Janne Pitkänen

Varas voi viedä rahasi mobiiliverkkopankista ellet varaudu erikoisella tavalla

  • Kuva 1
    Kuva 1
  • Kuva 2
    Kuva 2

Tiesitkö, että pankkitilisi voidaan tyhjentää pelkällä puhelimella, jos käytät mobiiliverkkopankkia ja tunnuslukusovellusta. Puhallus tapahtuu huomaamattomasti näin:

  1. Puhelimeesi asennetaan huomaamattasi näytöntallennussovellus ja kehittäjäasetuksista laitetaan päälle näyttökosketusten visualisointi. 

  2. Käytät verkkopankkia, etkä huomaa taustalla pyörivää näytöntallennussovellusta. Asiakasnumerosi tallentuu näytöltä ja tunnuslukusovelluksen pin-koodin syöttämisessä näppäiltyjen numeroiden paikat paljastuvat. 

  3. Puhelimesi uudestaan käsiinsä saanut varas tekee tilisiirrot tallenteesta saamillaan asiakasnumerolla ja pin-koodilla. Vaikka summat olisivat riittävän suuria vaatiakseen tekstiviestivahvistuksen, varas kuittaa nämä samalla puhelimella yksin tein. 


Kuva 1: Ensimmäisessä näyttökuvassa vasemmalla käyttäjätunnuksen syöttö, jonka jälkeen tunnuslukusovelluksen käyttö, missä näytöntallennus on estetty, näkyy mustana. Näissä mustissa kuvissa pin-koodin näppäilyjen paikat ovat kuitenkin tunnistettavissa kakkoseksi, neloseksi, seiskaksi ja kahdeksikoksi, minkä jälkeen oikeanpuolimmaisessa näyttökuvasssa siirtyminen verkkopankkiin on juuri tapahtumassa.


Tämä puhallus vaatii puhelimeen käsiksi pääsemisen ja mahdollisen näyttölukituksen avaamisen kahteen otteeseen. Mitään muuta ei kuitenkaan tarvita ja puutteet tunnistautumisen turvallisuudessa saattavat mahdollistaa puhalluksen myös etänä haittaohjelmien avulla. Nordean asiakaspalvelussa vakuutellaan toistuvasti, että tunnuslukusovellus tuhoaa itsensä turvallisesti, jos puhelimen tai sovelluksen tietoturvaa yritetään murtaa. Tämä ei pitänyt lainkaan paikkansa kun tallensimme mobiiliverkkopankin käyttöä Android-puhelimella ylläkuvatulla tavalla.

Mobiiliverkkopankin käyttö helpottaa sen verran paljon pankkiasioiden hoitoa, että siitä ei mielellään luopuisi, vaikka uudessa versiossa ei enää ole tunnuslukukorttiin tai tunnuslukulaitteeseen perustuvia turvallisempia tunnistautumistapoja. Oma ratkaisuni asiaan on sim-kortilla varustettu älykello, jonka liittymään tekstiviestivarmistukset on ohjattu tehtäväksi puhelimesta riippumattomalla tavalla.


Kuva 2: Sim-kortilla varustettu älykello mahdollistaa sen, ettei samalla puhelimella, jolla käytetään mobiilipankkia, voi kuitata tekstiviestivahvistuksia.


Normaalikäytössä yhden laitteen varassa oleva verkkopankin käyttö ja tunnistautuminen on riskialtis ja merkittävä heikennys mobiiliverkkopankin tietoturvaan. Tunnuslukulaitteen käyttö tulisi ainakin olla mahdollista, koska keskivertokäyttäjältä ei voi edellyttää kahden puhelinliittymän käyttöä rahojen pitämiseksi turvassa. Pin-koodin paljastuminen voitaisiin myös estää satunnaistamalla numeronäppäinten paikat tunnuslukusovelluksessa. Keskivertokäyttäjälläkin voi olla tuhansia tai jopa kymmeniä tuhansia euroja rahaa mobiiliverkkopankin ulottuvilla. 

Piditkö tästä kirjoituksesta? Näytä se!

