Perinteisen sim-kortin voi uudemmissa puhelimissa korvata täysin digitaalisella e-sim-kortilla.
Silloin puhelimeen ei laiteta ollenkaan fyysistä sim-korttia, vaan puhelimen käyttöä varten tarvittavat tunnisteet ladataan suoraan operaattorilta langattomasti.
E-sim-teknologian myötä puhelinliittymän kaappaamisesta on kuitenkin tullut entistä helpompaa, varoittaa tietoturva-asiantuntija ja tietokirjailija Petteri Järvinen blogissaan.
Verkkopankissa suurin riski on asiantuntijan mukaan silloin, jos tunnistautumiseen käytetään tekstiviestiä eikä pankin omaa tunnistautumissovellusta.
– Kaappaamalla liittymän itselleen rosvo pystyy tyhjentämään tilin, koska hän saa kaikki koodit ja lisävarmistukset itselleen.
Järvinen kertoo tapauksesta, jossa huijauksen uhriksi joutunut henkilö yritti kirjautua verottajan Omavero-palveluun. Uhri päätyi kuitenkin rikollisten ylläpitämälle valesivustolle.
Ensin uhri yritti oikeaoppisesti kirjautua sisään pankkitunnusten sijaan mobiilivarmenteella. Sivu antoi kuitenkin virheilmoituksen, mikä on Järvisen mukaan usein merkki huijauksesta.
– Sen jälkeen uhri kokeili Aktian pankkitunnistusta. Hän syötti tunnukset neljä kertaa muutaman minuutin aikana, mutta virheilmoitus toistui itsepintaisesti ja pyysi yrittämään uudelleen.
– Lopulta asiakas luovutti, mutta rosvot olivat jo saaneet haluamansa. Liittymän siirto e-simille vaati Telian sivulla vain kaksi vahvaa todennusta ja QR-koodin, joka näkyi rosvoille. Uhrin puhelimeen tuli vain viesti, että e-sim on aktivoitu.
Sen jälkeen liittymä lakkasi toimimasta alkuperäisessä puhelimessa. Samalla rikolliset saivat myös täyden pääsyn uhrin tileille, sillä tunnistautumiseen vaadittavat tekstiviestivahvistukset menivät uuteen liittymään. Rikolliset veivät uhrilta yhteensä 23 632 euroa.
Järvisen mukaan pankin järjestelmät eivät reagoineet mitenkään siihen, että uhrin tileillä olleet rahat yhdistettiin yllättäen yhdelle tilille ja samaan aikaan uhrin nimissä otettiin luottoa. Järjestelmä ei myöskään reagoinut siihen, että kaikki rahat siirrettiin kerralla ulkomaille.
– Uhri huomasi asian vasta seuraavana aamuna, kun hänen puhelimensa oli lakannut toimimasta. Yhteydenotto pankkiin toisella puhelimella ei enää auttanut, rahat olivat poissa.
Kyseisessä tapauksessa FINE Vakuutus- ja rahoitusneuvonta asettui uhrin puolelle ja suositteli Aktiaa korvaamaan vahingon.
Järvinen ihmettelee, miksi pankit ja tunnistuspalveluita tarjoavat operaattorit sallivat huijauksille alttiiden ratkaisujen käytön. Esimerkiksi puhelinnumeron käyttö tunnistautumisessa pankin oman tunnistautumissovelluksen sijaan on asiantuntijan mukaan todellinen riski.
Lisäksi hän pohtii, miksi tekstiviestillä tulleessa tunnistautumispyynnössä ei lukenut, mihin palveluun huijauksen uhri oli todellisuudessa kirjautumassa. Järvinen muistuttaa, että uhri luuli kirjautuvansa omaveroon, mutta todellisuudessa rikolliset käyttivät hänen tunnuksiaan kirjautuakseen verkkopankkiin. Se tieto ei näkynyt tekstiviestissä.
Myös pankkien toimintaa tulisi asiantuntijan mukaan kehittää. Esimerkiksi viiveelliset siirrot ulkomaille, isojen siirtojen lisävarmistus etukäteen nimetyn varahenkilön kautta, ulkomaan siirtojen lukitus ja tilin tyhjennyksen sekä luoton ottamisen estäminen ilta-aikaan voisivat Järvisen mukaan olla tehokkaita keinoja.
Tärkeintä yksittäisen henkilön kannalta on Järvisen mukaan se, että verkkopankkiin tunnistautumiseen ei käytetä pelkkää tekstiviestitunnistautumista. Hän kehottaa jokaista varmistamaan omalta lähipiiriltään, että käytössä on tekstiviestin ohella muu tunnustautumismuoto.
– Tekstiviesteihin ei voi enää luottaa! hän tiivistää.