Tietoturva-asiantuntija ja tietokirjailija Petteri Järvinen esittää keinoja suomalaisten verkkopankkien tietoturvan parantamiseksi.
Viime aikoina julkisuudessa on ollut esillä useita tapauksia, joissa huijarit ovat onnistuneet viemään ikäihmisiltä heidän koko elinikäiset säästönsä. Järvinen harmittelee etenkin sitä, ettei tilanteissa kukaan voi tehdä mitään.
Tuore esimerkki on Kokkolasta, jossa 88-vuotiaan lääkärin tililtä vietiin 88 409,09 euroa.
– Uhri oli erehtynyt syöttämään S-pankin tunnukset kalastelusivulle, jolloin rosvot saivat asennettua verkkopankin omaan puhelimeensa ja tyhjensivät tilin yön aikana yli sadalla erillisellä siirrolla. Eikä pankki huomannut mitään, Järvinen toteaa blogissaan.
Järvinen huomauttaa, että uuden päätelaitteen käyttöönotto ja heti seuraavana yönä tilin tyhjentäminen on niin selvä merkki rikoksesta kuin vain voi olla.
– Sen tunnistamiseen ei tarvita edes tekoälyä, muutama IF-lause riittää. Jos pankin valvonta ei havaitse näin räikeää tekoa, pankki on itse toiminut huolimattomasti.
Usein tällaisissa tapauksissa syyttävä sormi kääntyy uhrin suuntaan. Miksi hän oli niin huolimaton, että hyväksyi rikollisen tunnistuspyynnön?
– Hän oli samaan aikaan itse asioimassa verkkopankissa, jolloin huijauspyynnöt sekoittuivat aitoihin kuittauksiin. Tällainen moka voi sattua kenelle tahansa, Järvinen huomauttaa.
Järvisen mukaan on helppo neuvoa pankkeja ja vaatia niiltä parempia suojauksia tai tekoälyn tehokkaampaa käyttöä.
– Teknisten muutosten tekeminen pankin järjestelmiin on kuitenkin iso ja raskas operaatio. Muutokset tuottavat aina vääriä hälytyksiä ja kuormittavat asiakaspalvelua.
Siksi pankit pyrkivät hänen mukaansa viimeiseen asti ratkaisemaan ongelmat sisäistä valvontaa tehostamalla.
– Se ei vain näytä riittävän, Järvinen huomauttaa.
Hänen mukaansa huijaukset ja niiden yritykset kuormittavat jo nykyisellään raskaasti pankkien asiakaspalvelua.
– Lisäksi parempien suojausten tarjoaminen, vaikka asiakkaat eivät niitä ottaisikaan, olisi pankeille keino välttää omaa vastuuta tyyliin ”me tarjosimme kyllä tällaista viivästettyä tilimuotoa/turvatiliä, mutta asiakas ei sitä ottanut”. Operaattorit ovat tehneet turvallisuudesta kilpailuedun, pankkien pitäisi toimia samoin.
Näin turvallisuutta voisi lisätä
Miten turvallisuutta voitaisiin sitten parantaa? Järvisellä on antaa useita ehdotuksia. Niitä ovat esimerkiksi viivästetyt siirrot, hyväksynnän vaatiminen uhrin sijaan luottohenkilöltä, ulkomaanestot, toimintaan kytketyt värit ja äänimerkit ja pankkien yhteinen 24/7 puhelinpalvelu.
– Niitä voisi keksiä lisääkin, jos pankit kertoisivat, miten onnistuneet huijaukset tapahtuvat. Turvallisuuteen ja yksityisyydensuojaan vedoten tapauksia ei avata, joten tiedollinen ylivoima ja velvollisuus toimia jää niille itselleen. Me ulkopuoliset voimme vain spekuloida, Järvinen huomauttaa.
Tietoturva-asiantuntija kysyykin, voisiko pankkitunnusten protokollaan lisätä tiedon siitä, mistä ip-osoitteesta yhteys on lähtenyt ja mihin url-osoitteeseen se liittyy.
– Pankkitunnusten luvallisilla hyödyntäjillä pitää olla sopimus pankin kanssa, koska he maksavat jokaisesta tunnistamisesta. Auttaisiko tämä tunnistamaan kalastelusivuja?, Järvinen kysyy.
Samalla on muistettava, että myös käyttäjällä on vastuu rahojensa turvallisuudesta.
– Miksi ihmiset seisottavat isojakin rahasummia tavallisilla tileillä, jotka on helppo yhdistää ja siirtää ulos? Mikään siirtoraja tai ulkomaanesto ei auta, jos asiakas voi itse asettaa ja rosvo yhtä helposti poistaa sen. Pakollisen aikaviiveen lisääminen näihin ei olisi pankille vaikeaa.
Kuten uutisissa esillä olleista tapauksista voi päätellä, pankkihuijauksissa vaarassa ovat etenkin iäkkäämmät ihmiset, joilla on kertynyt eläkesäästöjä. Järvinen pohtiikin, mikä olisi sellainen ”turvatili”, johon varat voisi siirtää ilman pelkoa tyhjennyksestä.
– Kaikki eivät halua sijoittaa säästöjään osakkeisiin tai rahastoihin, joiden arvo voi myös laskea. Rahojen palautus turvatililtä kestäisi esimerkiksi kolme pankkipäivää, mikä oli pankin oman edun mukaista.
Järvinen kysyykin, voisiko pankki oma-aloitteisesti tarjota turvatiliä iäkkäämmille asiakkailleen, joilla on esimerkiksi yli 10 000 euroa tilillä.
– Tai voisiko osan tavallisen käyttötilin varoista jäädyttää niin, ettei uhri itse voisi tyhjentää kaikkia varoja, ei edes usealla pienellä siirrolla? Jonkinlainen minimisaldon vaatimus, siis. Tässäkin olisi tuotekehityksen paikka.
Termi ”turvatili” on tullut viime aikoina tunnetuksi siitä, että sitä on käytetty erilaisissa pankkihuijauksissa. Huijarit ovat kehottaneet uhria siirtämään rahansa erilliselle ”turvatilille”. Todellisuudessa sellaista ei ole olemassa, vaan rahat ovat päätyneet suoraan rikollisten haltuun.
Järvinen painottaakin, että pankkien ei kannata sekaannusvaaran vuoksi käyttää omia turvatilejään tällä termillä.
LUE MYÖS:
Whatsappista paljastui vaarallinen aukko: vakoilu onnistuu täysin huomaamatta
Tiesitkö? Mobiilivarmenteella voi kaapata puolison identiteetin
WhatsApp-huijaukset räjähtivät – ”Salatut viestit eivät suojaa rikoksilta”
Käytätkö vanhaa laitetta netissä? Virhe voi tulla kalliiksi
