Mobiilivarmennettakin voidaan hyödyntää huijauksissa. Niiden taustalla on usein pankkitunnusten väärinkäyttö. Mobiilivarmenteen suojaksi voi asettaa häirinnänestokoodin.
Mobiilivarmenteen yleistyessä myös verkkorikolliset ovat iskeneet siihen silmänsä. Väärinkäytön volyymit ovat toistaiseksi melko maltillisia, mutta esimerkiksi tietokirjailija Petteri Järvinen pitää mobiilivarmenteen tietoturvaa puutteellisena. Pitäisikö olla huolissaan?
Pankkitunnuksilla vain pankkiin
Telian, Elisan ja DNA:n junaileman mobiilivarmenteen ideana on tuoda vaihtoehtoinen, turvallinen tapa vahvaan sähköiseen tunnistautumiseen niin, että pankkitunnuksia tarvitsisi käyttää vain niiden varsinaiseen tarkoitukseen – pankkiasiointiin.
”Jos pankkitunnuksia käytetään perustunnistautumiseen, huijari on jo puolimatkassa pankkiin”, DNA:n petostentorjuntapäällikkö Ilkka Tuominen sanoo.
Mobiilivarmenteella siis voi kirjautua kattavasti sähköisiin palveluihin, verkkopankkeja lukuun ottamatta.
Poliisi kuitenkin muistutti jo viime kesänä, että mobiilivarmenteellakin voi lypsää rahaa. Tiedossa on tapauksia, joissa mobiilivarmenteiden avulla oli nostettu yli kymppitonnilla luottoa. Mobiilivarmenteella voi myös tilata maksullisia palveluita.
Väärinkäytön mahdollistama ansainta on silti pientä verrattuna pankkitunnusten anastamisen avaamiin mahdollisuuksiin.
”Ei ole vaikea arvata, kumpi kiinnostaa rikollista enemmän – tilisiirtoihin ja tunnistautumiseen kykenevät pankkitunnukset, joita käytetään päivittäin puoli miljoonaa kertaa, verrattuna vain tunnistautumiseen tarkoitettuun mobiilivarmenteeseen, jonka käyttömäärät ovat selvästi pienempiä”, Elisan mobiilivarmenteesta vastaava liiketoimintapäällikkö Mikael Aslan sanoo.
Väärinkäyttöä esiintyy aaltoina
Telian riskienhallintapäällikön Antti Turusen tietoon on tullut tänä vuonna parikymmentä mobiilivarmenteeseen liittyvää petosta. Niitä esiintyy hänen mukaansa tyypillisesti ajoittaisina aaltoina.
Turunen muistuttaa, että mobiilivarmenteen teknistä suojausta ei ole koskaan murrettu. Operaattorit ovatkin tyytyväisiä mobiilivarmenteen tietoturvaan. ”Mobiilivarmenteen turvallisuus perustuu käytännössä myös käyttäjän omaan toimintaan”, Turunen sanoo.
Traficomin Kyberturvallisuuskeskuksen näkökulmasta tunnistautumistavat ovat yhtä hyviä.
”Sekä pankkitunnukset että mobiilivarmenne ovat lain määrittelemiä vahvoja sähköisiä tunnistusvälineitä, joihin sovelletaan samoja turvallisuusvaatimuksia. Niiden turvallisuudessa ei ole eroa, eikä viraston tietoon ole tullut mitään, mikä viittaisi toisen olevan turvallisuudeltaan toista heikompi”, Kyberturvallisuuskeskuksen Viestintäverkkojen tietoturvallisuus -yksikön päällikkö Olli Lehtilä sanoo.
Mobiilivarmenteeseen liittyviä riitatapauksia on tullut Vakuutus- ja rahoitusneuvonta Finen tietoon kaikkiaan viitisen kappaletta, niistä ensimmäiset viime vuonna.
”Lisäksi on tullut yksittäisiä yhteydenottoja, mutta tapauksia ei tosiaan paljon ole. Mobiilivarmenteessa on kuitenkin omat riskinsä”, Finen pankkiasioiden jaostopäällikkö Tuomas Hidén sanoo.
Yhdessä tapauksessa uhri on luullut kirjautuneensa mobiilivarmenteellaan tiettyyn palveluun, mutta tosiasiassa rikollinen on hyödyntänyt tunnistustapahtumaa ja kirjautunut sillä itse toisaalle.
