Huomioi tämä, kun seuraavan kerran käytät mobiilivarmennetta – ”Ihmiset eivät osaa varoa”

Turvallisena pidetty mobiilivarmenne voi olla rikollisille keino toteuttaa aikeensa. Tietokirjailija Petteri Järvinen muistuttaa mobiilivarmenteen käyttöön liittyvistä riskeistä.

– Ihmiset eivät osaa varoa, koska heitä on opetettu siihen, että mobiilivarmenne on turvallinen toisin kuin pankkitunnukset. Totuus on, että mobiilivarmenteellakin voi huijata. Käyttäjät eivät tule ajatelleeksi, että kirjautuessaan mobiilivarmenteella rikollinen saattaa syöttää kyseiset kirjautumistiedot väärälle sivulle, jolloin he pääsevät haluamaansa palveluun. Tällaisissa tapauksissa esimerkiksi yritys voi menettää isoja summia.

Järvinen viittaa Yrittajat.fin viime perjantaina julkaisemaan uutiseen. Siinä kerrottiin yrittäjä Johanna Hirniin viime vuoden marraskuussa kohdistuneesta huijauksesta, jonka seurauksena Hirnin kolmen yrityksen tileiltä vietiin yhteensä lähes 200 000 euroa. 

Hirn oli saanut viestin, jonka aiheena oli lastensuojelun tapaamisen sopiminen. Viestin saatuaan yrittäjä oli yrittänyt kirjautua kyseiseen palveluun mobiilivarmenteella, mutta kirjautuminen ei onnistunut. Tässä vaiheessa rikolliset olivat jo päässeet mobiilivarmenteella yrityksen käyttämään taloushallintojärjestelmään.

Viestit tulevat yleensä iltaisin

Järvisen mukaan mobiilivarmennetta voidaan väärinkäyttää rikollisten toimesta monin eri tavoin.

– Sillä voidaan esimerkiksi ottaa pikavippejä, muuttaa henkilön virallisia tietoja ja päästä kryptotileille.

Isot pankit eivät hyväksy mobiilivarmennetta, Jotkin pienet pankit hyväksyvät sen kirjautumista varten, mutta niissäkään ei pysty siirtämään rahaa ulos pankista pelkällä mobiilivarmenteella.

Mobiilivarmenteella suojattuja palveluja on Suomessa yli 20 000, joukossa monia julkishallinnon ja yritysten digitaalisia palveluita.

Tietokirjailijan mukaan on hieman epäselvää, miten mobiilivarmennehuijaukset ovat käytännössä onnistuneet.

– Jos se olisi hyvin helppoa, niitä tehtailtaisiin jatkuvasti. 

Johanna Hirnin tapauksessa pankki pesi kätensä vastuusta. Järvisen mukaan tämä on ymmärrettävää, sillä pankissa ei voida tietää, kuka on kirjautumassa. 

– Käyttäjän pitäisi olla hereillä siinä vaiheessa, kun hän saa vähänkään arveluttavan viestin. Mobiilivarmenteen antamisen jälkeen on liian myöhäistä.

Järvinen huomauttaa, että rikolliset lähettävät mobiilivarmenteita kalastavia viestejä tyypillisesti iltaisin, jolloin esimerkiksi pankkiin tai palveluntarjoajiin ei välttämättä saa helposti yhteyttä.

Tärkeä neuvo

Järvinen neuvoo käyttäjiä aktivoimaan mobiilivarmenteeseen häirinnänestokoodin, joka voi estää rikollisten aikeet. Koodin ansiosta mobiilivarmenteen kirjautumispyyntöjä ei voida tehdä. Koodi on operaattorikohtainen.

– Operaattorit eivät välttämättä muistuta asiasta, joten käyttöönotto vaatii käyttäjältä oma-aloitteisuutta.

Käyttäjän on syytä muistaa, että viranomaiset eivät lähetä yksityishenkilöille tai yrityksille odottamattomia viestejä, joissa on epäilyttäviä linkkejä tai liitteitä. Järvinen muistuttaa myös välttämään hätäilyä.

– Monesti mobiililaitetta näprätään samalla kun tehdään jotain muuta. Silloin huolellisuus herpaantuu.