Eli nämä ovat olleet riittävän tyhmiä kuvitellakseen voivansa kiinni jäädessään selitellä "en minä tiennyt ettei jonkun toisen tililtä saa siirtää rahaa omalle tilille ilman lupaa vaikka olisi tilaisuus tehdä niin".Kuka tahansa, kenellä on S-pankin tunnukset ja sovellus, olisi kyennyt käyttämään hyväkseen tätä haavoittuvuutta.
Kyllähän ainakin osa heistä huomasi ja otti yhteyttä pankkiin, mutta siellä kehotettiin vaan maksamaan luottokorttilaskut ym, eikä alettu selvittää asiaa. Itsekin pidän hämmästyttävänä, ettei pankki reagoinut mitenkään, vaikka samantyyppisiä yhteydenottoja alkaa yht' äkkiä tulla toistuvasti eri puolilta maata ja silti jokaisen tarina on samantyyppinen; tilillä on outoja veloituksia ja tapahtumia. Yksittäinen ihminen on aika puoleton pankkia vastaan. Oletan, että poliisille asian ilmoittamimenkaan ei auta, vaan sieltä ottamaan yhteyttä pankkiin. Niin sokea on usko pankkien luotettavuuteen.
Virheen tekee Järvisen mukaan vakavammaksi se, ettei S-Pankki ollut huomannut sitä moneen kuukauteen.
”Vähän samahan oli [psykoterapiakeskus] Vastaamon tapauksessakin, he eivät huomanneet, että asiakastietokanta oli varastettu. Se teki ongelmasta ikään kuin tuplasti suuremman kuin pelkkä varkaus oli.”
Ongelmallista on Järvisen mukaan myös se, ettei tämänkaltaisista tietoturvaongelmista kerrota yksityiskohtia julkisuuteen. Spekuloiden hän pitää käsittämättömänä, ettei S-Pankki ollut ottanut esimerkiksi asiakkaiden ilmoituksia väärinkäytöksistä vakavasti. Ongelma on tällöin laajemmissa prosesseissa, ei pelkästään ohjelmisto-bugissa.
”Tässä tapauksessa edes uhrien ilmoitukset eivät ole havahduttaneet pankkia, vaan he kertovat, että vasta ulkopuolinen valkohattuhakkeri havaitsi väärinkäytön. Mielestäni tämä on käsittämätöntä.”
Pahinta koko tapauksessa on, ettei tavallinen kansalainen pysty Järvisen mukaan tekemään mitään.
”Olemme pankkien armoilla ja vieläpä, kun niillä on tiedotus- ja tiedon ylivoima. Kuluttajina ja asiakkaina emme voi kyseenalaistaa, jos pankki sanoo asian olevan näin ja lokeissamme lukee näin. Mahdollisissa riitatilanteissa emme voi kiistää pankkien antamia tietoja.”
https://www.iltalehti.fi/digiuutiset/a/ ... ca4167a124Yhdeltä S-pankin asiakkaalta vietiin yli 400 000 euroa – näin epäilty kaksikko pääsi rahoihin käsiksi
Poliisin mukaan S-Pankin järjestelmässä oli tietoturva-aukko, jota tavalliset kansalaiset pääsivät käyttämään hyväkseen.
Tänään klo 10:43
Kaksi nuorta on epäiltynä mittavasta petosvyyhdistä, jossa suomalaisten tileiltä vietiin liki miljoona euroa.
Kyse on epäillystä tietomurrosta S-Pankin tileillä. Poliisi epäilee, että kaksi nuorta miestä käytti pankin järjestelmän haavoittuvuutta hyväkseen ja vei asiakkaiden tileiltä mittavan määrän rahaa.
16- ja 23-vuotiaat miehet on vangittu muun muassa törkeästä maksuvälinepetoksesta epäiltyinä. He ovat vyyhdin pääepäillyt, joiden poliisi uskoo masinoineen koko touhua. Kaksikko tunsi toisensa.
