Pankkihuijaukset ottavat kierroksia – varotasoa lisättävä

Kyberrikokset, joiden uhreiksi päätyvät tavan kansalaiset, ovat pahenemaan päin. Julkisuudessa on ollut mm. digihuijaustapaus, jossa kaapatulta tililtä on siirretty rahaa espanjalaiseen pankkiin: erikoista sinänsä, että siirretään EU-alueen pankkien sisällä saalisrahaa – ja laiton transaktio onnistuu noin vain.
Kertooko tämä jotakin unionin tilasta? Lisäksi edellä mainitussa tapauksessa kyberrikollinen on puhunut hyvää suomea. Hän on esitellyt useita itsensä kannalta vakuuttavia seikkoja, ja saanut lopulta epäilijän luovuttamaan lukuja tunnuslukulistastaan. Riittääkö tämä näytöksi siitä, että pankkiyhteystunnistusta ei tule tehdä ”helpoksi”, eli heikentää entisestään? Kuulen helppo-sanan korvissani vihjeenä: helppo murtaa. Transaktion vahvistaminen joko sähköisellä tunnuslukulaitteella tai mieluummin avainlukulistalla on se perusta, jota ei voi ohittaa muuten kuin kontaktilla tilin todelliseen haltijaan. Näin huijaus satsaa siihen, että virtuaalisen pankkiryöstön transaktio saadaan ajattelua läpi: ja tilin todelliselta haltijalta tunnistuksen toinen vaihe, avainluku, saadaan rikolliselle tavalla tai toisella. Ei ihme, että siinä onkin menty röyhkeydessään pöyristyttäviin suorituksiin.
Kukaan ei ole suojassa kalasteluhyökkäyksiltä
Monivaiheisen, vähintään kaksivaiheisen todennuksen puuttuminen tulisi luokitella haavoittuvuudeksi palvelussa. Pikamaksu on erittäin haavoittuva, selvää, mutta sen maksurajaa mentiin silti nostamaan. Päätöksiä tekevät ekonomistit, joiden tietotekninen orientaatio, eritoten tietoturvan osalta on heikko. Sama muuten koskee sairaaloita: poskettoman kalliita potilastietojärjestelmiä suunnittelevat lääkärit ilman tietotekniikan, tieturvan ja tietosuojan menetelmäpaletit hallitsevien ammattilaisten mukanaoloa. Sutta on syntynyt, ja syntyy, veronmaksajien laskuun. Kyberrikokset arkipäiväistyvät hyvää vauhtia. On korkea aika tajuta, että kalasteluhyökkäyksiltä ei kukaan ole suojassa.
Kysymyskaavakkeen postannut Etlan tutkija ottaa rauhallisesti minun kyselyni siitä, kuinka voin varmistua, että linkki ajaa nettikyselykaavakkeen ja on sisällöltään sitä, mitä sen väitetäänkin olevankin? Sillä epäilykseni heräsi, kun sivu ei toiminut: olinhan mennyt sen avaamaan aika kevyin perustein. Olisin siis voinut olla digihujauksen uhri.
Vaadin varmennusta:
”Lähetän tämän viestini sähköpostiosoitteesta, joka löytyy myös Etlan sivuilta.”
Ei riitä. Tuo feikki-e-malin konfigurointi on lapsenleikkiä.
Kontakti jatkaa vakuuttavaan sävyyn:
”Voin myös lähettää varmistukseksi tekstiviestin puhelinnumerosta, joka myöskin löytyy Etlan sivuilta.”
Tämä onkin jo jotain, mutta nyt myös puhelinnumeron aidolta näyttäminenkin on mahdollista. Netissä löytyy palveluntarjoajia, jotka mahdollistavat päätelaitteelta puhelua soittaessa ulos näkyvän numeron simuloinnin ihan vapaavalintaiseksi: puhelu reitittyy perille näyttäen tulevan aidosta numerosta, vaikka oikeasti se tulee ties mistä ihan muualta. SMS-viestillä pelittää sama kaava. Lopulta oli tehtävä päätös, että luotan siihen, että henkilö on asialla, jolla väittää olevansakin. Hänen työnsä näytti tähdelliseltä.
