Jutun mukaan ja jutussa olleen OP:n kirjeen mukaan:
Perusteeksi ilmoitettiin myös, että pankki ei voi korvata asiakkailleen rikollisille menetettyjä rahoja, sillä silloin se rahoittaisi rikollista toimintaa.
Jos ennen vanhaan pankkiholviin olisi murtauduttu, olisi rahat kyllä korvattu asiakkaalle. Sikäli tämä OP:n perustelu ontuu pahasti.
Mielestäni on pankin velvollisuus rakentaa vahvemmat ”seinät” asiakkaan varojen suojaksi.
Jännä keissi. OP tai muunkaan pankin ei kyllä pitäisi lähetellä tekstareita joissa suoria tai välillisiä linkkejä oikeaan verkkopankkikirjautumiseen.
Edit. Kyllähän siinä käyttäjänkin vastuuta on kun sitten syöttää pankkikoodit vilunkisivuille. Mutta tuo OPeen oma tekstariviestittely ei auta tietoturvallisuutta ja saattaa sekoittaa asiakkaan pasmat.
Oikeastaan se oleellinen kysymys on, että miten on tehty järjestelmä, jossa voi ylipäätään tehdä maksuja pelkällä kirjautumisella. Kilpailevalla pankilla jokainen maksutapahtuma täytyy vielä erikseen vahvistaa.
Ero on siinä, että jos murtaudun pankkiholviin, niin pankin turvallisuus on pettänyt. Jos sinä annat jollekin tuntemattomalle pankkitunnuksesi pankin on aika vaikea tehdä asialle mitään. Jos joku oikeasti häkkeröisi tililtäsi rahat ilman, että olet vuotanut tunnuksia muille, niin kyllä pankki korvaisi rahat. On aika vaikea rakentaa sellaisia seiniä, joihin ei rakenna ovea, jos tarkoitus, että asiakkaat pääsevät seinien ohi.
Ymmärrän itse täysin, miksi pankkien näkökulmasta on ongelma, jos voin kusettaa sinulta rahat ja pankki korvaa ne. Saattaisi jokunen parivaljakko alkaa kusettamaan toisiaan ja printata rahaa.
Kyllä tuossa nyt saa vähän yrittäjä katsoa peiliin, kun on painanut linkkiä, jonka mukaan tili estetty, mutta viesti ei ole kirjoitettu oikein. OP varmaan osaisi käyttää viesteissään ääkkösiä…
Samaa mietin. Aina pitäisi ohjata esimerkiksi menemään op:n sivuille tai avaamaan sovellus eikä linkkailla.
Kyllä on olemassa keinot. Esimerkiksi MFA. Tuon yrittäjän tapauksessa huijari oli jutun mukaan päässyt tekemään tilisiirron pelkällä tunnuksella. Jos olisi ollut MFA käytössä, olisi OP vaatinut lisätunnistautumisen esimerkiksi OP-mobiililla.
Avaatko vähän tuota OP mobiilikäytön logiikkaa. Ymmärtääkseni siinä on ns. kaksi tasoa? Nordealla tuo ei taitais onnistua, vaatii aina tunnistautumisen pankin kautta.
Tässä on koko jutun ydin ja varmasti se tärkein perustelu sille, miksi Fine suositteli pankkia korvaamaan vahingon. Jos OP itse lähettelee linkkejä tekstareissa, joita odottaa asiakkaidensa klikkaavan, miten se voi selitellä samasta numerosta tulleiden tekstiviestien linkkien klikkaamisen törkeäksi huolimattomuudeksi? Mielestäni ei mitenkään.
Spoofing (tekstiviestien lähettäjän väärentäminen) on ollut sen luokan vitsaus, ettei yhdenkään pankin pitäisi lähetellä mitään linkkejä tekstiviestitse.
Yleisesti OP:n tapauksessa ihmetyttää se, että se ei tunnu välittävän siitä minkälainen mainehaitta tällaisista tapauksista tulee. 9600€ voi olla pieni raha mainevahinkoon verrattuna. Analyysin satunnainen lainaaminen keskustelupalstalla on pikemminkin mainos, kuin menetys pankille.