– Varovasti arvioiden yhteensä 7–8 henkilöä on ollut enemmän tai vähemmän tekemisissä asian kanssa, sanoo rikoskomisario Klaus Geiger Länsi-Uudenmaan poliisista.
Muut epäillyt ovat olleet myötävaikuttamassa rikoksen toteutumiseen, muun muassa käyttämällä rahoja.
Rahat ”makeaan elämään”
Poliisi epäilee, että vangittuna oleva kaksikko vei S-Pankin asiakkaiden tileiltä yhteensä 940 000 euroa.
– On viitteitä siitä, että pankkitunnuksilla on otettu erilaisia lainoja.
Mahdollisten lainojen rikoshyödystä ei ole vielä varmuutta, sillä otetut lainat selviävät tilien omistajille vasta, kun maksut alkavat erääntyä.
Rahoilla on myös pelattu erilaisia pelejä ja saatu niistä voittoa. Myös tämä lasketaan rikoshyödyksi.
Geiger katsoo, että rikoshyöty tulee nousemaan yli miljoonaan euroon.
Poliisin tietojen mukaan epäillyt käyttivät viemänsä rahat ”makeaan elämään”. Hyvin pieni osa rahoista on saatu takaisin. Poliisi tekee töitä sen selvittämiseksi, onko rahoja vielä jäljellä.
– On viitteitä siitä, että rahoja on pistetty bitcoineihin ja erityisille tileille. Näitä on hyvin haastava selvittää.
Poliisi huomasi petossarjan
Poliisin tutkima petossarja johtuu ilmeisesti kahdesta seikasta. Ensinnäkin S-Pankin tietojärjestelmässä oli haavoittuvuus, jota tavallinen kansalainen alkoi käyttää hyväkseen. Lisäksi mukana oli sattumaa, kun epäillyt huomasivat haavoittuvuuden.
Mistään huimasta hakkeriryhmästä ei siis ole kyse.
– Mutta kyllä jonkinnäköistä tietoteknistä osaamista ja innovatiivisuutta on vaadittu.
Teot alkoivat toukokuun alussa tänä vuonna ja päättyivät heinäkuun lopulla.
Poliisi sai heti alusta lähtien uhreilta rikosilmoituksia, joita tutkittiin. Pian huomattiin, että teot eivät vaikuta perinteisiltä kalastelupetoksilta, jotka liittyvät kansainväliseen rikollisuuteen.
– Tekotapa oli poikkeuksellinen kalastelupetoksiin verrattuna.
Pian poliisi huomasi, että kyseessä saattaa olla petosten sarja. Samalla poliisi otti myös yhteyttä S-Pankkiin asiasta.
Tililtä lähti satoja tuhansia euroja
Toteutuneita tekoja eli maksuvälinepetoksia on poliisin tämän hetken tiedon mukaan 53. Yhdessä tapauksessa henkilön tililtä vietiin lähes puolet koko vyyhdin arvioidusta rikoshyödystä, eli yli 400 000 euroa. Muut tileiltä viedyt summat vaihtelivat tuhansista euroista noin sataan tuhanteen euroon.
Näiden lisäksi poliisin tutkinnassa on arviolta noin 150 tietomurtoa. Näissä on kyse siitä, etteivät epäillyt syystä tai toisesta vieneet tileiltä rahaa, vaikka pääsivät nettipankkiin sisälle.
– Yksi syy voi olla se, että tilillä ei ole ollut tarpeeksi rahaa. Teko on jäänyt yrityksen asteelle.
Alle 200 tietomurtoa, mutta kuitenkin 3 miljoonaa asiakasta. Onnistunut "tietyissä tilanteissa", uhrilla (uhreilla?) ei S-mobiilia käytössä.Myös Pertti Aallon poika Jussi Aalto selvitti asiaa vanhempiensa kanssa. Jussi Aallon mukaan heille on kerrottu, että tilille oli päästy käsiksi S-ryhmän mobiilisovelluksen S-mobiilin kautta. Hän kertoo, ettei Aalloilla ollut käytössä S-mobiilia.
