksymällä omassa puhelimessaan vahvistus.
Jossain menee mulla yli ymmärryksen, kuinka tuo voi toimia.

No jos feikki sivuille syöttelet, niin ei kai sieltä mobiilivarmennepyyn töjä tule. Ainakaan toistaiseksi.

Jos pankin feikkisivulla rosvolle erehtyy antamaan pankkitunnuksensa ja salasanansa, niin huijatun täytyy käsittääkseni tehdä vielä lopullinen virhe hyväksymällä omassa puhelimessaan vahvistus.

Kirjaudut sisään sinne feikkisivulle ja näin kaveri saa ne sun tunnarit, joilla hän itse kirjautuu samanaikaisesti pankkiin. Eli kun olet antanut sen tunnuksen, kaveri näpyttelee sen oikean pankin sivulle ja kun sieltä tulee se pyyntö tunnuksella YXZK, niin hän syöttää sen tuolle fakesivulle, jolla kysytään sitä tunnistautumista tuolta uhrilta ja hänhän sen näpyttelee koska YXZK vastaa siihen kännyyn tulevaa tunnusta. Ja näin rosvo on pankissa sisällä sinuna.

No pankeissahan on aina myös ne mahikset vaihtaa se tunnistatumisväline toiseen esim. kännyn vaihtuessa. No rosvo menee tuonne jo valmiiksi kyttäämään, mutta ei vielä suorita hommaa loppuun, vaan odottelee että uhri pääsee tuonne feikkisuvulle syöttämään sen pienen maksun tms. jota sivustolla alunperinkin pyydettiin (tai what ever tekosyy tuohon 2. vaihvistukseen nyt ikinä esitetäänkään), mutta oikeassa pankissa jossa tuo rosvo on jo sisällä, tuo vahvistaakin sen tunnistuslaitteen vaihdon ja Vot! Nyt rosvolla on täysin vapaat kädet toimia 100% sinuna, tunnistautumisineen kaikkineen, koska hänella on sekä käyttäjätunnus, että tunnistuslaite hallussaan.

Ja kyllä, kaikki tämä voidaan myös robotisoida s.e. tuolla ei todellisuudessa kukaan henkilö mitään kyttää, vaan se on ohjelmistorobotti, joka näin keräilee uhreilta noita tunnistusvälineitä, jotta kun rosvo taas palaa ns. sorvin ääreen, hän käy putsaamassa uhrien tilit ja siirtelee fyrkat ns. parempaan talteen.

Tästä syystä aina kun vain on mahdollista, käytä jotain muuta kuin pankkitunnareita, ellet sitten nimenomaisesti ole juuri pankkiasioita hoitamassa ja silloinkin ole tarkkana että tosiaan olet siellä oikeasti pankkisi sivuila etkä jossain muualla joka vain näyttää samalta. Nordeallakin on se QR-tunnistautuminen, jota on jo huomattavasti vaikeampi kenenkään feikata, se YXZK kun vaihtuu siinä QR:ssä useita kertoja sekunnissa. Tässä käsittääkseni tuo kännykän kamera lukee niitä useamman QR:n putkeen ja juttelee niistä Nordean palvelimen kanssa ennen kuin lopulta kysyy sulta sitä tunnusta, jolloin tuo QR-näyttökin jähmettyy. Tuo QR siis korvaa sen sun itse näpyttelemäsi käyttäjätunnuksen = sen ryöstäminen tuolla QR:llä on jo varsin hankalaa.

Tätä olen kanssa ihmetellyt...

Jos pankin feikkisivulla rosvolle erehtyy antamaan pankkitunnuksensa ja salasanansa, niin huijatun täytyy käsittääkseni tehdä vielä lopullinen virhe hyväksymällä omassa puhelimessaan vahvistus.
Jossain menee mulla yli ymmärryksen, kuinka tuo voi toimia.

No siis sehän voisi mennä esim. suunnilleen tällä tavalla:

• huijari tekee täsmälleen oikean näköisen huijaussivuston, joka taustalla käyttää sitä oikeaa verkkopankkia. Annat kirjautumistiedot huijaussivustolle,joka samalla millisekunnilla kirjautuu niillä tiedoilla oikeaan
• Annat kirjautumistiedot huijaussivustolle,joka samalla sekunnilla kirjautuu niillä tiedoilla oikeaan verkkopankkiisi
• Hyvin tehty huijaussivusto lukee verkkopankista tulleen sivun vastauksen, poimii sieltä tilisaldot ym. tiedot ja rakentaa niistä huijaussivustolle täsmälleen oikeat tilisaldosi. Et huomaa mitään, jos et alkujaan huomannut että selaimen osoitekentässä on esim. yhden merkin verran väärä osoite
• Syötät huijaussivustolle laskun tiedot (no, kuka näin oikeasti tekee, kun kaikk menee nykyään e-laskuna). Huijaussivusto syöttää samat tiedot verkkopankkiisi, mutta vaihtaa saajan tilinumeron ja mahdollisesti summan
• Verkkopankki lähettää puhelimeesi hyväksymispyynnön. Vaihdettua tilinumeroa tuskin huomaat. Jos summa on muutettu, se saatat hoksata
• Jos et hoksaa kumpaakaan, olet tullut hyväkyneeksi tilisiirron huijarin tilille

