Aihe: Mobiilivarmenne

Yksi ehkä pahimmista huijauksista on jollain haitakkeella varastaa sun cookiet. Noihin on tallennettu jos sun jonkinlaista tavaraa ja jonnekin esim. vero.fi kirjauduttuasi tuolla cookiella rosvokin pääsee sinne vero.fi sinuna sisään ilman että se kyselee siltä rosvolta yhtään mitään. Siellä te toimitte molemmat samaan aikaan, puuhailette kumpikin omianne, kunnes jompi kumpi katkaisee tuon session ja näin toinenkin lentää sieltä mäjelle.

No tähän on nyt chromessa beta-luonteinen feature olemassa, jossa selain itse kryptaa koneesi TPI-piiriä käyttäen nuo cookiet ennen levylle tallentamista. Näin noilla bittimössöillä se rosvo ei tee tuon taivaallista vaikka ne cookie-tiedostot jollain ilveellä onnistuisikin sinulta nyysimään.

Minulla on selaimessa asetus joka poistaa piparit kun sammutan koneen.
Virussuojaus pitää olla tietysti kunnossa ja VPN käytössä

Kun kirjaudut huijarin sivun kautta pankkisi, hän kopioi itselleen pankkisivusi ja alkaa touhuta pankissasi.  Sinä näet kopioidun sivun ja luulet olevasi pankissasi mutta olet kopioidulla sivulla
  Et välttämättä ole , vaan huijari siellä takana touhuaa ihan omiaan sillä avaamallasi sivulla.

En mene koskaan minkään linkin kautta pankkiin.
En tunne niin hyvin tekniikkaa, että voisin kiistää metodin, mutta kuinka tuo kaksoisyhteys tehdään TCP/IP yhteydellä joka kulkee lisäksi VPN-palvelimen kautta?

Lisäksi siinä pitää päästä samaan aikaan kännykän appin ja pankin tietokoneen väliseen yhteyteen

Meillä töissä yksi päivä tuli kahvipöydässä tietoturva henkilöiden kanssa puhetta mobilivarmenteesta, oli sitä mieltä että ehdottomasti mobilivarmenne jos se on mahdollista. Käskin aktivoida minullekkin, monta kertaa päivässä välillä joutuu käyttämään vahvaa tunnistautumista. Joku mainos oli että yritys liittymissä ilmainen, kuvaruutukaappaus antoi yritysliittymään 16€/kk. Trafille pääsi jo testaan.

Meillä töissä yksi päivä tuli kahvipöydässä tietoturva henkilöiden kanssa puhetta mobilivarmenteesta, oli sitä mieltä että ehdottomasti mobilivarmenne jos se on mahdollista. Käskin aktivoida minullekkin, monta kertaa päivässä välillä joutuu käyttämään vahvaa tunnistautumista. Joku mainos oli että yritys liittymissä ilmainen, kuvaruutukaappaus antoi yritysliittymään 16€/kk. Trafille pääsi jo testaan.

Elisalla se on yritysliittymissä ilmaoinen, tarvitse epelkän aktivoinnin. Itsellänikin se on näin ollut jo vuosia
Jos pitää tunnistautua useasti päivässä, niin tuo henkilökorttikin voi olla ihan hyvä vaihtoehto. Kortti vain koneeseen ja PIN perään, niin hommahan hoituu

En tunne niin hyvin tekniikkaa, että voisin kiistää metodin, mutta kuinka tuo kaksoisyhteys tehdään TCP/IP yhteydellä joka kulkee lisäksi VPN-palvelimen kautta?

Huijari saa sinut esim. nordea.fi sijaan vaikka sivulle nodea.fi, tuota pientä eroa ei välttämätät huomaa kiireessä kun sivu kuitenkin näyttää hyvin samanlaiselta kuin se alkuperäinenkin. Eli koskaan, missään vaiheessa et ole varsinaisesti pankkiisi yhteydessä, vaan se kulkee tuon huijaussivuston kautta, jolloin rosmo ikäänkuin man-in-the-middle nuuskii kaiken mikä tuossa välissä liikkuu ja saa simuloitua sinulle ikäänkuin mukamas olisit pankissasi. Mielestäsi menet ja maksat jonkin laskun, jota tuo huijaussivusto sulle simuloi, vaikka samaan aikaan siellä oikeassa pankissa jossa rosmo on sisällä sun juuri antamillasi tunnuksilla, se maksu on jotain ihan muuta. ja kun hyväksyt tuon mukamas laskusi, niin se hyväksyntä onkin aidosti se rosmon siellä pankissa tekemä, jonka juuri siis hyväksyit. Kyllä, tuo näyttää laskun summaa, mutta jälleen kerran sekin voi mennä kiireessä ohi silmien ja VOT! Tilisi on tyhjennetty tuolla rosvon tekemällä siirrolla, kiitos ja näkemiin

Minulla ainakin OP:n appissa näkyy minkä summan ja kenelle olen maksamassa, siinä näkyy myös OP:n lähettämä tunnus. 
Kuinka se voro lähettää OP:n appiin virheellisen tiedon, kun liikenne on pankin tietokoneen ja kännykän välillä ja itse operoin samaan aikaan PC:llä.
Vorolla pitää olla pääsy sekä PC:n että kännykän liikenteeseen.
Lisäys
Olen saanut kymmeniä eri pankkien nimillä lähetettyjä viestejä Ranskasta ja Belgiasta , kannattaa toki aina katsoa minne kirjautuu.
En kirjaudu minnekään viestissä tulleeseen osoitteeseen vaan käytän omia osoittetani. 