11Suosittele

11 käyttäjää suosittelee tätä kirjoitusta. - Näytä suosittelijat

NäytäPiilota kommentit (42 kommenttia)

Käyttäjän rjaaskel kuva
Risto Jääskeläinen

Mielenkiintoista. Näyttäisi siltä, että uusi reikä on löydetty.
Paras ratkaisu, minkä keksin tuohon, on pitää tilinsä melko tyhjänä ja käyttää sukanvartta pankkinaan. Näin ei ainakaan kännykän hukkaaminen aiheuta isoja lisävahinkoja.

Käyttäjän kosonenjuhapekka kuva
Juha-Pekka Kosonen

Tosiasiassa 99% puhalluksista tapahtuu tilin omistajan joko aktiivisella tai passiivisella myötävaikutuksella.

Aktiivisessa mallissa asiakas antaa tilitietonsa vapaaehtoisesti rikollisten käyttöön.

Tähän perustuu mm. valepoliisirikollisuus. Hyväuskoinen tilin omistaja huijataan luovuttamaan tarvittavat PIN-koodit ja tunnusluvut vapaaehtoisesti rikoksen tekijälle.

Passiivisesti toimien hyödynnetään esim. päihtynyttä henkilöä, joka näppäilee puhelintaan tuhannen juovuksissa keskellä sankkaa väkijoukkoa esim. ravintolassa.

Tarvittavat PIN-koodit saadaan olan yli kurkkimalla.

Sama malli koskee lukuisia pankkikorttipetoksia.

Kun PIN-koodi on tiedossa, riittää, että anastetaan puhelin tai maksukortti.

Käytännössä haittaohjelman asentaminen satunnaiseen puhelimeen on liian työlästä ja riskialtista (ei olekaan rahaa) etteivät ammattirikolliset vaivaudu moiseen.

On tuokin kuitenkin hyvä tietää.

Käyttäjän RitvaPuolakka kuva
Ritva Puolakka

Tätä vähän itsekin ajattelin, että kuinka yleistä on se, että puhelin hakkeroidaan, vai onko tosiaan syyt kuitenkin enemmänkin tässä mobiilipankin käyttäjässä?

Käyttäjän JariKorpela kuva
Jari Korpela

Vaikka tosiaan tehtäisiin haittaohjelma joka vielä itsestään lähettäisi nämä tiedot eteen päin, niin toistaiseksi kehittäjäasetuksia ei voi muuttaa kuin vain järjestelmäohjelmat itse. Jonkun on siis oikeasti pakko saada puhelin haltuun, avata se näppäinlukko ja laittaa tarvittavat asetukset päälle.

Käyttäjän JannePitknen1 kuva
Janne Pitkänen

Jari, olet oikeassa, että kehittäjäasetusten muuttamiseksi puhelimeen pitää nimenomaan päästä käsiksi. Sen jälkee toisen tilille murtautuminen on kuitenkin tällä tavalla turhankin helppoa, enkä ollut uskoa sen olevan mahdollista ennen kuin asiaa kokeiltiin. Näytöntallennussovelluksissa on muuten usein jakomahdollisuus joihinkin avoimiin ja suljettuihin pilvipalveluihin, minkä yhdistämällä jonkin etähallintasovelluksen asentamiseen mahdollistaisi sen, että puhelimeen tarvitsisi päästä käsiksi vain kerran.

Käyttäjän RitvaPuolakka kuva
Ritva Puolakka Vastaus kommenttiin #12

Eli käsitänkö nyt oikein, että puhelimen pitää ensin joutua vääriin käsiin, jotta siihen konkreettisesti voi tehdä näitä muutoksia?

Kun huomaa, että puhelin on varastettu, niin sitten kiireesti sulkemaan sitä, ettei rahatkin samalla katoa tililtä.

Käyttäjän JannePitknen1 kuva
Janne Pitkänen Vastaus kommenttiin #25

Jonkun pitää saada vain vähäksi aikaa puhelin käsiinsä lukitsemattomana tai tietää lukituksen avaamiseen tarvittava kuvio, joka saattaa olla helposti nähtävissä toisen käyttäessä puhelinta. Todennäköisintä tämä olisi lähipiirissä kun puhelimella voisi puuhailla hetken, ilman että omistaja on osannut varautua tällaiseen väärinkäyttöön. Yleisestihän luullaan pankissakin, että sovellus on turvallinen niin kauan kun et kerro tunnuslukusovelluksen pin-koodia kellekään ja luulet ettei kukaan muu voi päästä tilillesi vaikka antaisitkin puhelimen jonkun muun käsiin.