Kirjaudut sisään sinne feikkisivulle ja näin kaveri saa ne sun tunnarit, joilla hän itse kirjautuu samanaikaisesti pankkiin. Eli kun olet antanut sen tunnuksen, kaveri näpyttelee sen oikean pankin sivulle ja kun sieltä tulee se pyyntö tunnuksella YXZK, niin hän syöttää sen tuolle fakesivulle, jolla kysytään sitä tunnistautumista tuolta uhrilta ja hänhän sen näpyttelee koska YXZK vastaa siihen kännyyn tulevaa tunnusta. Ja näin rosvo on pankissa sisällä sinuna.

Tämä tuntuu tällä hetkellä toimivalta...

Elikä samanaikaisuus on se hämäävä tekijä. Tulevaisuudessa tekniikka tietty kehittyy ja kai nyt jo se samanaikaisuus on automatisoitu.

Tarvitseeko se mobiilivarmenne operaattorilta ottaa? Ainakin meillä se kuuluu pankin (op) tiliin. Hyvä ominaisuus, mutta varmasti se tunnuslukulista on turvallisempi, jos on hieman jo ajatus hidastunut. Kun erilaisia pin-lukuja on liikaa kertynyt, niin tulee ehkä sekaannusta.

Tarvitseeko se mobiilivarmenne operaattorilta ottaa? Ainakin meillä se kuuluu pankin (op) tiliin. Hyvä ominaisuus, mutta varmasti se tunnuslukulista on turvallisempi, jos on hieman jo ajatus hidastunut. Kun erilaisia pin-lukuja on liikaa kertynyt, niin tulee ehkä sekaannusta.

Tarkoitatko nyt varmasti mobiilivarmenetta.. .?

Verkkopankkitunnuks en toki saa pankilta, jota kännykässä yleisesti käytetään.

Pidän itseäni kohtuullisen skarppina tämmöisissä asioissa, vaikken mikään varsinainen tietoturva-asiantuntija olekaan. Pärjään kuitenkin töissä vaativissa asiantuntijatehtävi ssä, joten ehkä tuo päänuppi vielä toimii. Edellisen viestin kirjoitusvirheet ja sekoilut johtuu toivoakseni kuumeesta, ei muusta

Vaikka olen tarkka ja varovainen, en tohdi ajatella, etten ikinä missään tilanteessa voisi vipuun mennä. Taitava huijaus ja sopiva kiireinen hetki niin siinähän se sitten on. En voi ajatella "ei koske minua, koska olen fiksu ja varovainen".

Olen varautunut huijatuksi tulemiseen seuraavasti:
- Ykköspankin käyttötilillä on rahaa vain sen verran että juuri ja juuri normikulutuksella pärjään seuraavaan palkkapäivään
- Muutaman tonnin hätävara on ykköspankin säästötilillä, jonka päivittäinen maksuraja on 0€. Jos huijari pääsee verkkopankkiini ja yrittää noita rahoja siirtää, hänen pitää ensin nostaa maksurajaa ja pitäisi saada minut hyväksymään sekä rajan nosto että tilisiirto. Luultavasti viimeistään siinä vaiheessa tajuan että jotain tapahtuu.
- Ykköspankin verkkopankkitunnuks ia en käytä mihinkään muualle kirjautumiseen
- Kakkospankissa minulla on vain muutama satanen. Sen pankin tunnuksia käytän vahvaan tunnistamiseen, jos en voi mobiilivarmennetta käyttää. Jos pankkitunnukseni päätyvät vääriin käsiin, se on todennäköisesti tämä kakkospankki, jossa ei ole juuri varastettavaa.
- Säästöt ja sijoitukset ei ole kummassakaan noista pankeista, vaan kolmannessa pankissa, joka on puhtaasti sijoituspalveluihin erikoistunut pankki.

Joku voi sanoa, että liioittelen. Ehkä näin, mutta itse ajattelen että ei vara venettä kaada ja ylpeys käy lankeemuksen edellä. Eikä tuo vaikuta arkeeni mitenkään muuten kuin että kakkospankin palvelumaksut on tavallaan ylimääräinen kulu varautumisen takia.

