Sain tällaisen viestin sähköpostiini. Se oli ulkoasultaan parempi, kuin tähän kopioituna. Jos siinä ei olesi ollut yhtä ilmeistä käännösvirfhettä (click) olisin voinut mennä vipuunkin. Linkki johtu täsmelleen samanlaiselle sivulle kuin on Applella Apple ID:n hallitsemista, mutta osoite oli jotain aivan muuta. Varokaa näitä. Tässä yritettiin kalastaa nykyinen salasana, näin ainakin oletan.m
| Hyvä asiakas |
| Pyysit äskettäin Apple ID:si salasanan nollausta. Suorita prosessi loppuun klikkaamalla alla olevaa linkkiä. |
| Nollaa nyt |
| Jos et tehnyt tätä muutosta tai uskot valtuuttamattoman henkilön käyttäneen tiliäsi, click välittömästi osoitteessa appleid.apple.com. Tarkista ja päivitä tilisi turvallisuustiedot kirjautumalla sisään Apple ID. |
| Ystävällisin terveisin |
| Apple-tuki |
Tämä nimenomainen kalastelukampanja on ollut käynnissä jo ainakin 27.10.2016 lähtien. Silloin Viestintäviraston Kyberturvallisuuskeskus varoitti asiasta. Minulle näitä on tullut yhteen osoitteistani lähes päivittäin viime aikoina.
Poista tuo toimiva hyperlinkki, joka johtaa huijaussivulle.
Poistin linkin. Olin mielestäni kokeillut, ettei linkki toimi, mutta perhana, toimi kuitenkin.
Uudelleen, pidän tavattoman vaarallisena Nordean kampanjaa luopua pahvisista tunnuslukukorteista ja korvata ne älypuhelinsovelluksella. Pahvikortteja ei voi varastaa massoittain, mutta phishing-keinoilla tai silkkoja haavoittuvuuksia hyödyntämällä onnistuu.
Nordea voi toki päättää ottaako se riskin menettää rahansa, mutta mielestäni Valtion pitäisi harkita kelpuuttaako se yhä Nordean pankkitunnukset vahvaksi tunnistautumiseksi ja allekirjoituksen veroiseksi oikeustoimissa. Jos sähköisesti allekirjoitettuja ja vahvistettuja testamentteja tai kiinteistökauppoja alkaa esiintyä laajoin mitoin, se on omiaan aiheuttamaan paljon epäjärjestystä ja horjuttaisi valtion legitimiteettiä.
Varsinkin nyt kun Obama harkitsee kyber-vastatoimia ja Venäjä vasta-vastatoimia, maailmalla voi alkaa haittaohjelmat lentelemään semmoiseen tahtiin että että siitä selviävät vain yhteiskunnat jotka eivät ole ehdoin tahdoin maksimoineet omaa haavoittuvuuttaan.
Mielestäni Suomen ehdottomasti arvostetuin tietotekniikkaguru on monesti varoittanut tästä asiasta. Mutta iso raha puhuu ja kun se on saanut jotain päähänsä, niin härkäpäisesti ajetaan asiaa, vaikka kansalaisetkin näkevät atk-tekniikan haavoittuvuuden. Syykin on selvä, esim pankit rahastavat helpommalla voittojaan, kun asiakkaat itse hoitavat kaikki raha-asiansa mobiililaitteella, eikä pankin siksi kustannuksia säästäen tarvitse lähettää postitse pankkitunnuksia. Seuraava askel on ehkä, näiden Otto-automaattien vähentäminen ja lopulta poistaminen. Kuitenkin pankit perivät palvelumaksun asiakkaan itse tekemästä työstä. Pankkitoiminnanhan pitäisi olla palvelualan toimintaa! “Mistä löytyy vihdoin viisas, joka suuttuu”? Tämän viisauden lauloi jo Reijo Tani ja taisivat sanat olla Junnu Vainion kynästä, tosin kyse oli eri asiasta, mutta hyvin sopii nykypäivän pankkitoiminnan monopoliin!
menen osittain mukavuus alueen ulkopuolelle tässä kommentissa.
