Taas huijausyritys, nyt Apple ID:n nimissä

Sain täl­lai­sen vies­tin säh­kö­pos­tii­ni. Se oli ulkoa­sul­taan parem­pi, kuin tähän kopioi­tu­na. Jos sii­nä ei ole­si ollut yhtä ilmeis­tä kään­nös­virf­het­tä (click) oli­sin voi­nut men­nä vipuun­kin. Link­ki joh­tu täs­mel­leen saman­lai­sel­le sivul­le kuin on Applel­la Apple ID:n hal­lit­se­mis­ta, mut­ta osoi­te oli jotain aivan muu­ta. Varo­kaa näi­tä. Täs­sä yri­tet­tiin kalas­taa nykyi­nen sala­sa­na, näin aina­kin oletan.m

Hyvä asia­kas
Pyy­sit äsket­täin Apple ID:si sala­sa­nan nol­laus­ta. Suo­ri­ta pro­ses­si lop­puun klik­kaa­mal­la alla ole­vaa linkkiä.
Nol­laa nyt
Jos et teh­nyt tätä muu­tos­ta tai uskot val­tuut­ta­mat­to­man hen­ki­lön käyt­tä­neen tiliä­si, click välit­tö­mäs­ti osoit­tees­sa appleid.apple.com.  Tar­kis­ta ja päi­vi­tä tili­si tur­val­li­suus­tie­dot kir­jau­tu­mal­la sisään Apple ID.
Ystä­väl­li­sin terveisin
Apple-tuki

16 vastausta artikkeliin “Taas huijausyritys, nyt Apple ID:n nimissä”

  1. Tämä nimen­omai­nen kalas­te­lu­kam­pan­ja on ollut käyn­nis­sä jo aina­kin 27.10.2016 läh­tien. Sil­loin Vies­tin­tä­vi­ras­ton Kyber­tur­val­li­suus­kes­kus varoit­ti asias­ta. Minul­le näi­tä on tul­lut yhteen osoit­teis­ta­ni lähes päi­vit­täin vii­me aikoina.

  2. Pois­ta tuo toi­mi­va hyper­link­ki, joka joh­taa huijaussivulle.

  3. Uudel­leen, pidän tavat­to­man vaa­ral­li­se­na Nor­dean kam­pan­jaa luo­pua pah­vi­sis­ta tun­nus­lu­ku­kor­teis­ta ja kor­va­ta ne äly­pu­he­lin­so­vel­luk­sel­la. Pah­vi­kort­te­ja ei voi varas­taa mas­soit­tain, mut­ta phis­hing-kei­noil­la tai silk­ko­ja haa­voit­tu­vuuk­sia hyö­dyn­tä­mäl­lä onnistuu.

    Nor­dea voi toki päät­tää ottaa­ko se ris­kin menet­tää rahan­sa, mut­ta mie­les­tä­ni Val­tion pitäi­si har­ki­ta kel­puut­taa­ko se yhä Nor­dean pank­ki­tun­nuk­set vah­vak­si tun­nis­tau­tu­mi­sek­si ja alle­kir­joi­tuk­sen veroi­sek­si oikeus­toi­mis­sa. Jos säh­köi­ses­ti alle­kir­joi­tet­tu­ja ja vah­vis­tet­tu­ja tes­ta­ment­te­ja tai kiin­teis­tö­kaup­po­ja alkaa esiin­tyä laa­join mitoin, se on omi­aan aiheut­ta­maan pal­jon epä­jär­jes­tys­tä ja hor­jut­tai­si val­tion legi­ti­mi­teet­tiä.

    Var­sin­kin nyt kun Oba­ma har­kit­see kyber-vas­ta­toi­mia ja Venä­jä vas­ta-vas­ta­toi­mia, maa­il­mal­la voi alkaa hait­taoh­jel­mat len­te­le­mään sem­moi­seen tah­tiin että että sii­tä sel­viä­vät vain yhteis­kun­nat jot­ka eivät ole ehdoin tah­doin mak­si­moi­neet omaa haavoittuvuuttaan.