Niin no, se op:n systeemi on nimeltään mobiiliavain. En tiedä mihin tarvitsisin sen lisäksi esim. Telian mobiilivarmenteen, koska mobiiliavaimella pääsen kirjautumaan kaikkiin vastaaviin palveluihin.

Telialla taitaa olla "Ilmainen", mutta Elisalla 0 €/kk 1kk ajan, jonka jälkeen 1,99 €/kk. Ja myös pankit varmistavat omansa, vaikka tämä aihe olisikin palveluihin kuuluva.

Tarvitseeko se mobiilivarmenne operaattorilta ottaa? Ainakin meillä se kuuluu pankin (op) tiliin. Hyvä ominaisuus, mutta varmasti se tunnuslukulista on turvallisempi, jos on hieman jo ajatus hidastunut. Kun erilaisia pin-lukuja on liikaa kertynyt, niin tulee ehkä sekaannusta.

Pankin tarjoamat mobiilitunnistusrat kaisut on eri asia kuin mobiilivarmenne.

Tunnuslukulista taas on turvattomin mahdollinen tapa tunnistautua pankkiin siitä yksinkertaisesta syystä että niitä tunnuslukuja on huijarin kaikkein helpoin huijata itselleen ja käyttää. Huomattavasti helpompi huijarille kuin esim. biometrisillä tunnisteilla (sormenjälki tms.) tehtävä tunnistaminen. Tunnislukulistaa ei pitäisi kenenkään käyttää, sen turvallisuus on niin huono.

Pankin tarjoamat mobiilitunnistusrat kaisut on eri asia kuin mobiilivarmenne.

Tunnuslukulista taas on turvattomin mahdollinen tapa tunnistautua pankkiin siitä yksinkertaisesta syystä että niitä tunnuslukuja on huijarin kaikkein helpoin huijata itselleen ja käyttää. Huomattavasti helpompi huijarille kuin esim. biometrisillä tunnisteilla (sormenjälki tms.) tehtävä tunnistaminen. Tunnislukulistaa ei pitäisi kenenkään käyttää, sen turvallisuus on niin huono.

Miten ne eroavat? Mitä operaattorin tarjoama antaa enemmän, kuin pankin vastaava. Siis mobiilimenetelmä?

Miten ne eroavat? Mitä operaattorin tarjoama antaa enemmän, kuin pankin vastaava. Siis mobiilimenetelmä?

Mobiilivarmenteesta on se merkittävä hyöty, että sillä et voi kirjautua pankkiin. Eli vaikka rikollinen jotenkin sen saisi käyttöönsä huijattua, hän ei voi tyhjentää tiliäsi.

Viranomaispalveluih in (suomi.fi-tunnistus) mobiilivarmenne on käytettävissä kaikkialle ja sitä kannattaa käyttää. Jos huijari saa sinut ohjattua johonkin vero.fi, kanta.fi tms. huijaussivustolle, siellä joko ei ole mobiilivarmennetta valittavissa ollenkaan, tai se ei toimi. Tämä sitten toivottavasti herättää sinut siihen, että kaikki ei ole kunnossa.

Noita viranomaispalveluid en huijauksia on ollut, ja kun ihmiset ovat tökkineet niihin pankkitunnuksiaan niin avot - tili on tyhjentynyt. Mobiilivarmennetta käyttävä ei tuohon voisi langeta, kunhan ei ajattele "ohoh, mobiilivarmenne ei toimikaan, käytänpä siis pankkitunnuksiani". Jos noin reagoi, ei se mobiilivarmenne auta mitään.

Eli: käytä mobiilivarmennetta aina kuin mahdollista, ja jos se esim. viranomaispalveluis sa puuttuu tunnistustavoista tai ei toimi, älä missään tapauksessa ota tilalle pankkitunnisteita. Lähtökohtaisesti pankkitunnuksilla vain pankkiin, ja jos johonkin muuhun palveluun pitäisi pankkitunnuksilla mennä, mieti tarkkaan onko kaikki kunnossa. Valitettavasti kaikkialle ei vieläkään mobiilivarmenteella pääse, mutta sen puuttuminen tai toimimattomuus pitäisi aina soittaa hälytyskelloja. Vasta tarkistusten jälkeen pankkitunnukset käyttöön, jos on ihan varma että tänne ei ole tarkoituskaan mobiilivarmenteella päästä.

Mulla on MOI liittymät ja niihin ei saa mobiilivarmennetta. ..

Töissä oli monta vuotta sitten Soneran liittymä ja siinä käytin mobiilivarmennetta, mutta työnteosta on jo aikaa.

^ ^ Siinäpä hyvin vertailtu.

