Onko pankkitilisi kaapattu, minkä pankin asiakas olet?
Universaalista ongelmanratkaisijasta tuli ongelmavyyhdin uhri. Osaako joku selostaa millä lailla pankkikaappaukset ja rötökset tänä päivänä tehdään ja miten ne vaikuttavat?
Kun väittelin tästä aiheesta 15 vuotta sitten, IT-lehdet ja valtakunnanlehdet kirjoittivat, että Sampo-pankin ongelmat näillä keinoin voidaan ratkaista. Kehitin siihen symbolisen analyysin, menetelmän, joka on yhdistelmä koneen ja ihmisen ratkaisutapaa, mutta eivät yliopistot, eikä Nokia lähteneet lunastamaan näitä median lupauksia. Oli minulla silloin jo 25 vuoden suunnittelukokemus ihan oikeistakin koodaustöistä ja vaativista projekteista mm. diagnostiikkapuolelta, mutta se ei kenellekään kelvannut.
Tiedekunta, josta valmistuin keskittyi palkkaamaan armeijasta eläkkeelle jääneitä everstejä muka tietoturvahommiin, mutta viimeisimmät tulivat selostamaan Ukrainan sotaa – kansan toivomuksesta. Miten everstistä tulisi yhtäkkiä tietoturvakoodauksen asiantuntija?
Tilanteeni on nyt seuraava
Tilini ovat pankissa, joka tuli äsken kuuluisaksi siitä, että asiakkaat voivat tyhjennellä toistensa tilejä. Mitään kyselyä ei minulle tullut edes siitä, olenko itse kärsinyt mistään. Luulen, että kunnon kartoitusta ja korjauksia ei tehty. Nyt tammikuussa 2023 ainakin huomasin, että melko suuri rahaerä oli häipynyt jonnekin STUNTCLOUDS.COM – tilille, ja kun yritin selvittää mikä tuollainen firma olisi, niin mitään ei tullut esille. Se on siten huijaus.
Miten voi olla näin, että tililtä katoaa huitsin Nevadaan rahaa yhtä äkkiä? Katoamisella täytyy olla joku logiikka.
Onko joku hakkeroinut minun salasanat, korttitunnukset, pankkikorttitunnukset vai mitä? Jos joku kysyy, en pysty käyttämään symbolista analyysiä (v. 2008) kun niitä tutkimuksen edellytyksiä ei enää ole, ja sen jälkeenhän tietoturvakriisit on vasta alkaneet yleistyä.
Pankin asiakaspalvelu on yhtä hoomoilasta. Merkonomit selittivät, että haluanko sulkea kortin? Suljin yhden kortin, mutta luottamukseni pankkipalveluihin ovat täydellisesti kadonneet.
Tämä pankki on osa finanssitavarataloa, mikä on nobelisti Roubinin mukaan äärimmäisen vaarallinen kehityssuuntaus, koska kansalaisen oikeusturva on nyt kiinni sen finanssitavaratalon kaikkien toimielimien suosiosta, että kieltävätkö häneltä yhden tai kaikki palvelut, jos tulee kiistaa tai rahat loppuu. Silloin on vaikea kilpailuttaa palveluita muilta, jos on kiinni yhdestä syystä (vakuutukset, talletukset, lainat, kauppasopimukset jne). Tuollaiset finanssitavaratalot ovat yleensä tiukkoja taloudesta, ja ne ulkoistavat IT-osastonsa siksi aikaa, kun kehitystä tehdään, ja kehityksen loputtua IT-palvelut jäävät heitteille. Tälläkään pankilla ei ole ainoatakaan IT-yhdyshenkilöä, jolta voisin kysyä miten noita ongelmia yleensä pääsee syntymään, ja millä keinoin saisin varmuuden siitä, etteivät huijarit huomenna tai ensi kuussa tyhjennä kaikkia muitakin tilejä?
Tuo pankki muistuttaa autonvalmistajaa, joka jättää vararenkaan pois ja bensatankista korkin myös pois, tai lukon unohtaa korkkiin laittaa. Kuka tahansa sellaisesta autosta voisi aina tilanteen tullen kähveltää tankin tyhjäksi, jos alkeellisiakaan varmistuksia ei ole tehty asiakkaan suojaksi.