Tämä on aika hieno kommentti. Varmasti on "helpompaa" ryhtyä selvittelemään, kun joku ulkopuolinen ensin vääntää rautalangasta pankille, mistä on kyse. Siihen astihan mitään ei ollut selvittämisrintamalla tapahtunutkaan, vaikka poliisikin sanoo olleensa yhteydessä S-pankkiin näiden outojen tilitapahtumien tutkintojen vuoksi. Asiakkaiden vikoja kaikki.S-pankki sai jo keväällä varkausilmoituksia – nyt pankki kertoo, miksi tarttui asiaan vasta kuukausia myöhemmin
S-pankki kertoi tiistaina poikkeuksellisesta järjestelmähäiriöstä, jota tietoturva-asiantuntija kuvailee vuoden pahimmaksi tietoturvamokaksi. Pankin vt. toimitusjohtaja Hanna Porkka sanoo, että pankki tekee kaikkensa luottamuksen palauttamiseksi.
S-PANKIN kuukausien mittainen järjestelmähäiriö ja siitä koituneet väärinkäytökset ovat Suomessa poikkeuksellisia. Järjestelmähäiriö kiusasi pankin palveluja lähes neljä kuukautta 20. huhtikuuta alkaen.
Häiriön vaikutukset koskevat noin paria sataa pankin asiakasta. S-pankin mukaan häiriötä hyödynnettiin esimerkiksi luvattomiin maksuihin ja kolmansien osapuolten verkkopalveluihin kirjautumiseen.
HS kertoi aiemmin keskiviikkona tapauksesta, jossa S-pankin asiakas oli huomannut tilinsä tyhjentyneen täysin yllättäen toukokuussa. Asiakas kertoi ilmoittaneensa tapauksesta välittömästi sekä S-pankille että poliisille.
S-pankin mukaan järjestelmähäiriö huomattiin 5. elokuuta. Miksi häiriön havaitsemisessa kesti näin kauan, S-pankin vt. toimitusjohtaja Hanna Porkka?
”Jokainen tällainen tapaus on liikaa, mutta yksi selittävä tekijä on se, että häiriö koski niin rajattua joukkoa. Kun häiriö on nyt paikannettu, tapausten selvittäminen on helpompaa. Tänä päivänä rikolliset kohdistavat pankkeihin paljon aktiviteettia esimerkiksi digikanavien kautta. Heti ei nähty sitä kokonaisuutta”, Porkka sanoo HS:lle.
Porkka ei halua kommentoida yksittäisen asiakkaan tilannetta, mutta kommentoi sitten kumminkin, sanomalla, että jokainen reklamaatio tutkitaan asianmukaisesti. Mitenkäs asianmukaisesti tämäkin on tutkittu, jos asiakasta painostettiin kuukausitolkulla korvaamaan vahingot omasta pussistaan?Porkka kertoo olevansa tietoinen HS:n julkaisemasta jutusta.
”En tunne tapausta enkä pysty yksittäisen asiakkaan tilannetta kommentoimaan. Jokainen reklamaatio tutkitaan meillä asianmukaisesti”, Porkka sanoo.
Tooosi luotettavaa ja täsmällistä on kyllä ollut ääspankin toiminta ja tiedotus tässä. Kyllä ei asiakkaalla ole mitään aihetta epäillä, kun pankki sanoo että kaikki tapaukset on löydetty ja uhrit tavoitettu. Ei ole mitään syytä asiakkaalla tarkastaa asiaa itse ja olla yhteydessä pankkiin. [/sarkasmi]S-PANKKI on käynyt läpi reklamaatioita, jonka lisäksi joitain tapahtumia on pystytty havaitsemaan myös ilman asiakkaiden yhteydenottoa. Porkan mukaan pankki on jo ollut eri välineiden kautta yhteydessä kaikkiin asiakkaisiin, joita häiriö koskee.
