Pankkien toiminta huijaustapauksissa

[toumasho]

Hieman verenpainetta nostattava aihe tämä, varsinkin siksi, koska poliisi ei tutki ja pankit eivät korvaa. Toki tähän voi asennoitua "edgysti", tai teinimäisesti, "Mitäs läksit"-mentaliteelilla. Eli ottaa kanta, että on oma vika, jos lankeaa aidon näköiseksi naamioidun valeverkkopankin ansaan.

On kuitenkin niin, että hyvin toteutetun valeverkkopankin erottaminen aidosta ei onnistu noviisilta, eikä välttämättä kokeneeltakaan käyttäjältä. Harvapa meistä klikkaa tänne hommaforumillekaan tullessa osoitepalkin lukkoa ja tarkistaa, että asiat ovat kunnossa. Jos oletus on se, että "Käyttäjän pitää vaan tietää, että pankit ovat kaikki .fi -domainissa, mutta joku voi toki olla .com -domainissa, tai .xyz-domainissa", niin se on aika huonoa suorittamista. Jos pankki ei voi todistaa, että heiltä on annettu loppukäyttäjille koulutus siitä, että miten oikea pankki erotetaan valeverkkopankista, niin vika on silloin heidän.

Vaan asiaan. Se, mikä risoo tämänaamuisen uutisen(IS: Huijari vei 83-vuotiaalta Mirjalta 64 000 euroa) perusteella, on seuraava pikku detalji: Miksi pankit eivät tee IP-osoitteiden seurantaa? Koska valeverkkopankin perustaja on aniharvoin, jos koskaan, suomalainen, niin toimintametodi on seuraava:

- valeverkkopankki on maan ulkopuolella
- huijari kalastelee sarjan käyttäjätunnus+salanayhdistelmiä
- huijari aktivoi pankin mobiilisovelluksen ulkomailla sijaitsevassa kännykässä ja tekee siirrot sillä - tässä kohtaa homman pitäisi tökätä.

On nimittäin niin, että jos pankkia käytetään ulkomailta, niin silloin käyttäjällä tuskin on suoraan käytössään suomalainen nettiliittymä. Hän käyttää jonkin palvelutarjoajan VPN:ää tai johonkin suomalaiseen nettiliittymään asennettua proxyä. Jos kyseessä on täysin osaamaton tapaus, niin hän käyttää mobiilipankkia suoraan ulkomailta sinne rekisteröidyllä IP-osoitteella. Tässä kohdassa pitäisi olla hyvin yksinkertaista tehdä hälytin ja viivytin:

Jos huijatuksi joutuva loppukäyttäjä on Suomessa, niin hänen maksukäyttäytymisestään pitäisi heti kyetä näkemään, että "Täti A on maksanut Alepassa tänään päivällä 30 euroa ja nyt Täti A on asentanut Espanjaan, tai maahan X, paikallistuvan kännykän, joka käyttää XYZ-VPN:ää ja alkaa tehdä 20 000 euron siirtoja putkessa". Tämän pitäisi olla itsestäänselvyys jokaisen pankin anomalioita, eli poikkeamia seuraavassa järjestelmässä.

Samoin se on merkittävä poikkeama, että aiemmin web-sivun kautta verkkopankkia käyttänyt, ikäprofiililtaan huomattavan iäkäs, asiakas asentaa iltamyöhällä mobiilipankki-sovelluksen ja aloittaa massiiviset varojen siirrot ulkomaille. Jos tätä ei kukaan tulkitse poikkeamaksi, niin jo on ihme! Tämä on siis selkeä turvallisuuden laiminlyönti pankilta!

Viestini huijatuille on: Älkää antako periksi! En voi luvata, että saatte pankin antamaan rahojanne takaisin, tai poliisin edes tekemään ABC-tason palikkatutkimusta, mutta seuraavilla keinoilla voitte ehkä saada asianne uudelleen etenemään.

- Joukkokanne pankkia vastaan, jos löydätte useampia saman profiilin tapauksia. Eli siis vaikka näitä, että "Ei älykännykkää, aina käytetty tietokoneen selaimen kautta pankkia, mobiilisovelluksen yllätyksellinen aktivointi ja tilin tyhjennys välittömästi!". Kyseessä törkeä huolimattomuus ja turvallisuuden laiminlyönti pankin puolelta. Tapauksessa voidaan vedota siihen, että talletuksissa tehty valvonta, jossa esimerkiksi kysytään "Mistä sait nämä 10 000 euroa?" on toimittava myös toisinpäin.

- GDPR tietopyyntö pankille ja mobiilisovellusta käyttäneen IP-osoitteen selvitys. Pankin haastaminen oikeuteen siitä, että ilmiselvää käyttöpoikkeamaa ei havaita ja siihen ei reagoida, jos aiempi maksuliikenne tapahtunut kotimaan IP-osoitteeseen rekisteröityneestä osoitteesta operaattorilta X, eikä VPN-palveluntarjoajan hyppylauta IP-blokista Y. Kyseessä on jälleen törkeä laiminlyönti turvallisuuden osalta pankin puolelta.

- Tietopyyntö rikosilmoituksen kautta VPN-tarjoajalle, jos selviää, että mobiilipankkia on käytetty heidän IP osoitteesta esiintyen pankkitilin omistajana -> VPN-palveluntarjoaja erehdytetty identiteettihuijaukseen. Poliisille tieto tästä, koska he ovat kyvyttömiä itse tähän. Voi siis selvitä, että kuka on VPN-palvelun käyttäjä.

- Tietopyyntö rikosilmoituksen kautta operaattorille, jos selviää, että mobiilipankkia on käytetty heidän kuluttajaliittymästä. Kyseessä jälleen identiteettihuijaus, jossa operaattoria erehdytetään.

Summa summarum: Näissä huijauksissa ja korvaamatta jättämis -päätöksissä tapahtuu useita asioita, jotka nyt on uutisoitujen tapausten perusteella sivuutettu ja vastuuta pakoiltu.