En ole itse koskaan OP:ssa pystynyt tekemään tilisiirtoja muille kuin omille tileille ilman vahvistuksia. Olisiko tässä mobiilitunnus päätynyt rikollisille huijauksen myötä. Toisaalta, silloin pitäisi olla vahvistuksia varten se mobiililaite, jossa tunnus on otettu käyttöön.
OP-mobiilissa on samankaltainen systeemi kuin Nordea ID:ssä. Kirjautuminin OP-mobiiliin ensin esim. Face-id:llä ja maksun vahvistaminen pin-koodilla.
Tämä on mun mielestäni se OP’n kannalta raskauttava pointti. Se itse lähettää periaatteessa vastaavan viestin eli kun asiakas on toiminut OP’n oman mainonnan mukaisesti, niin OP’n mielestä kyse on törkeästä huolimattomuudesta.
Sitten OP’lla on pokkaa väittää:
– Viestinnässämme korostamme, että pankki ei koskaan kysy verkkopankkitunnuksia sähköpostitse, eikä lähetä linkkejä kirjautumissivustoille, Gynther jatkaa.
Mutta Oopeelle verkkopankkiin tai jotenkin pääsee edelleen vuonna 2023 sisään pelkällä tunnarilla ja salasanalla niin että kymppitonneja voi siirrellä
On kyllä takaperoista meininkiä OPlla. Ihmettelen 
Luin kyllä jutun ja olen tietoinen kaksivaiheisuudestaJ a edelleen kysymys pätee, miten rahaa voitu nykypäivänä siirtää tililtä tässä tapauksessa ilman että käyttäjä hyväksyy ja varmistaa juuri siirron?
Ainakin Oopee tietää vastauksen mutta ne tuskin julkikertovat sitä, koska tässä on riitainen korvausjuttu ja on mahdollista että on muitakin vastaavia.
Onneksi kukaan ei varmaan vastaisuudessa lankea huijauksiin, joten tällainen korvaus jäisi varmasti ainoaksi laatuaan… Maksat kerran, niin maksat aina. Tässäkin oli kyse siitä, että kuinka huolimaton asiakas oli ja Finen perusteella asiakas oli tyhmä, muttei tarpeeksi tyhmä. Kyllähän yritys tällaiset keissit vie aina käräjille, kun omat lakimiehet löytyy.
Ongelma on juuri siinä, ettei OP:n vika, että lähettäjänä näkyy OP, mutta samaa mieltä linkkailuista.
En tiedä liittyykö yritystiliin. En pystyisi itsekään lähettämään tuollaisia rahoja ilma mobiilivarmennusta. Ongelma toki, jos on valmis kirjautumaan eli langennut kusetukseen, niin miksi ei hyväksyisi mobiilivarmennuksella. Pitää minun vahvistaa kirjautumisetkin sillä.
Eihän OP edes yrittänyt väittää, ettei aiempi vakuutustarjousviesti linkkeineen ja tunnistautumispyyntöineen ollut sen itsensä lähettämä.
Luitteko jutun tarkkaan. Onhan se tunnistautuminen tehty kaksivaiheisesti: “Finen Pankkilautakunta totesi, että yrittäjä ei vahvistanut itse tilisiirtoa avainkoodillaan, vaan sen tekivät rikolliset kalasteltuaan tunnuksen ensin valepankissa”
Kusetussivusto oli op.info ja tuo toinen op.fi. Jälkimmäinen on lievästi vaikeampi kusettaa. En siis itse menisi tuonnekaan, mutta veikkaan olleen lapsus OP:n vakuutuspuolelta. Pankkipuoli ohjeistaa itseä aina menemään op-mobiiliin lukemaan asioita.
Kävin muuten läpi omat op:lta tulleet viestit ja olen saanut tämän tismalleen saman kusetusviestin “OP:lta” 2021. Lisäksi 2 muuta vastaavaa kusetusta löytyi OP:n oikeiden viestien seasta.