Kirjaudut sisään sinne feikkisivulle ja näin kaveri saa ne sun tunnarit, joilla hän itse kirjautuu samanaikaisesti pankkiin. Eli kun olet antanut sen tunnuksen, kaveri näpyttelee sen oikean pankin sivulle ja kun sieltä tulee se pyyntö tunnuksella YXZK, niin hän syöttää sen tuolle fakesivulle, jolla kysytään sitä tunnistautumista tuolta uhrilta ja hänhän sen näpyttelee koska YXZK vastaa siihen kännyyn tulevaa tunnusta. Ja näin rosvo on pankissa sisällä sinuna.

No pankeissahan on aina myös ne mahikset vaihtaa se tunnistatumisväline toiseen esim. kännyn vaihtuessa. No rosvo menee tuonne jo valmiiksi kyttäämään, mutta ei vielä suorita hommaa loppuun, vaan odottelee että uhri pääsee tuonne feikkisuvulle syöttämään sen pienen maksun tms. jota sivustolla alunperinkin pyydettiin (tai what ever tekosyy tuohon 2. vaihvistukseen nyt ikinä esitetäänkään), mutta oikeassa pankissa jossa tuo rosvo on jo sisällä, tuo vahvistaakin sen tunnistuslaitteen vaihdon ja Vot! Nyt rosvolla on täysin vapaat kädet toimia 100% sinuna, tunnistautumisineen kaikkineen, koska hänella on sekä käyttäjätunnus, että tunnistuslaite hallussaan.

Ja kyllä, kaikki tämä voidaan myös robotisoida s.e. tuolla ei todellisuudessa kukaan henkilö mitään kyttää, vaan se on ohjelmistorobotti, joka näin keräilee uhreilta noita tunnistusvälineitä, jotta kun rosvo taas palaa ns. sorvin ääreen, hän käy putsaamassa uhrien tilit ja siirtelee fyrkat ns. parempaan talteen.

Tästä syystä aina kun vain on mahdollista, käytä jotain muuta kuin pankkitunnareita, ellet sitten nimenomaisesti ole juuri pankkiasioita hoitamassa ja silloinkin ole tarkkana että tosiaan olet siellä oikeasti pankkisi sivuila etkä jossain muualla joka vain näyttää samalta. Nordeallakin on se QR-tunnistautuminen, jota on jo huomattavasti vaikeampi kenenkään feikata, se YXZK kun vaihtuu siinä QR:ssä useita kertoja sekunnissa. Tässä käsittääkseni tuo kännykän kamera lukee niitä useamman QR:n putkeen ja juttelee niistä Nordean palvelimen kanssa ennen kuin lopulta kysyy sulta sitä tunnusta, jolloin tuo QR-näyttökin jähmettyy. Tuo QR siis korvaa sen sun itse näpyttelemäsi käyttäjätunnuksen = sen ryöstäminen tuolla QR:llä on jo varsin hankalaa.

Miten se rosmo pääsee sinne pankkiin, kun pankin pitää lähettää pyyntö, jossa on tunnistuskoodi, minun kännykkä sovellukseen, ennen kuin kirjaudun pankin sivulle?
Kännykässä oleva appi ja pankin tietokone keskustelvat keskenään ilman selaimen käyttöä, siihen väliin samaan aikaan pääsemiseksi vaaditaan rosmolta aika paljon taitoa.
Eli pitäsi hallita yhtä aikaa kahta yhteyttä.
Minä kirjoitan vain 8-numeroisen tunnisteen ja pankki lähettää kännykän appiin pyynnön vahvistuksesta siinä ko tunniste, joka minun pitää hyväksyä ja kuitata se erillisellä PIN-koodilla.
Sen jälkeen olen pankissa sisällä, mutta mitään muutoksia, esim. maksuja, en voi tehdä ilman kännykkään tulevaa vahvistuspyyntöä.
Tileillä on käyttörajoitus ja jos niitä haluaa muuttaa pankki lähettää tekstiviestin, johon pitää reagoida.

Tosin mikään ei ole varmaa, onhan Pentagoniinkin tehty tietomurto.
Mutta pankkiin murtautunisessa ei tarviat minua, jos niillä on kykkiksi taitoa

Kaikkiin posteihin ei tietysti pidä reagoida, eikä mennä mihinkään tulleen sähköpostin linkillä.
Kuten kuvassa kerrotaan, vaikka minulla ei ole mitään tekemistä Danske Bankin kanssa, niin yritystä löytyy

Kun kirjaudut huijarin sivun kautta pankkisi, hän kopioi itselleen pankkisivusi ja alkaa touhuta pankissasi.  Sinä näet kopioidun sivun ja luulet olevasi pankissasi mutta olet kopioidulla sivulla
  Et välttämättä ole , vaan huijari siellä takana touhuaa ihan omiaan sillä avaamallasi sivulla.