5 617
muokkausta
Muutokset
Siirry navigaatioon
Siirry hakuun
== Tilisiirto ==
ei muokkausyhteenvetoa
'''Petokset''' verkossa ovat yleisiä. Yli tuhat suomalaista joutuu vuosittain verkossa tapahtuvien petoksien uhriksi. Vahingot ovat vuosittain yli kymmenen miljoonaa euroa. Tekotapoja on monia, kaikissa tavoissa tekijä vastaanottaa hyödyn rahana jossain vaiheessa.
Petoksia voi jaotella tekotavan mukaan:
* uhri on oma-aloitteisesti osapuoli tapahtumassa joka osoittautuu petokseksi (torimyynti, maksukortin kloonaus)
* uhri johdatellaan tapahtumaan ja tekemään petoksen suoritus itse (perintö, paketti, tullaus, lasku)
* uhri johdatellaan luovuttamaan tunnistautumiseen tiedot ja huijari suorittaa petoksen (paketti, tullaus, tilisiirto)
* uhri johdatellaan luovuttamaan tunnistautumiseen tiedot ja huijari luo tunnistusvälineen jolla suoritetaan petoksia (tunnistusväline, maksukortin kloonaus)
* uhri johdatellaan asentamaan ohjelma jolla huijari käyttää uhrin laitteita ja suorittaa petoksia
Näistä voi päätellä petokset mahdollistavat ongelmat:
* tapahtuman toista osapuolta ei oikeasti tunneta verkossa
* verkkopankkitunnusten tai luottokortin käytön mahdollistavien tietojen siirto viestinä (jopa web+sms yhdessä)
* uhri ei ole kykenevä huolehtimaan omista asioistaan ja on siten johdateltavissa
Osapuolen tunnistamisen ongelma on [[Henkilökortti/Asiointipalveluita|palvelun]] ratkaistavissa, mutta jostain syystä vahvempia tunnistustapoja ei ole vaadittu käyttäjiltä. Tunnistustietojen välittäminen viestinä on ratkaistavissa [[MFA]]-välineellä:
* [[HSM]] kuten [[henkilökortti]] tai [[Nordea/eID]], jota yksikään pankki ei salli tällä hetkellä henkilöasiakkaille
* Mobiililaitteen käyttäminen [[SAM]]-välineenä, joka on altis etäkäyttö-petoksiin ja muihin [[mobiilitietoturva]]-ongelmiin
Osa pankeista käyttää tapahtuman vahvistamiseen MFA:ta jäljitteleviä tapoja, esimerkiksi tekstiviestillä välitetty vahvistuskoodi tai mobiilitunnistus uudestaan. Tavat jäljittelevät MFA:n ''something you have'' -osaa, kännykkä on kuitenkin altis etäkäyttöhyökkäykselle ja ''something you have'' muuttuu ''something you know'' joka oli jo ennestään (myös siirrettävissä tietoliikenteellä) eikä MFA:n kriteerit enää täyty.
Pankkien MFA:ta jäljittelevä lisävahvistus ei varsinaisesti ratkaise tunnistamiseen liittyviä ongelmia koska sitä ei käytetä silloin ja käytettäessä vain ko pankin asioinnissa. Nämä vahvistustavat eivät korjaa ongelmia kun pankkitunnistusta käytetään yhteiskunnan muissa palveluissa esim [[suomi.fi]] tunnistamisen kautta.
Henkilökortissa MFA-kriteerit ovat käytössä sekä tunnistamisessa sekä vahvistamisessa (allekirjottaessa).
Uhrin kyky huolehtia omista asioistaan ei ole varsinaisesti tekninen ongelma. Sen ja muiden ongelmien takia on ajauduttu niksipirkka-tietoturvaan jossa [[:Luokka:Pankit|pankit]], [[Kyberturvallisuuskeskus]] ja poliisi jakavat hankalia ja tehottomia ohjeita tunnistaa petosyrityksiä monista eri kanavista. Ne eivät skaalaudu koko väestöön eikä niihin turvautuminen vuosikymmenen ajan ole vähentänyt petoksien lukumäärää tai taloudellisia vahinkoja. Ne ovat päin vastoin kasvaneet. Väestö on ikääntynyt ja mahdollisesti korkea onnistumisaste on kannustanut yrittämään enemmän.