en ole itsekään vakuuttunut nordean tunnuslukusovelluksen tietoturvasta, android ja muut voidaan kaapata haittaohjelmalla ja jos haittaohjelma tietää että älypuhelimessa on tunnuslukusovellus niin sitä voi jotenkin väärin käyttää. tosin tämän voi kiertää tunnuslukulaitteella jossa minun tietojen mukaan ei ole mitään nettiyhteyttä.
tunnuslukusovellus on tällä hetkellä pääsyy miksi en tykkää nordeasta, on suunnitelmissa vaihtaa pankkia mutta tilanne on monimutkainen. tällä hetkellä olen ns pakotettu käyttämään tunnuslukusovellusta josta siis en tykkää. koska tunnuslukusovellus on saatavilla vain google play kaupasta (android) niin tämä pakottaa käyttämään google-tiliä joka on yksi massiivinen tietojen keräys fantasia. olin jokseenkin hetken aikaa onnistunut käyttämään android laitetta ilman google-tiliä (en suosittele peruskäyttäjille)
Kannattaa käyttää apple id yms palveluihin eri sähköpostiosoitetta kuin mitä yleensä käyttää. Itse keksin joka palvelulle uuden osoitteen. Jos tulee sitten mailia ko. palvelusta johonkin muuhun osoitteeseen, niin se on huijausta.
Samalla tulee myös sekin etu että jos hakkerit saa sähköpostiosoitteen jostain murtautumalla, niin samaista osoitetta ei ole muualla käytössä, joten sen voi huoletta suodattaa roskiin.
Kivirannalla on tärkeä pointti! Inhottaa että ensin älykänny oli vain uusi mahdollisuus ja muutama vuosi ja kohta se on pakkokeino. Siis varsinkin meille joille ei ole älykännyä vaan älykkäämpi tietokone …
Outo teksti. “Valtuuttamaton henkilö” kai kertoo, että kääntäjä osaa suomea suvereenisti mutta ei ole paljon välittänyt käännöksen laadusta. Unauthorized ei oikeasti käänny valtuuttamaton vaan luvaton. Apple ID:stä on jäänyt sijapääte pois ja click on jätetty kääntämättä.
Usein nettihuijauksiin jätetään virheitä karsimaan normaaliälyiset pois. Huijarit eivät halua käyttää resursseja ihmisiin, jotka todennäköisesti haistavat huijausyrityksen jossain vaiheessa.
Mutta jos joku menee halpaan huijareiden jättämistä ilmeisistä virheistä, vihjeistä, huolimatta, on todennäköisempää, että huijaus onnistuu. Heikkoälyinen uskoo huijauksen seuraavatkin, muille uskomattomat vaiheet.
Tässä tapauksessa huijareiden tarkoitus on kalastaa AppleID:n lisäksi muitakin henkilökohtaisia tietoja, erityisesti luottokortin tiedot (kertoo nopea googlaus).
Tosin epäselväksi minulle jää, miksi vältellä täyspäisiä tässä huijauksessa. Eihän AppleID:n tai luottokortin tietojen kalastelu vaadi paljon mitään resursseja sen jälkeen, kun huijaussivusto on tehty. Ehkä tarkoitus on löytää ihmisiä, joita hujarit voivat johdatella yhä syvemmälle huijareiden lonkeroihin. Ehkä toivotaan huijaussivustoille pidempää elinikää, kun huijatuksi tulevat ovat hitaammin regoivaa porukkaa.
Englanninkielisessä versiossa on myös virheitä (hyvä asiakasomena, välilyönti puuttuu ja virke alkaa pienellä):
http://www.nordea.com/fi/media/uutiset-ja-lehdistotiedotteet/News-fi/2016/2016–06-15-tunnistautumisen-vaihtoehdot-sovellus-ja-kortti.html
Nordea ainakin alkujaan uhkasi tuoda tarjolle erillisen tunnuslukulaitteen. Kysykää pankista.
Kyllä, ja jos tunnuslukulaite olisi ainoa vaihtoehto, asiat olisivat turvallisemmassa jamassa kuin pahvikorttien kanssa.