Käyttäjän topira kuva
Topi Rantakivi

Hyvin mahdollista. Olen ajatellut tuon tapaista uhkaa jo aikaa sitten ennen kuin pankit rupesivat ylistämään älylaitteen käyttöä tai NFC:tä.

Edelleenkin täytyy ihmetellä, että ei EU:n direktiiveissä missään sanota, että pitää luopua tunnuslukukorteista vaan siellä lukee ainoastaan vahvaa tunnistautumista ja jäsenmaiden harteille on toteuttaa nämä asiat.

Pankit ilmeisesti ne itse ajaa omaa agendaansa.

Käyttäjän JannePitknen1 kuva
Janne Pitkänen

Pankin tarjoama tunnistautuminen muihin palveluihin voi olla edelleen kokonaisuutena vahva, vaikka sitä myös sopii tämän perusteella epäillä. Mobiilipankin kanssa käytettynä tunnuslukusovellus ei kuitenkaan täyttäisi enää vahvan tunnistautumisen kriteereitä. Monet yrityssovellukset esimerkiksi vaativat, että puhelimessa pitää käyttää pin-koodia tai sormenjälkeä näytön avaamiseen kun taas Nordean sovellukset eivät vaatine minkään lukituksen käyttöä.

Juha Hämäläinen

Toistaiseksi käytän itse tunnuslukulaitetta, joka on luottokortin kokoinen, mutta paksumpi. Sen ehdoton etu on, ettei se ole missään vaiheessa yhteydessä tietoverkkoon eikä siihen pääse huomaamatta etänä hakketoitumaan.

Mobiilipankkisovellukset ovat vielä pitkään epäluotettavia tietoturvan kannalta. Ne ovat kehitysvaiheen alussa vasta.

Käyttäjän topira kuva
Topi Rantakivi

Laita ennakkosensuuri pois päältä. Minä en periaatteessa kommentoi ikinä blogeihin, joissa on ennakkosensuuri.

Käyttäjän JannePitknen1 kuva
Janne Pitkänen

Jes, laitoin toistaiseksi pois - taitaa olla oletuksenä päällä, jos ei erikseen poista.

Käyttäjän RitvaPuolakka kuva
Ritva Puolakka

Tämäpä mielenkiintoinen blogi. Puhut tässä Nordeasta, mutta onko sama asia muidenkin pankkien kohdalla?

Miten puhelimeen pääsee asentamaan huomaamatta näytöntallennussovelluksen, eli tarkoittaako tämä sitä, että puhelin hakkeroidaan?

Olen tavallinen mobiilipankin käyttäjä, joten jos voisit hieman avata tätä tarkemmin, koska nykyään on kaikenmaailman huijareita liikkeellä. Olisi hyvä, että tavallinen kansalainen tietäisi paremmin suojautua näitä huijareita vastaan muutenkin, kuin hankkimalla tuon sim-kortilla varustetun älykellon.

Käyttäjän JannePitknen1 kuva
Janne Pitkänen

Kiitos Ritva, en tiedä muista pankeista. Ainakaan ihan sama ongelma ei todennäköisesti koske muita pankkeja, koska niillä saattaa olla hyvinkin poikkeavat mekanismit toteuttaa eritaisoiset varmistukset kirjautumisesta maksujen hyväksymiseen.

Käyttäjän RitvaPuolakka kuva
Ritva Puolakka

Eli tämä luultavasti koskisi sitten vain Nordeaa. Oletko vienyt tämän asian pidemmälle kuin sinne asiakaspalveluun?

Käyttäjän pekkaopollanen kuva
Pekka Olavi Pöllänen

Old school stuff. Get the cash and of you go;)

Käyttäjän maxjussila kuva
Max Jussila

Missä Suomen pankeissa ei tarvita lainkaan tunnuslukulaitetta? Minulla on pankkitili kolmessa maassa ja kaikkiin oma laite.

Käyttäjän JannePitknen1 kuva
Janne Pitkänen

Nordeasta saa kyllä tunnuslukulaitteen entisten tunnuslukulistojen tilalle, mutta sitä ei voi enää käyttää mobiilipankkiin kirjautumiseen.

