Kirjautuminen

Haku

Tehtävät

Kilpailu

Ohjelmoi tekoäly!
Aikaa on 30.6. saakka.

Keskustelu: Yleinen keskustelu: SIM swap -huijaus ja suomalaiset operaattorit

Sivu 1 / 1

Sivun loppuun

HTML5 [21.01.2020 12:06:24]

#

SIM swap -huijauksessa joku soittaa operaattorin asiakaspalveluun ja pyytää siirtämään toisen henkilön numeron omaan liittymäänsä. Se onnistuu, jos operaattori ei varmista soittajan henkilöllisyyttä asianmukaisesti.

Tämä on hyvin ongelmallista tietoturvan kannalta: monien palveluiden kaksivaiheinen vahvistus on mahdollista ohittaa, jos tilinomistajan tekstiviestit saa haltuunsa.

SIM swap -huijauksia on toteutettu ainakin Yhdysvalloissa. Miten arvioisitte, onko tilanne Suomessa parempi? Tarkistetaanko soittajan henkilöllisyys niin hyvin, ettei kukaan ulkopuolinen voi saada toisen puhelinnumeroa haltuunsa?

Metabolix [21.01.2020 12:11:43]

#

Muistaakseni sain toisen henkilön liittymän siirrettyä syöttämällä nimen ja henkilötunnuksen operaattorin hallintapaneeliin, eikä muuta vahvistusta tarvittu. (Toivottavasti muistan väärin.) Toki henkilölle tuli tästä tekstiviestejä, ja siirron olisi voinut peruuttaa. Toisaalta jos tämän ajoittaisi vaikka jonkin matkan ajaksi niin, ettei henkilö lue tekstiviestejään (kuvitellaan vaikka jokin vaellus kännykän kantamattomissa), siirto menisi läpi.

Lebe80 [21.01.2020 12:46:00]

#

HTML5 kirjoitti:

(21.01.2020 12:06:24): SIM swap -huijauksessa joku soittaa...

Tämän vuoksi moni palvelu turvautuukin ulkopuoliseen ratkaisuun esim. Google Authenticator

https://en.wikipedia.org/wiki/Google_Authenticator

SMS-viestien turvallisuudesta on jo pitkään keskusteltu. Itsellä omakohtaisena kokemuksena se, että monet palvelut käyttävät viestien lähettämiseen ulkopuolista sms-palvelua, jonka seurauksena joku ulkopuolinen taho saa varmuudella luettua sms-viestien sisällön ennen sinua. Itsellä on käynyt jopa niin, että olena saanut samasta numerosta sekä Sonyn, että Microsoftin 2fa -sms-viestejä.

HTML5 [21.01.2020 17:27:32]

#

Käytän ensisijaisesti juuri Google Authenticatoria, mutta monissa palveluissa minulla on myös puhelinnumero tilin palauttamista varten.

Harkitsen nyt niiden poistamista, sillä olen tallentanut samojen palveluiden varakoodit, joiden pitäisi riittää, jos puhelin hajoaa ja todennussovelluksen tiedot menetetään. Pitänee ottaa käyttöön myös WhatsAppin kaksivaiheinen vahvistus.

Muutamassa palvelussa tekstiviestit ovat ainoa menetelmä kaksivaiheiseen vahvistukseen, mutta kai sekin on parempi kuin pelkkä salasana, kunhan tiliä ei saa haltuunsa pelkällä tekstiviestillä ilman salasanaa.

Lisäys:

Metabolix kirjoitti:

Muistaakseni sain toisen henkilön liittymän siirrettyä syöttämällä nimen ja henkilötunnuksen operaattorin hallintapaneeliin, eikä muuta vahvistusta tarvittu.

Käsittämätöntä, että henkilötunnuksia käytetään vieläkin henkilöllisyyden varmentamiseen, kun ne on oikeasti vain tarkoitettu erottamaan ihmiset toisistaan yksiselitteisesti. (Toivottavasti tosiaan muistat väärin. Tosin valitettavasti tämä ei olisi ainut tapaus, jossa henkilötunnusta voi käyttää henkilöllisyyden todistamiseen.)

Lebe80 [22.01.2020 09:19:48]

#

Itselläni on kaikissa sähköposti-, somepalveluissa, sekä konsoli- ja digipelikauppojen käyttäjätunnuksissa käytössä kaksivaiheinen tunnistautuminen.

Lisäksi suosittelen salasanasovellusten käyttöä kaikkien salasanojen luomiseen ja säilömiseen.

HTML5 [15.03.2020 09:09:47]

#

Onko suomalaisilla operaattoreilla saatavilla palvelua, jossa pitää tunnistautua vahvemmin, jos haluaa siirtää liittymänsä? Security Checklist -sivulla mainitaan mobile carrier PIN.

HTML5 [09.04.2020 01:28:43]

#

Tämän jutun mukaan suomalaisen liittymän kaappaaminen on vaikeaa:

Paypal ei suostu korjaamaan pahaa aukkoa: Rikollinen voi varastaa kaikki rahat puhelinsoitolla – suomalaisilla onnea matkassa (Tivi 8.4.2020)

Lebe80 [09.04.2020 09:50:42]

#

Vieläkö tämä vain jatkaa elämäänsä.


Sivun alkuun

Vastaus

Aihe on jo aika vanha, joten et voi enää vastata siihen.

Tietoa sivustosta