Mikäli en vaihda pankkia, hankin itselleni tuommoisen tunnuslukulaitteen, mutta se ei estä etteikö muista Nordea-asiakkaista yhä löytyisi 50 000 mobiilikäyttäjää kansalaisaloitteita tehtailevan botnetin pohjaksi. Tai pohjaksi botnetille joka tehtailee vääriä testamentteja, kiinteistö- ja autokauppoja semmoisessa laajuudessa että yhteiskunta menee sekaisin.
Yleisesti ottaen olisikin erittäin fiksua eristää tunnistautumis- ja viestinsalausrutiinit omaan purkkiinsa jota ei netin yli maailman pari miljoonaa wannabe-hakkeria pääse kolkuttelemaan milloin vain ja mistä vain.
Olen tässä haaveillut älykännykän korvaajaksi kännykänmuotoisesta kotelosta, jossa olisi omissa purkeissaan kameramoduli, puhelinsoittelumoduli, netissäsurffausmoduli ja ehkä GPS-navigaattorimoduli. Ennen vanhaan ne olivatkin eri laitteita, mutta teknologian kehittyminen on kutistanut jokaisen niin pieneksi että nehän hukkuisivat erillisinä taskunpohjalle.
Onhan meillä mobiilitunnistautuminen nytkin kännykässä. Oikein kätevä muuten.
Minä taas olen pohdiskellut, että mobiililaitteen käyttöjärjestelmä pitäisi voida virtualisoida laitteen sisällä kaikkine sensoreineen täysin skriptattavaan hiekkalaatikkoon, jolloin voisi viihdyttää itseään kertoilemalla googlen ja muiden algoritmeille tarinoita, jossa ensin vietän aikaa pääasiassa monacon rantalaiturin lähistöllä, sitten vähän aikaa yllättävän lähellä tiettyjä vankeinhoitolaitoksia, kunnes alan viettämään Kouvolan Prismassa n. 8 tuntia päivässä.
Tai keräillä pokemonit emulaattorilla sohvannurkasta käsin.
Mobiilivarmenne on operaattorin toimittamalla SIM-kortilla, joten siinä on sentään mukana käyttäjän henkilöllisyyteen sidottua rautaa jota ei konna pysty nettiyhteyden yli muuttamaan.
En tunne kuinka varmenne on toteutettu teknisesti, mutta siinäkään en ymmärrä että jos legitiimi käyttäjä pystyy tunnistautumaan palveluntarjoajalle X joka-kerta-saman PIN-koodin syöttämällä, miksei konna joka on orjuuttanut Android-järjestelmän voisi saada PIN-koodia keyloggerilla ja saada sitten kännykän esittämään loppukäyttäjää ihan minkä palveluntajoajan suuntaan hyvänsä?
Juuri plarailin ESET-tietoturvafirman valkoistapaperia Xagent- ja Downdelph-haittaohjelmista, joita ilmeisesti Venäjä käytti USAn vaalien hakkeroinnissa, eikä plarailu lainkaan ole hyväksi paranoidin tunnetilan torjunnassa.
Vielä jäi mainitsematta että mobiilivarmenne on tekstiviestipohjainen, ja toimii myös vanhoissa patukkapuhelimissa joihin ei (käsittääkseni) konna pysty haavoittuvuutta lisäämään pääsemättä fyysisesti puhelimeen käsiksi. Tai se toimisi kuvaamassani monen modulin kotelossa. Nordean tunnuslukusovellus on …öö… sovellus, joka etäasennetaan Play- tai Apple-kaupasta.
Ongelma on taaskin se että älypuhelimessa pyörivät samassa raudassa toinen toistensa seassa paitsi jykevää tietoturvaa vaativa tunnistautuminen, myös ties mitkä haavoittuvat videokoodekit, kamerasovellukset, nettiselaimet ja käyttäjän latailemat katso-kissavideoita ‑appletit. Ja kaikkia noita päivittelevät ties mitkä ohjelmistontoimittajat netin yli, ynnä kolkuttelevat miljoonat wannabe-crakkerit. Potentiaalinen pinta-ala johon kohdistaa hyökkäykset on niin laaja että käy yhä mahdottomammaksi varmistaa etteikö jostain kohtaa jotain haavoittuvuutta löytyisi.