Käyttäjän maxjussila kuva
Max Jussila

Siis Suomessa verkkopankkiin kirjaudutaan käyttäjätunnuksella ja salasanalla ilman tuollaista tunnuslukulistaa edes? Mieletöntä. Nykyään voi toisaalta myös kiinteistön kaupan tehdä verkkotunnuksilla. Ennen sekin oli turvallista, kun samanaikainen läsnäolo, kaksi esteetöntä todistajaa samanaikaisesti ja kaupanvahvistaja oli määrämuotona pätevyydelle.

Olen huomannut Suomessa käydessäni, että pankkiautomaatit, ”Otot”, ovat täysin suojattomia kunlaittaa tunnuslukujaan. Esimerkiksi Shanghaissa ja Hongkongissa muovinen suojus estää lukemisen ulkopuolisilta, skimmauskaan ei onnistu. Suojus on niin tiukka, että käteni/sormeni mahtuvat hädin tuskin suojan sisään.

Käyttäjän jgagarin56 kuva
Juha Kuikka Vastaus kommenttiin #20

Ainoa paikka, missä toistaiseksi olen joutunut huijauksen uhriksi, oli Bukarestissa tämän vuoden keväällä. Nostin rahaa lentoaseman automaatista kortillani ja kun saman päivän iltana hotellihuoneessani tutkin tiliäni, huomasin että sieltä oli tehty siinä vaiheessa kyseisen päivän aikana neljä siirtoa joihinkin ulkomaisiin pelifirmoihin. Ilmeisesti automaatissa oli ollut skanneri. Siirrot oli tehty paypal -palvelun kautta.

Soitin sitten Nordeaan ja sieltä poistettiin verkko-ostomahdollisuus kortiltani ja neuvottiin, että peruutan kortin kassaostosmahdollisuuden siten, että kun itse tarvitsen sillä maksaa, voin mobiilipankissa kytkeä sen taas päälle. Se tuntui kätevältä, niin ei tarvinnut ulkomailla peruuttaa korttia.

Nordea olisi korvannut menetetyt rahat pitkällisen tutkintajakson jälkeen (ainakin lupasi niin), mutta sain asian selvitetyksi parissa viikossa yhteistoiminnassa Paypalin ja niiden pelifirmojen kanssa, joihin rahat oli siirretty. Se oli kyllä työläs prosessi.

Käyttäjän JannePitknen1 kuva
Janne Pitkänen

Lähinnä itseäni pelottelen ja haluaisin nähdä, että tämä asia korjattaisiin, koska jo esimerkiksi pin-koodin näppäinpaikkojen satunnaistaminen auttaisi asiaa paljon.

Käyttäjän jormamoll kuva
Jorma Moll

#18

Eiks toi nyt ole aika teoreettinen juttu.

Käyttäjän JannePitknen1 kuva
Janne Pitkänen Vastaus kommenttiin #26

Käytännössä kuitenkin mahdollista, koska testattiin asiaa tekemällä pieni tilisiirto, eikä siihen vaadittu mitään erityistaitoja.

Käyttäjän jormamoll kuva
Jorma Moll Vastaus kommenttiin #28

Sinäkö testasit, kerro lisää.....

Käyttäjän JannePitknen1 kuva
Janne Pitkänen Vastaus kommenttiin #30

Kyllä, asensin toisen henkilön puhelimeen näyttötallentimen ja laitoin kehittäjäasetuksista näyttökosketusten visualisoinnin päälle. Tämän henkilön puhelimeen minulla olisi realistisesti pääsy huomaamattakin ja näyttölukituksen avauskuvio olisi myös helppo tunnistaa seuraamalla puhelimen käyttöä. Laitoin tallennuksen päälle ja pystyin selvittämään asiakatunnuksen ja tunnuslukusovelluksen pin-koodin oikein katsomalla tallenteen yhdestä mobiilipankki-istunnosta.

Käyttäjän jormamoll kuva
Jorma Moll Vastaus kommenttiin #38

Mistä saat alalti vaihtuvan tunnusluvun. Jään epäilijöiden penkkiin.

Käyttäjän jgagarin56 kuva
Juha Kuikka Vastaus kommenttiin #39

Hän kirjoitti "pin-koodin näppäinpaikkojen satunnaistaminen" - ei siis PIN-koodien satunnaistaminen. Se on eri asia. Sama PIN-koodi näppäiltäisiin joka kerta, mutta numerot siihen löytyisivät eri kohdistä näyttöä kuin nyt. Siis ne eivät olisi numerojärjestyksessä.