1990-luvulla vielä oli korrekti asiakaspalvelu ihanteena
Jo 1990-luvulla alkoivat yleistyä laatustandardit, kuten ISO 9000-järjestelmä. Niillä standardoitiin kaikki palvelujen ja tuotannon tasot. Ensimmäisenä haluttiin hoitaa kuntoon juuri asiakaspuoli. Nyt tämä kehno finanssipaja on mokannut sen, kuten viime vuonna koko Suomi sai uutisista kuulla.
Mutta voiko tämän perusteellisemmin Suomen tutkimus- ja koulutus- ja kehityssysteemit kokonaisuutena ja valtakunnan tasollakin epäonnistua? Mielestäni ei, mutta sama kehitys yhteiskunnassamme on näkyvissä kaikkialla, eikä vähiten politiikassa. Tieteen arvostus on romahtanut, osaamistaso laskee. Jos asenteet olisivat olleet kunnossa silloin (väitökseni aikaan), olisin löytänyt ihanteellisen työpaikan huolehtia Suomen tietoturvasta ja diagnostiikasta ja ohjelmistoluotettavuuden kehittymisestä ihan korkeimmalta tasolta alkaen.
Yleissääntönä on, että aivan ensiksi pitää aina laittaa infrastruktuuri kuntoon, koska se antaa valmiudet koko muulle yhteiskunnalle. Jos emme voi luottaa pankkiin, emme uskalla ottaa lainaa, tai tallentaa rahoja tilille.
Mitä tehdä, kysymyksiä?
Kuinka monella tavalla hakkerit pääsevät tyhjentämään pankkitilisi ilman, että huomaat välttämättä mitään? Pitäisikö ne aukot joskus korjata?
Kenelle tekisin valituksen hävinneistä rahasummista, Eduskunnan oikeusasiamiehellekö?
Saataisiinko aikaan joku aloite, että pankit joutuvat vastaamaan siitä omakohtaisesti, ettei niiden kautta rötöksiä tehdä? Pankeilta pitää vaatia 100%:n varma suoja. Siihen ei voi vedota, että joku hakkeri vaan kävi. Miten niin voi käydä, jos on kolminkertainen suojaus pankkitoiminnoissa palveluun kirjautuessa?
Onko tämä pankki samassa vaiheessa kun Vastaamo oli muutama vuosi sitten, että asia ei edes kiinnosta?
Vai pitäisikö kysyä yliopiston tietoturvaeverstiosastolta, että onko heidän oma tili säilynyt rötöstelöiltä turvassa?
Vastatkaa Te, jotka paremmin tietoturvattomuutta tunnette. Kiitos!
Vuosia sitten kun olin työttömänä seurailin ihan piruuttani mitä verkkopankkitililläni päivittäin näkyy ja tapahtuu. Parin vuoden aikana kolme kertaa pankkitiliäni veloitettiin kaksi eri kertaa elintarvikekaupan ostoksesta missä olin asioinut samana päivänä ja tehnyt siis oikean yhden ostoksen. Mutta pankkitililleni ilmestýi kaksi veloitusta ja toisessa ei ollut sitä summaa mikä varsinaisessa ostoksessani oli. Haamuveloitus näkyi ehkä vuorokauden verkkopankin tilillä kun selaimella katsoin. Nuo väärät veloitukset kuitenkin hävisivät kuin pieru Saharaan ja mitään mainintaa tai jälkeä minulle ei jäänyt paperiseen pankkitiliotteeseen kuin kuvankaappaus silloisesta pankkitilistäni. Rahaakaan en tuossa menettänyt enkä voittanut.
Ilmoita asiaton viesti
”melko suuri rahaerä oli häipynyt jonnekin STUNTCLOUDS.COM – tilille, ja kun yritin selvittää mikä tuollainen firma olisi, niin mitään ei tullut esille”
Kyllä pankillasi on velvollisuus selvittää tiliveloituksen peruste. Pankki pystyy näkemään helposti onko veloitus tehty kortilla vai tilisiitona nettipankin kautta.
Pankki voi vedota siihen, että asiakkaan vastuulla on huolehtia ettei salasana paljastu ulkopuolisille. Tässä on siis kysymys huolellisuudesta tai sen puutteesta.
