Näytetään tekstit, joissa on tunniste tietojen kalastelu. Näytä kaikki tekstit
Näytetään tekstit, joissa on tunniste tietojen kalastelu. Näytä kaikki tekstit

torstai 12. lokakuuta 2023

PANKIN MOBIILISOVELLUKSEN RISKIT

Lyhyt oppimäärä: mobiilipankkia käyttäessään on oltava hyvin, hyvin varovainen.

 

Tämä huijaus ei tule sähköpostina, ei tekstiviestinä, ei hämäränä linkkinä.

Esimerkki HUIJAA puhelimelle asennetun mobiilisovelluksen kautta.  Perustuu ihan siihen, että sovellusta käyttää henkilö, joka on VAROMATON käyttäjä. Kosketusnäytön riskit ovat ilmeiset, jos sormet vapisevat ja nykivät ruutuun vahingossa.

Kaikkien pankkien sovellukset eivät toimi samalla tavalla, mutta esimerkkinä tässä itse käyttämäni S-pankki.

Mennään tunnistautumista vaativaan palveluun, esimerkiksi kanta.fi ja valitaan tunnistautumismenetelmäksi S-pankin mobiilitunnistus. 


Tähän kirjautumiskohtaan voi kuka tahansa, myös ”Harri Huijari” syöttää tietysti minkä tahansa sääntöjen mukaisen käyttäjätunnuksen, esim. 12345678. Silloin verkkosivu lähettää tunnistuspyynnön sille mobiilisovellukselle, jonka tuo käyttäjä 12345678 ”Urpo Uhrinen” on asentanut.




Huijauksen voi kohdistaa tarkasti tiettyyn henkilöön, jos on saanut jostain tietoonsa (lasku, tiliote, asiakaskirje ym.) hänen käyttäjätunnuksen. Huijari voi myös laittaa satunnaisen asiakasnumeron ja kokeilla, kuka päästää läpi. Ehkä ”Ansa Asiakas” tai ”Raimo Riskinen”.


Jos uhrilla on asennettuna S-Pankin mobiilisovellus, ruutuun voi tulla seuraava ilmoitus


Tämä on kriittinen vaihe. Jos ei itse ole kirjautumassa palveluun tuolla yksilöintitunnuksella, pitää PERUUTTAA!!

EI SIIRRYTÄ TUNNISTAUTUMAAN!!!

Jos menee eteenpäin, pyytää sovellus vahvistusta esimerkiksi sormenjäljellä, kasvokuvalla tai tunnusluvulla.

 


Jos vahingossa laittaa sormenjälkensä lukijaan, on PIRU IRTI. Huijari pääsee sinun tietojasi monessa palvelussa vähintäänkin SELAILEMAAN, MAHDOLLISESTI JOPA MUUTTAMAAN, SIIRTÄMÄÄN DATAA JA RAHAA!!!

 Siis pankin lisäksi myös muihin palveluihin, joihin pankkitunnuksilla voi kirjautua (kela, kanta, vero, trafi jne.)

Tämä on tavallaan "kalasteluhuijaus", mutta tulee hiukan poikkeavan kanavan kautta. 

Sovellus toimii ihan sillä tavalla, kuin on ilmoitettu. Tämä ei siis ole mikään bugi, vaan ominaisuus.

Kuten alussa totesin, eri pankeilla on omanlaisensa tunnistautumismenetelmät. Kannattaa kuitenkin opiskella, miten ne toimivat. Jos niissä on useita vaihtoehtoisia tunnistautumiskeinoja, valitse turvallisin! Helpoin ei ole aina paras.


torstai 3. elokuuta 2023

QR-koodia käytetään myös huijauksissa

QR-koodin käyttö tietojenkalastelussa yleistyy

Kyberturvallisuuskeskus Julkaistu

"Rikolliset jakavat QR-koodeja sähköpostin, sosiaalisen median tai jopa fyysisten lentolehtisten ja tarrojen välityksellä. Aidon näköisen QR-koodin varjolla mainostetaan esimerkiksi erikoistarjouksia tai kehotetaan vastaanottajaa hyväksymään kiireellinen tietoturvapäivitys. “Quishing”-sähköpostiviestissä yritetään luoda kiireen tuntua, kuten muissakin tunnustenkalasteluviestissä, mutta siitä puuttuvat huijausviesteistä tutut linkit ja liitetiedostot."

-----------------------------ESIMERKKI QR HUIJAUKSESTA------------------------

(kuva: Kyberturvallisuuskeskus)