  4. Mie­les­tä­ni Suo­men ehdot­to­mas­ti arvos­te­tuin tie­to­tek­niik­ka­gu­ru on mones­ti varoit­ta­nut täs­tä asias­ta. Mut­ta iso raha puhuu ja kun se on saa­nut jotain pää­hän­sä, niin här­kä­päi­ses­ti aje­taan asi­aa, vaik­ka kan­sa­lai­set­kin näke­vät atk-tek­nii­kan haa­voit­tu­vuu­den. Syy­kin on sel­vä, esim pan­kit rahas­ta­vat hel­pom­mal­la voit­to­jaan, kun asiak­kaat itse hoi­ta­vat kaik­ki raha-asian­sa mobii­li­lait­teel­la, eikä pan­kin sik­si kus­tan­nuk­sia sääs­täen tar­vit­se lähet­tää pos­tit­se pank­ki­tun­nuk­sia. Seu­raa­va askel on ehkä, näi­den Otto-auto­maat­tien vähen­tä­mi­nen ja lopul­ta pois­ta­mi­nen. Kui­ten­kin pan­kit peri­vät pal­ve­lu­mak­sun asiak­kaan itse teke­mäs­tä työs­tä. Pank­ki­toi­min­nan­han pitäi­si olla pal­ve­lua­lan toi­min­taa! “Mis­tä löy­tyy vih­doin vii­sas, joka suut­tuu”? Tämän vii­sau­den lau­loi jo Rei­jo Tani ja tai­si­vat sanat olla Jun­nu Vai­nion kynäs­tä, tosin kyse oli eri asias­ta, mut­ta hyvin sopii nyky­päi­vän pank­ki­toi­min­nan monopoliin!

  5. Mik­ko Kivi­ran­ta:
    Uudel­leen, pidän tavat­to­man vaa­ral­li­se­na Nor­dean kam­pan­jaa luo­pua pah­vi­sis­ta tun­nus­lu­ku­kor­teis­ta ja kor­va­ta ne äly­pu­he­lin­so­vel­luk­sel­la. Pah­vi­kort­te­ja ei voi varas­taa mas­soit­tain, mut­ta phis­hing-kei­noil­la tai silk­ko­ja haa­voit­tu­vuuk­sia hyö­dyn­tä­mäl­lä onnistuu.

    Nor­dea voi toki päät­tää ottaa­ko se ris­kin menet­tää rahan­sa, mut­ta mie­les­tä­ni Val­tion pitäi­si har­ki­ta kel­puut­taa­ko se yhä Nor­dean pank­ki­tun­nuk­set vah­vak­si tun­nis­tau­tu­mi­sek­si ja alle­kir­joi­tuk­sen veroi­sek­si oikeus­toi­mis­sa. Jos säh­köi­ses­ti alle­kir­joi­tet­tu­ja ja vah­vis­tet­tu­ja tes­ta­ment­te­ja tai kiin­teis­tö­kaup­po­ja alkaa esiin­tyä laa­join mitoin, se on omi­aan aiheut­ta­maan pal­jon epä­jär­jes­tys­tä ja hor­jut­tai­si val­tion legi­ti­mi­teet­tiä.

    Var­sin­kin nyt kun Oba­ma har­kit­see kyber-vas­ta­toi­mia ja Venä­jä vas­ta-vas­ta­toi­mia, maa­il­mal­la voi alkaa hait­taoh­jel­mat len­te­le­mään sem­moi­seen tah­tiin että että sii­tä sel­viä­vät vain yhteis­kun­nat jot­ka eivät ole ehdoin tah­doin mak­si­moi­neet omaa haavoittuvuuttaan.

    menen osit­tain muka­vuus alu­een ulko­puo­lel­le täs­sä kommentissa.

    en ole itse­kään vakuut­tu­nut nor­dean tun­nus­lu­kuso­vel­luk­sen tie­to­tur­vas­ta, android ja muut voi­daan kaa­pa­ta hait­taoh­jel­mal­la ja jos hait­taoh­jel­ma tie­tää että äly­pu­he­li­mes­sa on tun­nus­lu­kuso­vel­lus niin sitä voi joten­kin vää­rin käyt­tää. tosin tämän voi kier­tää tun­nus­lu­ku­lait­teel­la jos­sa minun tie­to­jen mukaan ei ole mitään nettiyhteyttä.

    tun­nus­lu­kuso­vel­lus on täl­lä het­kel­lä pää­syy mik­si en tyk­kää nor­deas­ta, on suun­ni­tel­mis­sa vaih­taa pank­kia mut­ta tilan­ne on moni­mut­kai­nen. täl­lä het­kel­lä olen ns pako­tet­tu käyt­tä­mään tun­nus­lu­kuso­vel­lus­ta jos­ta siis en tyk­kää. kos­ka tun­nus­lu­kuso­vel­lus on saa­ta­vil­la vain google play kau­pas­ta (android) niin tämä pakot­taa käyt­tä­mään google-tiliä joka on yksi mas­sii­vi­nen tie­to­jen keräys fan­ta­sia. olin jok­seen­kin het­ken aikaa onnis­tu­nut käyt­tä­mään android lai­tet­ta ilman google-tiliä (en suo­sit­te­le peruskäyttäjille)