== Maksukortin kloonaus ==
Tämä on yksi vanhimmista petostavoista ajalta ennen Internetiä.
* '''Maksukortin kloonaus ulkomailla''' esimerkiksi analogiselta maksuterminaalin puhelinyhteydeltä jota käytetään kortin luottokelpoisuuden tarkastamiseen ja saaduista tiedoista luodaan kortista kopio jota käytetään maksuihin. Tämä tekotapa on vähentynyt korttien siirryttyä mikrosirujen ja sen sisältämien varmenteiden käyttöön.
* '''Maksukortin kloonaus automaatilla tai maksuterminaalissa''' kortin ''skimmauslaitteella''. Tämä tekotapa on ilmeisesti yhä aktiivinen ainakin ulkomailla.
== Torimyynti ==
* '''Uhrilta laskutetaan verkkotorilla myydyistä tavaroista, mutta toimitusta ei tule tai se ei vastaa ilmoitusta''' ja osoittautuu, että ilmoittajan henkilötiedot eivät pidä paikkaansa koska verkkotorin palveluntarjoaja ei ole tehnyt myyjästä vahvaa tunnistamista missään vaiheessa.
== Perintö , tullaus, lasku ==
* '''Viesti jossa kerrotaan suuresta jumissa olevasta perinnöstä tai vastaavasta jonka vapauttamiseen tarvitaan rahaa''' ja uhrille luvataan osa rahoista vastineeksi avusta - on tyypillisesti sähköpostitse saatu viesti ulkomailta. Ensimmäisen maksusuorituksen jälkeen ilmenee usein uusia ongelmia joiden ratkaisemiseen tarvitaan lisää rahaa ja lypsy jatkuu kunnes uhri lopettaa maksamisen. Alkuun viestit olivat kömpelöä englantia, mutta käännöskoneiden kehityksen myötä osa niistä on jo sujuvaa suomea.
* '''Sähköposti jossa esitetään perusteeton lasku maksutietoineen''' ja uhri maksaa sen itse vieraalle tilille, käyttäen omia pankkitunnuksiaan ja vahvistustapoja.
== Paketit ja tullaus ==
* '''Tekstiviesti tai sähköpostiviesti kehottaa kuittaamaan tai maksamaan tullausmaksun''' verkkosivulla jossa tyypillisesti pyydetään luottokortin tietoja ja kortin [[CVV|CVV-numeroa]] jotka mahdollistavat kortin käytön verkossa.
== Tilisiirto ==
* '''Sähköposti jossa pyydetään kirjautumaan verkkopankkiin tai uhkaukset toteutuu''' ja sähköpostissa oleva verkkopankin kirjautumisnappi / linkki johtaa tekijän omaan verkkopankin näköiskopioon. Kirjautumisyrityksessä saadut käyttäjätunnukset ja salasanat käytetään myöhemmin petoksessa oikeassa verkkopankissa tilisiirtoon.
* '''WhatsApp viestillä saadaan uhri asentamaan etäkäyttöohjelma''' mobiililaitteeseensa ja kun tekijä saa etäyhteyden uhrin puhelimeen, siitä otetaan yhteys verkkopankkiin ja suoritetaan tilisiirto. Petostavassa tekijällä on pääsy mobiililaitteessa olevaan selaimeen tai käytössä olevaan verkkopankki- ja tunnistusohjelmaan joiden käyttö nykyään on yleistä.
== Tunnistusvälineiden Tunnistusvälineen luonti ==
* '''Uhri houkutellaan valesivustolle, saaduilla pankkitunnuksilla luodaan mobiilitunnistusväline''' jota käyttäen tehdään petoksia. Tunnistusvälineen päätyminen vääriin käsiin on muihin petoksiin verrattuna vahingollisempaa koska sen toistuva käyttö ei vaadi enää uhrin kanssakäymistä jossa voisi paljastua ja Suomessa ns vahva tunnistusväline avaa lähes kaikki palvelut tekijälle.
== Allekirjoitus palvelussa ==