”Haluamme tehdä tämän mahdollisimman helpoksi asiakkaille. Asiakkaiden ei tarvitse olla meihin yhteydessä”, Porkka sanoo.
Ainakin Nordealla on omassa pankkisovelluksessa ominaisuus "Vahvista puhelun aitous" jota kautta pystyy varmistamaan että puhelu tulee oikeasti Nordealta.jhou kirjoitti: ↑Ti Syys 13, 2022 8:38 pm Laki edellyttää, että pankki tuntee asiakkaan (ja pystyy parilla tarkistuskysymyksellä varmistelemaan tämän henkilöllisyyttä puhelinkontaktissa). Mutta mites tämä toisinpäin menee? Varsinkin tilanteessa, jossa asiakkaalle soitetaan juurikin siksi, että heidän järjestelmiensä tietoturva on kosahtanut ja nimenomaan tämän asiakkaan verkkopankissa on käynyt joku käypäläinen kurkistelemassa? Ainakin kaikki verkkopankin tiedot ovat käyttökelvottomia tunnistusmielessä.
Kuinka paljon tuollaisia yhteydenottoja on ollut aikana ennen järjestelmähäiriön hyväksikäyttöä? Me emme tiedä vaikka tämän ketjun aiheeseen liittyvät yhteydenotot olisivat olleet pisara meressä, jolloin pankissa ei olla voitu huomata mitään erikoista pelkästään niiden perusteella.VastarannanKiiski kirjoitti: ↑To Syys 15, 2022 9:53 amItsekin pidän hämmästyttävänä, ettei pankki reagoinut mitenkään, vaikka samantyyppisiä yhteydenottoja alkaa yht' äkkiä tulla toistuvasti eri puolilta maata ja silti jokaisen tarina on samantyyppinen; tilillä on outoja veloituksia ja tapahtumia.
S-Pankin tunnistautumisessa järjestelmähäiriö kesällä – tilanne on korjattu ja kaikkiin asiakkaisiin, joita häiriö koski, on oltu yhteydessä
S-Pankin verkkopankkitunnuksilla tunnistautumisessa esiintyi 20.4.-5.8.2022 järjestelmähäiriö [...] Häiriö korjattiin heti, kun se havaittiin.
- S-Pankin tiedote 13.9.2022 kokonaan tuolla--> https://www.s-pankki.fi/fi/tiedotteet/2 ... rvallisuus
Mieleen tulee myös se, kuinka paljon tunnuksia päätyy vääriin käsiin Postin sotkujen myötä. Väärin jaettuja posteja on paljon ja meillä on hyvin usein postit luukun välissä (kesällä itsellä mm. uusittu pankkikortti), mistä ne saa oven ulkopuolelta kuka tahansa otettua. Vaikka postille kuinka reklamoi tuosta luukun väliin postin jätöstä, mitään muutosta ei tapahdu.ässähai kirjoitti: ↑Ke Syys 14, 2022 3:24 pm S-Pankin toiminta on huolimatonta myös niin, että sieltä lähetetään koteihin uudet tunnuslukutaulukot kirjekuoressa, jonka osoiteluukku on niin suuri, että siitä näkyy kirjoitettuna tieto, että kuoressa on S-Pankin asiakkaalle uusi tunnuslukutaulukko. S-Pankki osaa itse kertoa asiasta tarkemmin, miksi se käyttää tällaisia isoluukkuisia kirjekuoria, jonka nimi- ja osoiteaukosta näkyy lähettämänsä postin asiaakin.
