15.12.2005 *)

Turvallisesti Nettipankissa
 


Phishing-huijausyritykset ovat kohdistuneet myös suomalaisten pankkien asiakkaisiin. Ensimmäisissä yrityksissä huijaussähköpostit ja -sivustot olivat englanninkielisiä, ja olemme nähneet myös suomen- ja ruotsinkielisiä tietojenkalasteluviestejä. Sähköpostiviesteissä on pyydetty asiakasta menemään (huijaus)sivustolle ja antamaan verkkopankkinsa tunnukset ja salasanat.

Vaihtuviin salasanoihin perustuvien suomalaisten verkkopankkien turvallisuustaso on erittäin korkea ja muutaman perussäännön muistamalla niiden käyttö on turvallista. Pyysimmekin Suomen Pankkiyhdistyksestä viimeisimmät ohjeet suomalaisille verkkopankkien käyttäjille.

Pankit muistuttavat, että ne eivät koskaan kysy asiakkaalta sähköpostitse tai puhelimitse pankkikorttien tai verkkopankin tunnuksia ja salasanoja - ne on tarkoitettu ainoastaan asiakkaan itsensä tietoon. Pankit ovat pyytäneet asiakkaitaan ottamaan yhteyttä omaan pankkiinsa, mikäli asiakas epäilee tietojensa joutuneen vääriin käsiin. Huijauksiin sisältyy yleensä monimutkainen tapahtumaketju; esimerkiksi niin, että sähköposti sisältää linkin jollekin sivulle, ja sivustolla syötetyt tiedot päätyvät jonnekin kolmannelle taholle. Jotta pankin toimihenkilöt, helpdesk ja asiantuntijat voivat selvittää tapahtuneen, tarvitaan mahdollisimman tarkka kuvaus siitä, mitä on tapahtunut. Kun ilmoitat pankille väärinkäyttöepäilystä, valmistaudu antamaan vastaus seuraaviin kysymyksiin:
- Miksi epäilet väärinkäytöstä?
- Kuvaile viestien sisältö mahdollisimman tarkasti
- Mitä toimenpiteitä teit ennen ja jälkeen tapahtuman?
- Onko tietokoneessa virustorjunta- ja palomuuriohjelmistot toiminnassa ja virustietokanta ajan tasalla?

Suomen Pankkiyhdistyksen suunnittelupäällikkö Timo Ylitalo: "Verkkopalveluiden turvallisuus ja turvallinen käyttö on kaikkien toiminnassa mukana olevien tahojen yhteinen asia. Hajautetussa toimintaympäristössä kunkin toimijan on huolehdittava hallinnassaan olevan tietojärjestelmän turvallisuuden ylläpidosta - eli myös kuluttajan tulee huolehtia siitä, että oma tietokone on riittävän turvallinen ja sen suojaus ajan tasalla. Suomalaisten pankkien ohjeet ja suositukset vaihtelevat jonkin verran, joten kannattaakin varmistaa omasta pankista viimeisimmät niin verkkopankin kuin pankki- ja luottokorttien käytön turvallisuussuositukset. Pankkien kotisivuilla on paljon ohjeita ja neuvoja - myös siitä miten asiakkaan tulisi menetellä epäillessään tietojensa joutuneen vääriin käsiin".

Muista nämä yleispätevät seikat jos käytät verkkopankkia:

  • Henkilökohtaisen käyttäjätunnuksen ja salasanan lisäksi verkkopankkipalvelun turvallisuus perustuu kertakäyttöisten tunnuslukujen käyttämiseen. Vaikka joku ulkopuolinen saisi tietoonsa käyttäjätunnuksen ja siihen liittyvän salasanan, hän ei voi käyttää Internet-pankkipalveluita ilman tunnuslukulistaa. Käyttäjätunnus, salasana ja tunnuslukulista on ehdottomasti säilytettävä erillään toisistaan.
  • Toimi nopeasti, jos epäilet joutuneesi väärinkäytöksen kohteeksi. Käyttäjätunnuksen ja/tai salasanan katoamisesta tai sivullisen tietoon joutumisesta on aina ilmoitettava viipymättä pankkiin. Tiedot saattavat joutua sivullisen haltuun perinteisten menetelmien lisäksi näppäinpainalluksia tallentavien haittaohjelmien, huijaussähköpostiviestien (ns. Phishing) tai väärennettyjen verkkosivujen kautta.
  • Myös ensimmäiset havainnot suomenkielisistä huijaussähköpostiviesteistä on jo tehty (tammikuussa 2005 Nokian nimissä luvattiin ilmaisia kännyköitä). Lisätietoa näistä HOAXeista täältä...
  • Laajakaistaverkkoihin kytkettyjen kotitietokoneiden määrä kasvaa nopeasti. Hakkerit pyrkivät vakoilemaan tai ottamaan etähallittaviksi koneita erilaisten haittaohjelmien avulla. Vähimmäisvaatimus kotikoneen turvallisuudelle on palomuurin ja monipuolisen virustorjuntaohjelmiston käyttö. Kannattaa tarkistaa, että virustorjuntaohjelma tunnistaa myös uusimmat haittaohjelmatyypit kuten vakoiluohjelmat. Viruksia ja muita haittaohjelmia tunnistetaan päivittäin, joten myös virustietokanta tulee päivittää joka päivä (monissa ohjelmissa on automaattipäivitystoiminto).
  • Lisäksi käyttöjärjestelmä ja käytetyt muut ohjelmistot tulee päivittää säännöllisesti, jotta mahdolliset ohjelman haavoittuvuudet tulevat korjattua. Haavoittuvuuksien paikkaaminen estää "automaattisesti leviävien" verkkomatojen ja muiden haavoittuvuuksia leviämisessään hyödyntävien haittaohjelmien leviämisen. Esimerkiksi Windowsin päivitysohjeet löytyvät osoitteesta http://windowsupdate.microsoft.com ja Office-paketin päivitysohjeet osoitteesta http://office.microsoft.com/officeupdate/
  • "Perinteisten" haittaohjelmatyyppien kohdalla pätevät edelleen vanhat ohjeet. Älä koskaan avaa epäilyttävän näköisiä sähköpostiviestejä tai niiden liitetiedostoja. Älä lataa Internetistä ohjelmia, joiden turvallisuudesta et ole varma. Jos ei ymmärrä, mitä ohjelma kysyy, kannattaa yleensä vastata kieltävästi.
  • Myös "epäilyttäviä" internetsivustoja on syytä välttää, erityisesti sellaisia, joilla levitetään laittomia ohjelmatiedostoja tai hakkerointityökaluja – tällaisilta sivuilta saattaa koneeseen latautua paljon muutakin kuin vain haluttu ohjelma.
  • Jos asioit verkkopankissa yleisellä Internetpäätteellä, esimerkiksi kirjastossa tai Internet-kahvilassa, muista tyhjentää selaimen välimuisti.

    Lisätietoa:

- www.pankkiyhdistys.fi, josta löytyy linkit pankkien ja rahoituslaitosten sivuille.

 

 

PANDA SOFTWARE FINLAND


* Tämä artikkeli kirjoitettiin alunperin toukokuussa 2005, ennen ensimmäisiä suomalasiin pankkeihin kohdistuneita Phishing-yrityksiä. Marras-joulukuussa 2005 Suomessa oli liikkeellä ensin englanninkielisiä ja myöhemmin myös että suomenkielisiä suomalaisten pankkien nimissä lähetettyjä huijausviestejä. Artikkeliin päivitettiin asiakkaan toimintaohjeet, jos hän epäilee tietojensa joutuneen vääriin käsiin.