Ensin urkitaan yleensä pankkitunnukset
Tyypillisempi sen sijaan on Hidénin mukaan tilanne, jossa rikollinen on urkkinut uhrinsa pankkitunnukset ja perustanut niillä omaan kännykkäliittymänsä mobiilivarmenteen uhrin henkilöllisyydellä. Näin rikollisella on käytössään pysyvä kaapattu identiteetti, jolla toimia verkkopalveluissa.
Myös DNA:n petostentorjuntapäällikön Ilkka Tuomisen mukaan mobiilivarmenteen väärinkäyttöä edeltää useimmiten pankkitunnusten väärinkäyttö. Esimerkiksi Petteri Järvinen kavahtama mahdollisuus perustaa mobiilivarmenne itsepalveluna pankkitunnuksilla on kuitenkin suunniteltu ominaisuus.
”Tällainen ensitunnistamisen ketjuttaminen helpottaa kuluttajia, ja se on yleisesti tehty mahdolliseksi Euroopassa. Uuden tunnistusvälineen voi hankkia sähköisesti ilman käyntiä tarjoajan fyysisessä toimipisteessä”, Kyberturvallisuuskeskuksen Lehtilä sanoo.
DNA:n Tuominen myös pitää tunnistautumista pankkitunnuksilla luotettavampana kuin henkilöllisyystodistukseen perustuvaa tunnistautumista myymälässä.
Identiteettivarkaus voi jäädä pimentoon
Jos rikollinen onnistuu perustamaan mobiilivarmenteen uhrinsa nimiin, asianosainen ei yleensä tiedä tapahtuneesta. Omissa nimissä olevat mobiilivarmenteet saa tietoonsa vain selvittämällä asian jokaiselta mobiilivarmennetta tarjoavalta operaattorilta.
Ei ole siis kattavaa näkymää henkilön mobiilivarmenteista – ainakaan vielä.
”Keskitetty rekisteri olisi hyödyllinen asiakkaalle. Siihen olisi hyvä saada mukaan myös pankkitunnukset ja mahdollisuus tarkastaa, minne on viime aikoina kirjautunut eri tunnistusvälineillään. Toteuttaminen edellyttäisi viranomaisyhteistyötä. Olisimme mielellämme mukana hankkeessa”, Telian Turunen sanoo.
Näin toimit turvallisesti mobiilivarmenteen kanssa
Rikolliset eivät pääse perustamaan nimiisi mobiilivarmenteita, kunhan et vain lankea pankkitunnusten urkinta-ansoihin. Älä siis koskaan klikkaa linkkiä, jossa pyydetään millä tahansa verukkeella kirjautumaan pankkitunnuksilla, niin olet jo kohtuullisen turvassa. Asialliset toimijat eivät lähetä viestejä, jotka sisältäisivät linkin kirjautumiseen.
Turvallisimmat tavat pankkitunnustunnistautumiseen ovat palvelun osoitteen kirjoittaminen suoraan selaimen osoiteriville – ei siis hakukoneen kautta – ja palveluntarjoajan virallinen sovellus. Muun muassa Finanssiala ry tarjoilee lisää ohjeita.
Mobiilivarmenteen väärinkäytösten estämisessä on ensisijaisen tärkeää olla hyväksymättä kännykkään saapuvia tunnistautumispyyntöjä, joita et ole itse laittanut alulle. Rikolliset voivat sumuttaa esimerkiksi lähettämällä ennen tunnistautumispyyntöä tekstiviestin, jossa käyttäjää erikseen ohjeistetaan hyväksymään pian saapuva tunnistautumispyyntö esimerkiksi kiireeseen vedoten.
Ulkopuolisten tekemiltä tunnistautumispyynnöiltä voi suojautua tehokkaasti asettamalla mobiilivarmenteelle häirinnänestokoodin. Tunnistautumispyyntöä ei voi lähettää ilman sitä. Ohjeet koodin asettamiseen löytyvät operaattoreiden sivuilta.
Jos et hyväksy pyytämättömiä tunnistautumispyyntöjä etkä luovuta pankkitunnuksiasi ulkopuolisille, mobiilivarmenne on turvallinen tunnistautumisväline.
Kari Ahokas
Jutun lähteenä on haastattelujen lisäksi taustoittava keskustelu tietoturvayhtiö NGITin kaupallisen johtajan Kimmo Vesajoen kanssa.
