Tietokirjailija ja tietoturva-asiantuntija Petteri Järvinen paljastaa blogissaan, kuinka helposti mobiilivarmenne voidaan kaapata yhdellä pankkitunnuksella. Hän on varoitellut mobiilivarmenteeseen liittyvistä riskeistä aiemminkin. Mobiilivarmenteen aukkojen takia sillä voi kaapata esimerkiksi puolison identiteetin.
Mobiilivarmenteen suosio tunnistautumisvälineenä on kasvanut räjähdysmäisesti viime vuosina. Syynä ovat verkkopankkitunnusten kalastelu, joka voi pahimmillaan johtaa rahojen menetykseen.
Mobiilivarmenne ei kuitenkaan ole niin vaaraton tunnistautumisen väline kuin usein annetaan ymmärtää. Järvinen huomauttaa, että mobiilivarmenne omaan puhelimeen voidaan hakea pelkällä pankkitunnistamisella.
– Juju on siinä, ettei hakemisen yhteydessä tarkisteta, kenen puhelimeen varmenne varsinaisesti tulee. Jos uhri erehtyy syöttämään pankkitunnuksensa kalastelusivulle, rosvo saa hänen mobiilivarmenteen omaan puhelimeensa ja pystyy siitä eteenpäin todentamaan itsensä vahvasti moniin viranomais- ja lainapalveluihin, Järvinen selventää blogissaan.
Järvinen on nostanut mobiilivarmenteen puutteita esiin useita kertoja. Ulostulot ovat saaneet näkyvyyttä mediassa, mutta muuta vaikutusta asialla ei ole vaikuttanut olevan eikä epäkohtiin ole puututtu.
– Viranomaiset suosittelevat mobiilivarmennetta pankkien ulkopuoliseen asiointikäyttöön, joten olisi kohtuullista, että ne myös varoittaisivat väärinkäytön mahdollisuuksista tai vaatisivat lisää suojakeinoja.
Järvinen päätti kokeilla itse, kuinka helppoa mobiilivarmenteen kaappaaminen on. Hän kokeili asiaa tuttavan puhelimella, jolla oli käytössä Telian liittymä. Vaikka seuraavat esimerkit menevät Telian käytäntöjen mukaan, Järvisen mukaan käytäntö toimii samalla tavalla muissakin operaattoreissa.
Aluksi mobiilivarmenteen aktivointi käynnistyy operaattorin sivulta. Sieltä voit valita itsellesi numeron, johon varmenne asennetaan.
– Puhelinnumeroa kysytään, mutta missään ei tarkisteta, kenelle liittymä kuuluu. Mahdotonta se olisikin, koska liittymä voi olla yrityksen nimissä. Aiemmin mobiilivarmenteen pystyi hakemaan vain henkilökohtaisella käynnillä asiointipisteeseen ja vain henkilökohtaiseen liittymään, mutta vaatimuksista luovuttiin kilpailun lisäämiseksi. Se johti turvallisuuden heikkenemiseen.
Seuraavaksi asiakas hyväksyy palvelun erityisehdot. Ehdoissa todetaan, että ”palvelun voi rekisteröidä itselleen sen matkapuhelinliittymän tunnistettu käyttäjä, jonka matkapuhelinliittymään palvelua ollaan liittämässä. Telia tekee tarvittaessa tarkistuksen, onko liittymä käyttäjän hallussa.”
– Operaattori varaa itselleen oikeuden tehdä tarvittaessa tarkistuksia liittymän todellisen käyttäjän henkilöllisyydestä. Oikeus siis on, mutta sen käyttäminen lienee harvinaista. Joka tapauksessa riski on tiedostettu myös operaattorin päässä, Järvinen toteaa.
Erityisehdoissa todetaan lisäksi muun muassa, että käyttäjä on velvollinen säilyttämään tunnistusvälinettä (eli mobiilivarmennetta) huolellisesti eikä sitä saa luovuttaa toisen käyttöön.
– Pankkitunnuksissa on samat velvoitteet, mutta pankit todella tarkistavat asiakkaan ennen verkkopankkitunnusten luovuttamista. Jos esimerkiksi vanhus vaikuttaa epävarmalta eikä kykene nettiasiointiin, tunnuksia ei luovuteta, Järvinen huomauttaa.
Edellä mainittu esimerkki kuitenkin osoittaa, että mobiilivarmenteen saa ilman mitään tarkistuksia, vaikka molemmilla on sama vahvan todennuksen luottamusasema.
Järvisen esimerkki ei ole vielä kokonaan ohi. Seuraavaksi vastaan tulee kriittinen kohta. Mobiilivarmenteen hakijan pitää tunnistautua pankkitunnuksilla tai varmennekortilla. Tähän kohtaan kalasteluhuijarit hänen mukaansa iskevät.
– Kun uhri saadaan kirjautumaan edes kerran omilla pankkitunnuksillaan, rosvo saa asennettua hänen mobiilivarmenteensa itselleen.
Kaikki ilmoitukset uuden varmenteen käyttöönotosta tulevat alussa annettuun puhelinnumeroon, joten uhri ei näe niitä.
– Uhri ei välttämättä havaitse lainkaan, että hänen vahva sähköinen identiteettinsä on siirtynyt toiseen puhelimeen ja siten toisen henkilön käyttöön. Tämä antaa huijarille aikaa toimia.
Kaiken lisäksi samanaikaisesti voimassa olevia mobiilivarmenteita voi hakea useisiin puhelimiin, mitään rajoitusta ei ole. Tässä on Järvisen mukaan selviä puutteita.
– Vähintäänkin pitäisi olla palvelu, josta voisi itse tarkistaa, kuinka monta mobiilivarmennetta omalla HETUlla (henkilötunnuksella) on käytössä, missä numeroissa ne ovat ja mihin niillä on viimeksi tunnistauduttu.
Lopuksi hän huomauttaa, että puhelimessa voi olla käytössä vain yksi varmenne. Siksi käyttöön tarvitaan liittymä, johon varmennetta ei ole vielä aktivoitu. Koska mobiilivarmenne ei toimi prepaid-liittymissä, verkkohuijarin on hankittava ”oma” puhelin.
– Liittymää avattaessa operaattori tarkistaa asiakkaan henkilöllisyyden, koska kyse on luotollisesta postpaid-sopimuksesta. Huono juttu rosvon kannalta. Siksi huijarit käyttävät varastettuja puhelimia tai muuleja, jotka luovuttavat puhelimensa pientä korvausta vastaan. Liittymän pitää olla sellainen, ettei siihen ole aiemmin aktivoitu mobiilivarmennetta, Järvinen huomauttaa.
Järvinen nostaa esiin vielä yhden yksityiskohdan: mobiilivarmenne on voimassa viisi vuotta.
– Joissakin tapauksissa sim-kortti pitää käydä vaihtamassa uuteen, joillakin operaattoreilla varmenteen voi uusia verkkopalvelussa tunnistautumalla.
LUE MYÖS:
Mobiilivarmenteessa vakava puute – huijaus voi onnistua ilman valesivua
Tiesitkö? Mobiilivarmenteella voi kaapata puolison identiteetin
Verkkopankeissa on ongelma, avaa huijauksen mahdollisuuden