  6. Kan­nat­taa käyt­tää apple id yms pal­ve­lui­hin eri säh­kö­pos­tio­soi­tet­ta kuin mitä yleen­sä käyt­tää. Itse kek­sin joka pal­ve­lul­le uuden osoit­teen. Jos tulee sit­ten mai­lia ko. pal­ve­lus­ta johon­kin muu­hun osoit­tee­seen, niin se on huijausta.

    Samal­la tulee myös sekin etu että jos hak­ke­rit saa säh­kö­pos­tio­soit­teen jos­tain mur­tau­tu­mal­la, niin samais­ta osoi­tet­ta ei ole muu­al­la käy­tös­sä, joten sen voi huo­let­ta suo­dat­taa roskiin.

  7. Kivi­ran­nal­la on tär­keä point­ti! Inhot­taa että ensin äly­kän­ny oli vain uusi mah­dol­li­suus ja muu­ta­ma vuo­si ja koh­ta se on pak­ko­kei­no. Siis var­sin­kin meil­le joil­le ei ole äly­kän­nyä vaan älyk­kääm­pi tietokone …

  8. tai uskot val­tuut­ta­mat­to­man hen­ki­lön käyt­tä­neen tiliä­si, click välit­tö­mäs­ti osoit­tees­sa appleid.apple.com, Tar­kis­ta ja päi­vi­tä tili­si tur­val­li­suus­tie­dot kir­jau­tu­mal­la sisään Apple ID

    Outo teks­ti. “Val­tuut­ta­ma­ton hen­ki­lö” kai ker­too, että kään­tä­jä osaa suo­mea suve­ree­nis­ti mut­ta ei ole pal­jon välit­tä­nyt kään­nök­sen laa­dus­ta. Unaut­ho­rized ei oikeas­ti kään­ny val­tuut­ta­ma­ton vaan luva­ton. Apple ID:stä on jää­nyt sija­pää­te pois ja click on jätet­ty kääntämättä.

    Usein net­ti­hui­jauk­siin jäte­tään vir­hei­tä kar­si­maan nor­maa­liä­lyi­set pois. Hui­ja­rit eivät halua käyt­tää resurs­se­ja ihmi­siin, jot­ka toden­nä­köi­ses­ti hais­ta­vat hui­jaus­yri­tyk­sen jos­sain vaiheessa. 

    Mut­ta jos joku menee hal­paan hui­ja­rei­den jät­tä­mis­tä ilmei­sis­tä vir­heis­tä, vih­jeis­tä, huo­li­mat­ta, on toden­nä­köi­sem­pää, että hui­jaus onnis­tuu. Heik­ko­ä­lyi­nen uskoo hui­jauk­sen seu­raa­vat­kin, muil­le usko­mat­to­mat vaiheet. 

    Täs­sä tapauk­ses­sa hui­ja­rei­den tar­koi­tus on kalas­taa AppleID:n lisäk­si mui­ta­kin hen­ki­lö­koh­tai­sia tie­to­ja, eri­tyi­ses­ti luot­to­kor­tin tie­dot (ker­too nopea googlaus). 

    Tosin epä­sel­väk­si minul­le jää, mik­si väl­tel­lä täys­päi­siä täs­sä hui­jauk­ses­sa. Eihän AppleID:n tai luot­to­kor­tin tie­to­jen kalas­te­lu vaa­di pal­jon mitään resurs­se­ja sen jäl­keen, kun hui­jaus­si­vus­to on teh­ty. Ehkä tar­koi­tus on löy­tää ihmi­siä, joi­ta huja­rit voi­vat joh­da­tel­la yhä syvem­mäl­le hui­ja­rei­den lon­ke­roi­hin. Ehkä toi­vo­taan hui­jaus­si­vus­toil­le pidem­pää eli­ni­kää, kun hui­ja­tuk­si tule­vat ovat hitaam­min regoi­vaa porukkaa.

    Englan­nin­kie­li­ses­sä ver­sios­sa on myös vir­hei­tä (hyvä asia­kas­o­me­na, väli­lyön­ti puut­tuu ja vir­ke alkaa pienellä):

    Dear Cus­to­mer Apple,

    You recent­ly ini­tia­ted a password reset for your Apple ID.to comple­te the process, click the link below and log in using your user­na­me and password.