Jotta voit käyttää näitä, niin tarvitset käyttäjätunnuksen, salasanan ja sen vanhan avainlukutaulukon.Sinitiainen kirjoitti: ↑Pe Syys 16, 2022 3:43 amMieleen tulee myös se, kuinka paljon tunnuksia päätyy vääriin käsiin Postin sotkujen myötä. Väärin jaettuja posteja on paljon ja meillä on hyvin usein postit luukun välissä (kesällä itsellä mm. uusittu pankkikortti), mistä ne saa oven ulkopuolelta kuka tahansa otettua. Vaikka postille kuinka reklamoi tuosta luukun väliin postin jätöstä, mitään muutosta ei tapahdu.ässähai kirjoitti: ↑Ke Syys 14, 2022 3:24 pm S-Pankin toiminta on huolimatonta myös niin, että sieltä lähetetään koteihin uudet tunnuslukutaulukot kirjekuoressa, jonka osoiteluukku on niin suuri, että siitä näkyy kirjoitettuna tieto, että kuoressa on S-Pankin asiakkaalle uusi tunnuslukutaulukko. S-Pankki osaa itse kertoa asiasta tarkemmin, miksi se käyttää tällaisia isoluukkuisia kirjekuoria, jonka nimi- ja osoiteaukosta näkyy lähettämänsä postin asiaakin.
Minä en ainakaan tarvinnut avainlukulistaa(ei ole sellaista s-pankille ikinä ollutkaan) vaan käytin muistaakseni mobiilivarmennetta. Koska kyseessä on aiemminkin mainittu sim swapping, on luonnollisesti uuteen simiin otettu mobiilivarmenne käyttöön eikä uhrin tietoja enää sen enempää taida tarvitakaan tunnistautumisen onnistuessa puhelimen naputtelulla.draining kirjoitti: ↑Pe Syys 16, 2022 7:51 am
Jotta voit käyttää näitä, niin tarvitset käyttäjätunnuksen, salasanan ja sen vanhan avainlukutaulukon.
Tuo tunnustaulukko itsessään ei ennen noilla edellisillä tehtyä aktivoimista yksilöidy mihinkään.
Mutta amatöörimäistä puuhastelua S-pankilta yleisesti.
Selitellään asiaa, että joku on sattuman kautta voinut tätä haavoittuvuutta käyttää hyväkseen ja eihän silleen saisi tehdä..
Tietoturva ja asenne asioihin kuin Vastaamolla, kun lähdetään tietämättömyydellä mukaan isompien pankkien kilpaan.
Mitkä hiton salaliittoteoriat?!
Ihan täysi vitsi tämä "know your customer" Suomessa.jhou kirjoitti: ↑Ti Syys 13, 2022 8:38 pm Laki edellyttää, että pankki tuntee asiakkaan (ja pystyy parilla tarkistuskysymyksellä varmistelemaan tämän henkilöllisyyttä puhelinkontaktissa). Mutta mites tämä toisinpäin menee? Varsinkin tilanteessa, jossa asiakkaalle soitetaan juurikin siksi, että heidän järjestelmiensä tietoturva on kosahtanut ja nimenomaan tämän asiakkaan verkkopankissa on käynyt joku käypäläinen kurkistelemassa? Ainakin kaikki verkkopankin tiedot ovat käyttökelvottomia tunnistusmielessä.
Anneli yritti kertoa S-pankille tilinsä väärinkäytöstä turhaan – pankki ei uskonut
S-pankki ei reagoinut, vaikka Anneli oli tilinsä väärinkäytöstä pankkiin yhteydessä jo kuukausia sitten.
Annelilla on ollut S-pankin luotollinen pankkikortti. Hän on ollut jo kauan pankin asiakas.
Toukokuussa Annelin ei tarvinnut S-pankin luottokorttia käyttää, sillä kortti oli hänellä vain varalla, mikäli suurempia ostoksia tarvitsi tehdä. Hänellä oli kortilla 2 500 euron luottoraja.
Kesäkuun alussa hän sai pankilta kuitenkin viestin, jossa kerrottiin, että hänen korttinsa oli suljettu epämääräisten nostojen takia.
Anneli huolestui tilanteesta ja kirjautui verkkopankkiin katsomaan ja selvittämään, mitä oli tapahtunut.