Käyttäjän jgagarin56 kuva
Juha Kuikka

Mobiilipankista voi tietysti siirtää anastetulla puhelimella rahaa omalle tililleen, jos ne käyttäjätunnukset ja PIN-koodit on saanut selville, mutta sen jälkeen on poliisi varttitunnissa soittamassa ovikelloa.

Sehän on vanha kertomus ruotsalaisista naamioituneista pankkirosvoista, jotka aseella uhaten käskivät pankkivirkailijaa siirtämään antamalleen tilinumerolle rahaa ja poliisi oli kotiovella odottamassa.

Käyttäjän JannePitknen1 kuva
Janne Pitkänen

Tilin omistaja ei välttämättä huomaa asiaa heti ja on ajateltavissa, että useita muutaman tonnin tai jopa kymppitonnien siirtoja voisi ehtiä siirtää toiselle tilille ja edelleen pankin ulottumattomiin muulla tavalla niin, ettei siirtoja voitaisi enää perua.

Käyttäjän jgagarin56 kuva
Juha Kuikka

Kyllä, mutta rikollinen on heti tiedossa. Jos karkaa ulkomaille, niin interpol vain perään.

Käyttäjän JannePitknen1 kuva
Janne Pitkänen Vastaus kommenttiin #19

Riippuu huomaako varkauden, jos summat on suhteellisen huomaamattomia muuhun maksuliikenteeseen nähden :D https://onsizzle.com/i/why-didnt-you-report-your-s...

Käyttäjän JuhoJoensuu kuva
Juho Joensuu

Karvalakkiversio tuosta on, kun nuoret miehet kävivät osuuskaupan varastolla lumisateessa. Sade sitten taukosi ja poliisi ajeli tuoreita jälkiä kotipihaan. Ihmettelivät, että kuinka te meidät niin nopeasti löysitte…

Käyttäjän kainiemelainen kuva
Kai Niemeläinen

Minulla on mobiilisovellukseen kytketty sormenjälkitunnistautuminen. Avainlukulista ei siis ole käytössä ollenkaan.

Ongelmatilanteita varten (esimerkiksi märkä sormenpää) varten on pin-koodi. Pin-koodin hukkuminen tai joutuminen vääriin käsiin ja se, että onnistuisi saamaan puhelimen lukitsemattomana käsiinsä, voisi tuottaa vastaavan ongelman. Mutta varsinaista tilinsiirtoa varten pitäisi olla nimenomaan kyseinen puhelin käytössään.

Käyttäjän JannePitknen1 kuva
Janne Pitkänen

Kyllä, puhelin pitää siis saada käsiinsä ainakin lyhyesti pariin otteeseen (tallennuksen aloittaminen ja verkkopankkiin meneminen) ellei puhelimeen onnistu lisäksi asentamaan jonkinlaista etähallintasovellusta, jolla tilisiirron tekeminen toisen käpistelyn sijasta olisi mahdollista etänä.

Mika Jansson

Pankit eivät ole ainakaan turvallisuuttamme ajatelleet vaatiessaan kaikki siirtymään mobiililaitteen käyttöön verkkopankin kanssa, se on päivänselvää.

Kirjoituksessa esitetyn mallin lisäksi kun rikolliset havaitsevat muutoksen yleisesti tapahtuneen on yksinkertaisin rikoksen muoto se että napataan mobiililaitteen käyttäjä kadulla kiinni, ja hänet pakotetaan väkivallalla uhkaamalla itse tekemään rahansiirto tai osto tms. Uhkausta voidaan tehostaa väkivallalla ja kas, kummasti henkilö tekee mitä käsketään.

Jos pankkia käytettäisiin lähinnä kotosalla tietokoneen kautta kuten aiemminkin, ei tätä vaaraa olisi - laite on kotona, samoin tunnuslukukortti tms. Ainoa mitä voi tehdä on toki pakottaa ihminen nostamaan rahaa tai varastaa luottokortti. Se että koko yhteytesi pankkiin kulkee kännykässäsi mukana koko ajan ei todellakaan ole kovin viisas vaihtoehto.