Omalta tilille tuli outoja Visakorttiostoja vähän ulkomaan matkani jälkeen. Kiistettyäni tapahtumat, Visa hyvitti tililleni kaikki.
Ilmoita asiaton viesti
Kiitos,
mutta on kuin koneelle puhuisi.
Puhelujonot ovat 10 – 20 minuuttia, ja sitten vastaa joku virkailija tai robotti, että sulje kortti tai tili. Mitään järkevämpää en ole kuullut.
Heillä ei ole oikeata asiakaspalvelua!
Pitäisikö olla yhteydessä ihan pankinjohtajaan asti?
Tai lähetänkö pankille vastaavan laskun, että hoitakaa itte?
Ilmoita asiaton viesti
Tuo asiakaspalvelun koneellistuminen on kyllä ominaista kaikissa pankeissa. Jos saa yhteyden edes chat-palvelussa, siinä on se hyvä puoli, että koko keskustelun voi kopioida vaikka omaan tekstinkäsittelyohjelmaan, eli silloin on todistusaineistoa käytettäväksi jälkeenpäin tarvittaessa. Tämän voi kertoa myös sille mr/ms chatille.
Ilmoita asiaton viesti
Ei puhelimella. Avaa verkkopankki, sulje sieltä kortti ja kirjoita kirjallisesti mikä tilitapahtuma. Kirjallinen viesti on tärkeä että jää logia miten on reagoinut, milloin on reagoinut ja mitä sanonut ja otat ne itsellesi talteen myös jos joutuu riitelemään.
Ja mitä muuta siihen viestiin voi laittaa niin esimerkiksi ”missä mun rahat on?”.
Ilmoita asiaton viesti
Kiitos, jo näistä.
Toivoisin lisää kokemuksia, koska niistä yhdistelemällä pääsee salapoliisina selville eri pankeista ja käytännöistä ja
meidän tekemistä parhaista ratkaisusta.
Ei pankkien pidää antaa elää kuin porsaat jättäen asiakkaan toiveet huomiotta. Mikä olisi paras pankki?
S-Pankki oli se, josta edellä puhuin. Minun kokemukset ovat aika erilaistet kuin Karilla korttien suhteen.
Ilmoita asiaton viesti
Pankeissa (ilmeisesti kaikissa) on asiakaspalvelut lopetettu face to face kokonaan, sillä jopa ilmoitettuun puhelinnumeroon soittamalla ei saa varatuksi palveluvuoroa itse konttoriin johtuen ylipitkistä puhelujonoista ja kaikenkukkuraksi tuo jonotus on maksullista. Toki nettipankissa voi tuon ajan tilata, mutta jollei jostain syystä pääsekään nettipankkiin kirjautumaan, niin jää palvelu saamatta. Siis, pankkipalvelut on ajettu alas. Todelliselle asiakaspalvelusta kiinnostuneelle pankille olisi oiva sauma saada asiakaskuntaa noista palvelut alas ajaneista.
Ainakin luottokorttiin kannattaa laittaa esto jottei ainakaan Euroopan ulkopuolisista maista voi tehdä kortilla ostoja. Olettaen ettei itsellä ole tuollaisiin ostoihin ko. maissa ostoja (matkalle lähdettäessä voinee eston muuttaa eli poistaa?).
Ilmoita asiaton viesti
Danskella oli aikoinaan (varmaan vieläkin) kahden pankkitilin hallintamahdollisuus, että päätililtä pystyi itse siirtämään rahaa aputilille miten halusikaan mutta koskaan verkko-ostoksen ostoveloitusta ei tehdä päätilitä. Tuossa jää aikaa tarkistaa, että onko ostotapahtuma oma vaiko vieraan – tosin aputilin saldon puitteissa.
Ilmoita asiaton viesti
”Onko joku hakkeroinut minun salasanat, korttitunnukset, pankkikorttitunnukset vai mitä?”
Epäilen luottokorttia, että oletko maksanut luottokortilla jossain?