Tässä yksi varoittava esimerkki siitä, mitä voi tapahtua: https://www.is.fi/digitoday/tietoturva/art-2000010325595.html

Tuossa nyt jäi epäselväksi, miten huijaus on tapahtunut. Jotenkin rikollinen on tunnukset käsiinsä saanut.

Tuosta tarinasta tulee kaksi opetusta:
- käytä mobiilivarmennetta pankkitunnuksien sijaan aina kun voit (tosin, kun ei ole tiedossa miten tätä "Karia" on huijattu, ei voi tietää olisiko tämä auttanut tässä tapauksessa)
- älä pidä merkittäviä summia rahaa siinä pankissa, mitä paivittäisasiointii n käytät eikä etenkään siinä pankissa minkä tunnuksia käytät vahvaan tunnistautumiseen, jos et edes mobiilivarmennetta käytä

Siinä vaiheessa kun menee noihin soittoansoihin ja pankkien tekstiviesteihin, ja antaa heidän kusettaa,siirrän raha-asiat tyttären hoitoon. Kyllä se taskurahan tai prepaid maksukortin mulle antaa.

Minä kun täältä belgiasta lähetän pankin kautta rahaa joko omalle tai kaverin tilille suomeen tulee välittömästi kysely  rahanpesusta
vastaanottavasta suomalaispankista. Ja summan ei tarvitse olla kuin satanen. Mutta kun suomesta lähetän ulos niin ei kiinnosta ketään minne menee ja minkä verran.

Ei ole muita hyökkäyksiä tullut kuin ilmestyi hyväksyttäväksi n. 15000 euron lasku.  Itse alkuperäinen lasku ei tullut esiin millään keinolla.
Huolimaton olisi voinut hyväksymisnipussa hyväksyä ko laskun.
Ei suostunut pankki kertomaan minne rahat olisivat menneet koska arvasivat että jos on lähiseudulla että olisin mennyt sinne itse.

Sain sähköpostia että ota mobiilivarmenne käyttöön, onkohan se tarpeellinen?

Huolellisuutta ja vielä kerran huolellisuutta ja sen jälkeen mobiilivarmenne ( mobiilivarmenne.fi ). Jätetään nuo ”vaimon työkaverin liirumlaarumit sivuun)

Pankkitunnuksilla vain pankkiin pankin oman sovelluksen kautta, ei minkään linkin, eikä selaimen ehdotuksen kautta!

Tuo aiemmin mainittu iso lasku oli siis ilmestynyt minun pankkiohjelmaani hyväksyttäväksi eikä pankki suostunut kertomaan mistä se oli ilmestynyt.  Itselläni ei asiaan ollut siis osuutta.
Tottakai minulla on epäilyksiä eli sinne suora- tai vastaavia lähettävät yritykset/hlöt niissä tai maksusuorituksia suorittavat vastaavat tai pankkihenkilö.

Juuri tänään allekirjoitin sähköisesti yhden PDF-lomakkeen tuolla omalla henkilökortillani => allekirjoitus tallentuu tuohon PDF-tiedostoon ja on sieltä kenen tahansa tarkistettavissa, että se lomakkeen sisältö tosiaan vastaa sitä allekirjoittamaani versiota. Jos joku yrittää sitä lomaketta nyttemmin muokata, tuo allekirjoitkseni rikkoontuu välittömästi ja se ei ole enää validi. Ja mikä parasta, tuo PDF-allekirjoitus ei edes maksa yhtään mitään lisää vaan se on osa tuon henkilökortin ihan vakio toiminnallisuutta

^
Sähköisen allekirjoituksen voi tehdä henkilökortilla/pankkitunnuksilla/mobiilivarmenteella! Ei sen kummempaa ole.
Turvallisinta lienee tehdä se henkilökortilla (vaatii kortin lukulaitteen), kätevintä tehdä mobiilivarmenteella .

Sen oon huomannut että on ihmiset tulleet varovaisemmiksi tunnusten kanssa, hyvä niin. Itse joudun paljon lähettämään pdf-tiedostoja allekirjoitettavaks i niin yleensä sanon mistä linkki tulee että uskaltavat avata ja allekirjoittaa, vaikka taitaa tulla postissa myös lähettäjän tiedot. Käsken myös roskaposti kansion tarkistaa jos ei ala kuulua pyyntöä.