Joo, mutta et sinä pystyisi tuota varmentamaan ilman pääsyä puhelimeeni. Tai ei ainakaan pitäisi voida. Ei se ole 2FA, jos yhdet tunnukset pöllimällä pääsee toisenkin läpi.
Tässä ei nyt keskusteltu mistä tahansa huijauksesta vaan tästä nimenomaisesta tapauksesta. Tottakai myös asiakkaalla on vastuu tekemisistään eikä pankkia kaikkien huijausten maksajaksi ole kukaan vaatimassa – eikä pankki takuulla ryhtymässä.
Puhelinnumeron väärentäminen matkapuhelinverkoissa estettiin vain muutama päivä sitten. Lankaverkoissa se estettiin jo 2022. En tiedä tarkoittaako tämä kattavasti myös tekstiviestihuijausten numeron väärentämistä.
Viikonloppuna pelattu ahkerasti Spiderman2. Supersankarointi on aika kuormittavaa hommaa, joten päätin keskittyä hetkeksi turismiin ja kävin mm tarkastamassa löytyykö pronssihärkä oikealta sijainniltaan financial districtiltä. Tällainen “härkäkoira” siellä komeili.
Minulle on tullut tämä nimenomainen huijaus ja kaksi muuta todennäköisesti tismalleen vastaavalla tavalla toimivaa huijausta. Jos tuon korvaa, niin saat korvata myös muut keissit, missä asiakkaalta on kalasteltu tunnukset tekaistulla kirjautumissivulla. Juridisesti ei ole oikein olemassa yksittäistapauksia.
Tilikusetukset ovat lähtökohtaisesti hyvin samanlaisia. Lisäksi minulle on tullut tuo viesti 2v sitten, niin epäilen, että joku muu on jäänyt samaankin kusetukseen. Harva vain kehtaa myöntää julkisesti, että on mennyt helppoon.
Itse vetäisin ikävä kyllä rajan pankin korvausvelvollisuudesta juuri tuohon, että oletko itse antanut pankkitunnukset toiselle.
Mietitään ainakin yksi skenaario joka toimii (tämä on täysin omaa mietintää). Rikolliset ovat akviisia eli valvovat omaa sivustoaan kun tällaisen kalastelukampanjan lähettävät:
Huijaussivusto pyytää tunnuksiasi ja passua pankkiin. Kala napsahtaa syöttiin eli käyt syöttämässä tunnuksen ja passun huijaussivustolle “kampanjan” aikana.
Huijaussivuston ylläpitäjä samanaikaisesti käy kirjautumassa oikeaan op.fi sivustolle sinun pankkitunnuksillasi jotka juuri annoit huijaussivustolle. Op.fi sivu pyytää valitsemaan joko mobiilitunnistuksen tai avainlukutunnistuksen. Huijari valitsee avainluvun vaikka tässä tapauksessa ja tarkistat vastinparikoodin jota sivu pyytää.
Huijari laittaa huijaussivuston pyytämään samaa vastinparikoodia huijatulle. Tämä voi tapahtua ohjelmallisesti tai käsin tehtynä.
Huijattu iloisesti painaa avainalukulistalta vastinkoodin huijaussivustolle ja ihmettelee kun sivu ei toimikaan halutunlaisesti.
Kohdan 4. avulla huijari sai oikean kaksivaihetunnistuksen koodin op.fi sivustolle ja multipass on saatu oikeaan sessioon.
Tässä tapauksessa ei ihan kaikki kyllä täsmää. Luultavasti OP ei pidä varkautta aitona, ja siksi kieltäytyy noudattamasta lautakunnan suositusta.
Rikollinen on kertomuksen mukaan saanut huijauslinkin kautta haltuunsa verkkopankin käyttäjätunnuksen ja salasanan sekä yhden numerokoodin. Kuten edellä on keskusteltu, niin näiden avulla 10k tilisiirron tekeminen ei pitäisi vielä olla mahdollista. Ainakin itse saan vielä tekstiviestillä erillisen vahvistuskoodin tai siirto pitää erikseen hyväksyä mobiilissa.
Huomioni herättää tässä vielä se, että asiakkaan puhelimen kieli on englanti ja varat lähetetty Isoon-Britanniaan.
