Tunnistautumisen turvallisuus puhuttaa

Tunnistautumisen huoltovarmuus on ollut viime aikoina vahvasti pinnalla julkisissa keskusteluissa erityisesti palveluihin kohdistuvien palvelunestohyökkäyksien ja niistä aiheutuneiden häiriöiden vuoksi. Huoltovarmuuden näkökulmasta onkin suositeltavaa, että kuluttajalla olisi käytössään vähintään kahdenlaiset tunnistautumisvälineet.

Keskusteluissa pankkitunnusten rinnalle nostettua mobiilivarmennetta tarjotaan ratkaisuksi myös suomalaisia piinaavaan tietojenkalasteluun. Petostentorjunnan näkökulmasta mobiilivarmenne ei kuitenkaan ole ongelmaton. Miksi näin?

Tietojenkalastelussa keskiössä on käyttäjän manipulointi

Tietojenkalastelu perustuu aina siihen, että uhri tavalla tai toisella luovuttaa käyttäjätunnuksensa rikolliselle ja hyväksyy itse toimintoja omilla tunnistusvälineillään. Näin toimivat kaikenlaiset kalastelut. Turvallisuuden kannalta keskeisiä ovat vahvistusviestit, varoitukset ja lisävarmistukset, joita asiakas näkee tunnistautumisen eri vaiheissa. Turvallisuuden kannalta olennaista on myös se, että kuluttaja lukee ne.

Usein tietojenkalastelu tapahtuu jonkun muun toimijan kuin pankin nimissä, esimerkiksi verottajan, terveydenhuollon toimijan tai viranomaisen. Tämän vuoksi mediassa on viime aikoina nostettu mobiilivarmenteen käyttöä turvallisena tapana tunnistautua muualle kuin pankin palveluihin kirjauduttaessa. Taustalla on ajatus, että mobiilivarmenteella ei voi kirjautua verkkopankkiin, eikä siten rikollinen voi päästä käsiksi tilillä oleviin varoihin. Mobiilivarmenteen eduksi on luettu myös se, että huijarit eivät ole ainakaan toistaiseksi onnistuneet kaappaamaan sitä. Tässä narratiivissa tehdään oletus, että kaikki huijaukset perustuvat tunnistusvälineen oikeudettomaan käyttöönottoon – näin ei kuitenkaan ole. Tietojenkalastelun uhri vahvistaa rikollisen kirjaamat toimenpiteet lähestulkoon aina itse omilla tunnistusvälineillään.

Mobiilivarmenteen käyttäjiä suojaa tällä hetkellä käytännössä se, että sillä on verrattain vähän käyttäjiä. Tämän vuoksi rikolliset eivät ole siitä vielä kovinkaan kiinnostuneita. Tilanne voi kuitenkin muuttua nopeastikin.

Mobiilivarmenne ei turvaa tietojen kalastelulta

Erilaisiin palveluihin kirjautumisen lisäksi mobiilivarmenteen kanssa voi tunnistautua myös lainojen ja osamaksusopimusten hakemiseksi, pankkitunnusten käyttöön ottamiseksi ja joissain tapauksissa myös sijoitusten hallinnoimiseksi.

Kannattaa pysähtyä miettimään, mihin muihin tietoihin mobiilivarmenteella pääsee käsiksi ja miten tietoja voitaisiin väärinkäyttää. Kaikkea tietoa, jota on saatavilla eri tietokannoissa, voidaan käyttää kohdennettuun petokseen. Tiedon hyödyntäminen on todellinen riski, sillä olemme viime vuosina havainneet, että rikolliset ovat valmiita käyttämään paljon resursseja saadakseen oman tuottonsa rikoksesta.

Tieto on rikolliselle valtaa ja rahanarvoista. Esimerkiksi puhelinsoitoilla tapahtuvat suomenkieliset huijaukset ovat olleet voimakkaassa nosteessa viimeisen parin vuoden ajan. Puheluita edeltää usein huijausviesti, jonka kautta uhri on saatu antamaan tietojaan. Jos petoksen tekijällä on tietoja uhrista, joilla luoda luottamusta, onnistumisprosentti nousee eksponentiaalisesti.

Yhteistyö ja valppaus avainasemassa

Tietojenkalasteluun ei ole olemassa kaiken ratkaisevaa hopealuotia. Jos olisi, sitä suosittelisivat kaikki. Pankit tekevät paljon, jotta rikolliset eivät onnistuisi yrityksissään. Myös monet muut toimijat pyrkivät estämään petoksia.

Turvallinen digiasiointi perustuu muutamaan kulmakiveen: älä toimi kiireessä tai painostettuna, varmista yllättävät yhteydenotot ennen kuin toimit ja lue aina huolella, mitä vahvistat. Nämä neuvot koskevat kaikkia tunnistautumisvälineitä.

Petokset eivät tule häviämään, mutta ilmiön jatkuvalle kasvulle täytyy laittaa piste. Kasvun katkaisemiseksi ja turvallisuutta parantavaan muutokseen tarvitaan meidän kaikkien yhteistyötä. 

Kirjoittaja Sara Helin työskentelee Nordeassa petostorjunnan asiantuntijana.