Tietoturvasyistä on ajatusta nakuttaa luottokortti vaikka paypaliin, siirtää rahaa sinne ja maksaa sen kautta kuin levitellä luottokorttia ympäri nettiä. Tai ainakaan ei tallenna sitä luottokorttia. Maksurajat kannattaa myös säätää hyvin kireälle.
Toinen epäilys olisi, että liittyy PSD2:n käyttöönottoon, että olisi siinä haavoittuvuus.
”Kuinka monella tavalla hakkerit pääsevät tyhjentämään pankkitilisi ilman, että huomaat välttämättä mitään?”
Siihen on hyvin monta tapaa. Melkoisen paljon näistä on myös erimuotoisia man-in-the-middle -hyökkäyksiä, että vika ei ole pankin puolella eikä pankki voi näihin vaikuttaa. Toisin sanoen, ei riitä että pankki huolehtii omat järjestelmänsä kuntoon. Myös omat järjestelmät pitää olla kunnossa.
”Saataisiinko aikaan joku aloite, että pankit joutuvat vastaamaan siitä omakohtaisesti, ettei niiden kautta rötöksiä tehdä?”
Pankit vastaavat kyllä omista järjestelmistään. Eli jos heidän puolella on käynyt moka tai rikolliset hyödyntäneet turva-aukkoa heidän järjestelmissä, he vastaavat siitä ja korvaavat rahasummat. Sen sijaan pankilla ei ole korvausvelvollisuutta jos sinun tietokoneesi, reitittimesi tms. on korkattu ja hyökkäys tehty tätä hyödyntämällä. Pankki kyllä imagosyistä voi jotain pikkusummia korvata myös silloin, että on pienemmän harmin reitti mutta velvollisuutta heillä ei siihen ole.
Ilmoita asiaton viesti
”Oletko ajatellut kestääkö asiakkaiden luottamus vielä pitkään, kun lähes päivittäin kerrotaan miten rahat voidaan pölliä ja miten asiakkaiden pitää osata tuota ja tätä?”
En 🙂 Se ei ole minun ongelma.
”Siinä olisikin ihmettelemistä, jos Lotossa napsahtaisi jättipotti. Pitäisi varmaan heti hajauttaa kaikki rahat.”
Totta hitossa.
Ilmoita asiaton viesti
Ei tuossa nyt mitään kovin erikoista vaikuta tapahtuneen. Minäkin astuin äskettäin tilausmiinaan, mutta ainoa kulu oli uuden luottokortin hinta noin kympin verran, tililtä huijatut rahat palautettiin kaikki.
Suurin haitta oli vaiva selvittää, mitä oli tapahtunut, kerätä todisteet ja selostuksen kera liittää ne luottokorttiyhtiön vahinkoilmoitukseen. Olisi kyllä ollut erittäin hyvä selvittää tarkemminkin huijauksen toteutustapaa ja kirjoittaa siitä muiden opastukseksi, mutta tiedän sen olevan kokemuksesta melko työlästä.
Siitä kokemuksesta kyllä oli se hyöty, että löysin heti todisteen petoksesta ja sitä myötä koko juttu oli aika mekaanista suorittamista. Sekään ei enää haitannut, että on muka niin fiksu, että ei voi vahingossa erehtyä. Sinulla sitä vaivaa vaikuttaa olevan?
Ilmoita asiaton viesti
Varmaan sinulle selvisi, kuka huijauksen oli tehnyt?
Ilmoita asiaton viesti
Ei tietenkään. Huijausten perustuksiin kuuluu suojautuminen, joka yleensä on kuin sipuli, suojauskerroksia on useita. Siihen lisättynä vielä varautuminen vikaantumiseen tai siihen johtavaan osittaiseen paljastumiseen, niin eipä ammattilaisia juuri koskaan kiinni saada, mutta toimintaa häiritsemällä voidaan saada se jopa kannattamattomaksi. Kunnes keksivät taas uuden keinon.
https://puheenvuoro.uusisuomi.fi/rkoski/228055-samsung-galaxy-s7-huijaus-laajenettu-versio/ on kirjoitus aiemmasta huijauksesta vuodelta 2016. Vaikka siitä on blogialustan vaihdon yhteydessä kuvat tippuneet pois, on ne kuitenkin suurin osa vielä linkkien kautta katsottavissa.
Ilmoita asiaton viesti