    Reset now >

    This link will expi­re three hours after this email was sent.

    If you didn’t make this request, it’s like­ly that anot­her user has ente­red your email address by mis­ta­ke and your account is still secu­re. If you belie­ve an unaut­ho­rized per­son has acces­sed your account, you can reset your password at My Apple ID.

    Apple Sup­port

  9. Sepi:
    http://www.nordea.com/fi/media/uutiset-ja-lehdistotiedotteet/News-fi/2016/2016–06-15-tunnistautumisen-vaihtoehdot-sovellus-ja-kortti.html
    Nor­dea aina­kin alku­jaan uhka­si tuo­da tar­jol­le eril­li­sen tun­nus­lu­ku­lait­teen. Kysy­kää pankista. 

    Kyl­lä, ja jos tun­nus­lu­ku­lai­te oli­si ainoa vaih­toeh­to, asiat oli­si­vat tur­val­li­sem­mas­sa jamas­sa kuin pah­vi­kort­tien kanssa. 

    Mikä­li en vaih­da pank­kia, han­kin itsel­le­ni tuom­moi­sen tun­nus­lu­ku­lait­teen, mut­ta se ei estä ettei­kö muis­ta Nor­dea-asiak­kais­ta yhä löy­tyi­si 50 000 mobii­li­käyt­tä­jää kan­sa­lais­aloit­tei­ta teh­tai­le­van bot­ne­tin poh­jak­si. Tai poh­jak­si bot­ne­til­le joka teh­tai­lee vää­riä tes­ta­ment­te­ja, kiin­teis­tö- ja auto­kaup­po­ja sem­moi­ses­sa laa­juu­des­sa että yhteis­kun­ta menee sekaisin.

    Ylei­ses­ti ottaen oli­si­kin erit­täin fik­sua eris­tää tun­nis­tau­tu­mis- ja vies­tin­sa­laus­ru­tii­nit omaan purk­kiin­sa jota ei netin yli maa­il­man pari mil­joo­naa wan­na­be-hak­ke­ria pää­se kol­kut­te­le­maan mil­loin vain ja mis­tä vain.

    Olen täs­sä haa­veil­lut äly­kän­ny­kän kor­vaa­jak­si kän­ny­kän­muo­toi­ses­ta kote­los­ta, jos­sa oli­si omis­sa pur­keis­saan kame­ra­mo­du­li, puhe­lin­soit­te­lu­mo­du­li, netis­sä­surf­faus­mo­du­li ja ehkä GPS-navi­gaat­to­ri­mo­du­li. Ennen van­haan ne oli­vat­kin eri lait­tei­ta, mut­ta tek­no­lo­gian kehit­ty­mi­nen on kutis­ta­nut jokai­sen niin pie­nek­si että nehän huk­kui­si­vat eril­li­si­nä taskunpohjalle.

  10. Mik­ko Kivi­ran­ta: Olen täs­sä haa­veil­lut äly­kän­ny­kän kor­vaa­jak­si kän­ny­kän­muo­toi­ses­ta kote­los­ta, jos­sa oli­si omis­sa pur­keis­saan kame­ra­mo­du­li, puhe­lin­soit­te­lu­mo­du­li, netis­sä­surf­faus­mo­du­li ja ehkä GPS-navi­gaat­to­ri­mo­du­li. Ennen van­haan ne oli­vat­kin eri lait­tei­ta, mut­ta tek­no­lo­gian kehit­ty­mi­nen on kutis­ta­nut jokai­sen niin pie­nek­si että nehän huk­kui­si­vat eril­li­si­nä taskunpohjalle.

    Minä taas olen poh­dis­kel­lut, että mobii­li­lait­teen käyt­tö­jär­jes­tel­mä pitäi­si voi­da vir­tua­li­soi­da lait­teen sisäl­lä kaik­ki­ne sen­so­rei­neen täy­sin skrip­tat­ta­vaan hiek­ka­laa­tik­koon, jol­loin voi­si viih­dyt­tää itse­ään ker­toi­le­mal­la googlen ja mui­den algo­rit­meil­le tari­noi­ta, jos­sa ensin vie­tän aikaa pää­asias­sa monacon ran­ta­lai­tu­rin lähis­töl­lä, sit­ten vähän aikaa yllät­tä­vän lähel­lä tiet­ty­jä van­kein­hoi­to­lai­tok­sia, kun­nes alan viet­tä­mään Kou­vo­lan Pris­mas­sa n. 8 tun­tia päivässä.

