Suomalaiset viranomaiset suosittelevat mobiilivarmennetta turvallisena tunnistautumistapana pankkitunnusten sijaan. On väitetty, etteivät rikolliset pysty varastamaan rahoja. Kuulin tänään Ivan Puopolon YouTube-kanavalta, että Töölön Vireeltä oli huijattu mobiilivarmenteen avulla 200 000 euroa. Töölön Vireen yrittäjä Johanna Hirn oli aloitteellinen asian tuomiseksi julkisuuteen. Kiitos siitä!
Huijauksen juonikuvio
Ensin huijari murtautuu palveluun X ja lisää sinne haittakoodia. Seuraavaksi hän etsii verkosta yrityksen, joka todennäköisesti käyttää sekä palvelua X että taloushallinnon järjestelmää Y, joihin kumpaankin voi kirjautua mobiilivarmenteella. Etsimistä nopeuttaa se, että yritysten käyttämät taloushallinnon järjestelmät paljastuvat käytännössä verkkolaskuosoitteistosta.
Seuraavaksi yrittäjä kirjautuu mobiilivarmenteella palveluun X ja ilmoittaa kirjautumisen aluksi puhelinnumeronsa. Tämä kuuluu mobiilivarmenteen luonteeseen. Huijarin haittaohjelma estää häntä kirjautumasta sisään. Yrittäjä olettaa, että PIN-koodi oli väärin tai mobiilivarmenteessa oli häiriö. Todennäköisesti yrittäjän puhelinnumero oli huijarilla jo etukäteen tiedossa, mutta hän saisi sen selville myös palvelun X tietokannasta. Huijausta helpottaa, jos huijari saa aiheutettua yrittäjälle tarpeen kirjautua palveluun X muutaman tunnin aikaikkunassa. Videon perusteella näin on käynyt.
Seuraavaksi huijari kirjautuu muutaman sekunnin kuluessa mobiilivarmenteella taloushallinnon järjestelmään Y. Yrittäjä antaa PIN-koodin toisen kerran. Huijari pääsee kirjautumaan sisään taloushallinnon järjestelmään Y. Yrittäjä ei pääse edelleenkään kirjautumaan sisään palveluun X.
Seuraavaksi huijari vaihtaa yrittäjän sähköpostiosoitteen ja puhelinnumeron taloushallinnon järjestelmään. Taloushallinnon järjestelmä ei pyydä näille vahvistusta. Huijari tekee taloushallinnon järjestelmästä maksutoimeksiantoja. Taloushallinnon järjestelmä ei pyydä näillekään vahvistusta. Myöskään pankki ei pyydä maksutoimeksiannoille vahvistusta, koska taloushallinnon järjestelmällä on sopimusteknisesti ohituskaista pankin turvajärjestelmän ohi.
Huijaus on vaikeasti havaittava seuraavista syistä johtuen:
- Ei ollut kiireen tuntua.
- Sähköpostiviesti vaikutti aidolta ja linkit johtivat oikeaan palveluun X.
- Mobiilivarmenteessa ei ollut haavoittuvuutta.
Toimi seuraavasti
Jos käytät mobiilivarmennetta, älä koskaan anna PIN-koodiasi kahteen kertaan lyhyen ajan sisällä. Tämä sama ohje soveltuu hyvin muidenkin huijausten estämiseksi.