Hän huomasi kortin uuden luottorajan olevan 8 000 euroa. Lisäksi tililtä ja kortilta oli tehty suuria yksittäisnostoja.
Korkea luottoraja tuli Annelille täytenä yllätyksenä, sillä hän ei ollut koskaan allekirjoittanut tai hyväksynyt luottorajan nostoa, saati sellaista tehnyt.
Anneli on pitänyt kaikki tositteet tallessa paperiversioina mapissa, sillä hän ei omista älypuhelinta, eikä mielellään käytä verkkopalveluita.Anneli on pitänyt kaikki tositteet tallessa paperiversioina mapissa, sillä hän ei omista älypuhelinta, eikä mielellään käytä verkkopalveluita.
***
Annelin tililtä ja kortilta oli tehty suuria nostoja. Tiliotteelta selvisi, että suurin siirto luotolta tilille oli 3 000 euroa. Tuhansien eurojen nostoja ja siirtoja oli tehty useampia.
Anneli otti tilanteen huomattuaan välittömästi yhteyttä pankkiin, josta hän sai erittelyn tilitapahtumista edellisen kolmen kuukauden ajalta.
Iltalehti on käynyt läpi tilitapahtumat.
Korttia ja sen luotto-ominaisuutta ei juuri ollut käytetty ennen toukokuun loppua. Kolmen päivän aikana Annelin tililtä oli tehty 89 tilisiirtoa, joita hän ei itse tunnista.
Yhden päivän aikana hänen luotoltaan oli siirretty käyttötilille ensin 2 500 euroa ja myöhemmin samana päivänä vielä 3 000 euroa.
Kaikki tunnistamattomat tilitapahtumat ajoittuivat toukokuun loppuun muutaman päivän ajalle.
Annelille tuntemattomat yritykset ja yksityishenkilöt olivat tehneet nostot.
***
Asian tultua ilmi Anneli teki reklamaation pankkiin. Hän selitti tilanteen ja kertoi, ettei ole kyseisten päivien aikana nostoja tehnyt eikä ollut koskaan kyseisistä yrityksistä kuullutkaan. Pankissa suhtauduttiin Annelin kertoman mukaan tilanteeseen vähätellen.
Iltalehti on nähnyt Annelin ja pankin välistä kirjeenvaihtoa.
Ensimmäisen yhteydenoton jälkeen pankki lähetti viestin, jossa pahoiteltiin tilannetta.
– Ymmärrämme, että tilanne on harmillinen. Emme kuitenkaan valitettavasti voi hyvittää tapahtumia, vaan ne jäävät vastuullesi, S-pankin viestissä todetaan.
Anneli teki asiasta rikosilmoituksen.
Anneli oli yhteydessä S-pankkiin puhelimitse ja yritti selvittää tilannetta pankin kanssa. Hänelle selvitettiin, että siirrot oli tehty Samsung-merkkisestä puhelimesta tiettynä päivänä. Anneli yritti selvittää, ettei hänellä ole kyseistä puhelinta eikä muutakaan älypuhelinta.
***
Lisäselvityksen jälkeen pankki vastasi kertomalla, mitä kaikkea Anneli oli kiistänyt. Kuitenkin viestissä kerrottiin, että kiistämisestä huolimatta kaikki reklamoidut tapahtumat vahvistettiin S-mobiililla, jota käytettiin Samsung-puhelimesta.
S-mobiilin käyttöönottoon on tarvittu sinun henkilökohtaiset verkkopankkitunnuksesi eli verkkopankkisi käyttäjätunnus, salasana ja koodi tunnuslukutaulukosta sekä tekstiviestillä lähetetty vahvistuskoodi. Tunnuslukutaulukko, jota S-mobiilin käyttöönotossa on käytetty, on vain sinun hallussasi. Pankilla ei ole tunnuslukutaulukoita tai niiden sisältämiä tunnuksia, jotka sivullinen voisi saada haltuunsa, viestissä todettiin.