  11. tcrown: Minä taas olen poh­dis­kel­lut, että mobii­li­lait­teen käyt­tö­jär­jes­tel­mä pitäi­si voi­da vir­tua­li­soi­da lait­teen sisäl­lä kaik­ki­ne sen­so­rei­neen täy­sin skrip­tat­ta­vaan hiek­ka­laa­tik­koon, jol­loin voi­si viih­dyt­tää itse­ään ker­toi­le­mal­la googlen ja mui­den algo­rit­meil­le tarinoita..

    Tai keräil­lä poke­mo­nit emu­laat­to­ril­la soh­van­nur­kas­ta käsin.

  12. Onhan meil­lä mobii­li­tun­nis­tau­tu­mi­nen nyt­kin kän­ny­käs­sä. Oikein käte­vä muuten.

    Mobii­li­var­men­ne on ope­raat­to­rin toi­mit­ta­mal­la SIM-kor­til­la, joten sii­nä on sen­tään muka­na käyt­tä­jän hen­ki­löl­li­syy­teen sidot­tua rau­taa jota ei kon­na pys­ty net­tiyh­tey­den yli muuttamaan. 

    En tun­ne kuin­ka var­men­ne on toteu­tet­tu tek­ni­ses­ti, mut­ta sii­nä­kään en ymmär­rä että jos legi­tii­mi käyt­tä­jä pys­tyy tun­nis­tau­tu­maan pal­ve­lun­tar­joa­jal­le X joka-ker­ta-saman PIN-koo­din syöt­tä­mäl­lä, mik­sei kon­na joka on orjuut­ta­nut Android-jär­jes­tel­män voi­si saa­da PIN-koo­dia key­log­ge­ril­la ja saa­da sit­ten kän­ny­kän esit­tä­mään lop­pu­käyt­tä­jää ihan min­kä pal­ve­lun­ta­joa­jan suun­taan hyvänsä?

    Juu­ri pla­rai­lin ESET-tie­to­tur­va­fir­man val­kois­ta­pa­pe­ria Xagent- ja Down­delph-hait­taoh­jel­mis­ta, joi­ta ilmei­ses­ti Venä­jä käyt­ti USAn vaa­lien hak­ke­roin­nis­sa, eikä pla­rai­lu lain­kaan ole hyväk­si para­noi­din tun­ne­ti­lan torjunnassa.

  13. Onhan meil­lä mobii­li­tun­nis­tau­tu­mi­nen nytkin 

    Mobii­li­var­men­ne on ope­raat­to­rin toi­mit­ta­mal­la SIM-kortilla…

    Vie­lä jäi mai­nit­se­mat­ta että mobii­li­var­men­ne on teks­ti­vies­ti­poh­jai­nen, ja toi­mii myös van­hois­sa patuk­ka­pu­he­li­mis­sa joi­hin ei (käsit­tääk­se­ni) kon­na pys­ty haa­voit­tu­vuut­ta lisää­mään pää­se­mät­tä fyy­si­ses­ti puhe­li­meen käsik­si. Tai se toi­mi­si kuvaa­mas­sa­ni monen modu­lin kote­los­sa. Nor­dean tun­nus­lu­kuso­vel­lus on …öö… sovel­lus, joka etä­asen­ne­taan Play- tai Apple-kaupasta.

    Ongel­ma on taas­kin se että äly­pu­he­li­mes­sa pyö­ri­vät samas­sa rau­das­sa toi­nen tois­ten­sa seas­sa pait­si jyke­vää tie­to­tur­vaa vaa­ti­va tun­nis­tau­tu­mi­nen, myös ties mit­kä haa­voit­tu­vat video­koo­de­kit, kame­ra­so­vel­luk­set, net­ti­se­lai­met ja käyt­tä­jän latai­le­mat kat­so-kis­sa­vi­deoi­ta ‑apple­tit. Ja kaik­kia noi­ta päi­vit­te­le­vät ties mit­kä ohjel­mis­ton­toi­mit­ta­jat netin yli, ynnä kol­kut­te­le­vat mil­joo­nat wan­na­be-crak­ke­rit. Poten­ti­aa­li­nen pin­ta-ala johon koh­dis­taa hyök­käyk­set on niin laa­ja että käy yhä mah­dot­to­mam­mak­si var­mis­taa ettei­kö jos­tain koh­taa jotain haa­voit­tu­vuut­ta löytyisi.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Notify me of followup comments via e-mail. You can also subscribe without commenting.