Käyttäjän TeemuHuhta kuva
Teemu Huhta

Tässä yhteydessä olisi mainiota kertoa myös haavoittuvat käyttöjärjestelmät. iPhonen asetuksista saa ainakin päälle asetuksen, että vaatii sormenjäljen tai salasanan, että voi mitään asentaa siihen, saati että saa edes näytönlukituksen pois tarvitaan sormenjälkeäni.

Sovellukset myös jäävät iphonella stand-by-tilaan, eivätkä aktiivisesti käyntiin, joten näytön tallennus taustalla on liki mahdotonta.

Käyttäjän JannePitknen1 kuva
Janne Pitkänen

IPhone on ainakin tässä kohtaa turvallisempi, koska siinä näyttökosketusten visualisointi ei onnistu "kaupan hyllyltä" -puhelimeen vaan vaatisi jailbreak-modauksen. Lisäksi näytön tallennuksen kanssa taitaa olla tiukempia rajoituksia.

Pasi Arponen

Eli miten varmistan ettei taustalla pyöri -saati puhelimessa ole- ko. näytöntallennussovellusta? Näkyykö se "kaikki ohjelmat" -painikkeen alta, tai puhelimen uudelleenkäynnistämisellä?

Oman sormenjäljen lisääminen maksutapahtumaan estäisi varastetun puhelimen koplaamisen.

Käyttäjän JannePitknen1 kuva
Janne Pitkänen

Näytöntallennuksen päälläolo näkyy esimerkiksi Android-puhelimen yläpalkissa screencast-ikonnina (4G-ikonin vasemmalla puolella noissa näyttökuvissa, jos avaat Kuva 1:n isommaksi). Androidissa on kuitenkin kaikenlaisia huomioikoneita usein koko rivin täydeltä, joten niihin ei välttämättä tule kiinnittäneeksi huomiota.

Käyttäjän MikkoHiekkataipale kuva
Mikko Hiekkataipale

Tässä kyllä nostetaan myrskyä vesilasissa.

Vertaappa kuvaamaasi skenariota perinteiseen tunnuslukukorttiin.
Samalla logiikalla "kuka tahansa" voi ensin saada lompakkosi haltuun esim. vessakäynnin aikana ja kopioida tunnuslukukortit ja maksukorttien tiedot.
Pankkitunnuksesi kalastelu onnistuu myös "keneltä tahansa", keinoja on monia keylockereista pieniin kameroihin.
Samoin "kuka tahansa" voi väijyä sinua ja kurkata olan yli korttiesi tunnuslukuvut asioidessasi baarissa tai automaatilla ja palata myöhemmin varastamaan kortit lompakostasi.
"Kuka tahansa" voi myös helposti tehdä kopiot kotiavaimistasi ja asentaa sinne työpäiväsi aikana vaikka mitä vakoiluvälineitä.

Mutta kuinka monelle näin käy oikeasti? Eipä kovin monelle, koska huijarin on helpompaa vain kysyä luottamuksellisia tietoja käyttäjältä itseltään.

Käytäntö on osoittanut, että käyttäjä itse on tietoturvassa se heikoin lenkki. Kuten Nordean alkuperäisessä tiedotteessa todetaan, on käytäntö osoittanut sovelluksen käytön yleistymisen radikaalisti laskeneen Nordean asiakkaisiin kohdistuneita petoksia. Sovellus siis käytännössä esim. estää asiakasta joutumasta tilanteeseen, jossa hän voisi paljastaa asioita, joita hänen ei tulisi paljastaa.

Täydellistä tietoturvaa ei ole olemassa. Samalla kun puhelin sisältää yhä enemmän luottamuksellista materiaalia, tulee asiakkaan pitää siitä entistä parempaa huolta. Ihan kuten tähän asti on pidetty huolta avaimista ja lompakoista. Harvaa lompakkoa tai avainnippua tosin saa suojattua biometrisellä tunnisteella, kuten sormenjäljellä tai kasvojentunnistuksella, tai edes PIN koodilla tai pyyhkäisykuviolla.

Käyttäjän ErkkiOjutkangas kuva
Erkki Ojutkangas

Miten sitten, kun minulla ei ole käytössä numerotunnistusta vaan tunnistaudun sormenjäljillä e-pankkiin?

Toimituksen poiminnat