verkkopankki kännykässä

Vasta jälkikäteen kuulin, että pankin oma mobiilisovellus pitäisi olla..

onkohanturvallista kirjoitti:

Vasta jälkikäteen kuulin, että pankin oma mobiilisovellus pitäisi olla..

Ei ole paha homma.

onkohanturvallista kirjoitti:

Vasta jälkikäteen kuulin, että pankin oma mobiilisovellus pitäisi olla..

Mobiilisovellus toki on kätevämpi. Suomalaiset verkkopankit ovat varsin turvallisia. Ainoa merkittävä mahdollisuus haavoittuvuuteen on man-in-the-middle hyökkäys, koska vaikka kalastelisi tiedot, ei saa avainlukuja.

Android 9? Hyvä vitsi. Sitä on ehkä muutamassa prosentissa puhelimia.

okaro kirjoitti:

Android 9? Hyvä vitsi. Sitä on ehkä muutamassa prosentissa puhelimia.

Nojoo, korjataan sen verran, että Android 9 tai 8 uusimmilla tietoturvapäivityksillä. Siis uusi, ajantasalla oleva Android.

Ja on totta, että suurin osa maailmalla käytössä olevista Androideista on pahasti vanhentuneita.

Tuossanoin kirjoitti:

Nojoo, korjataan sen verran, että Android 9 tai 8 uusimmilla tietoturvapäivityksillä. Siis uusi, ajantasalla oleva Android.

Ja on totta, että suurin osa maailmalla käytössä olevista Androideista on pahasti vanhentuneita.

Lue lisää

Ei Android 7 ole mitenkään vanhentunut. Ei se uusi versionumero auta yhtään, jos päivityksiä ei ole tullut.

okaro kirjoitti:

Ei Android 7 ole mitenkään vanhentunut. Ei se uusi versionumero auta yhtään, jos päivityksiä ei ole tullut.

Kyllä se versionumero auttaa.

Jos laitteessa on Android 8, niin tietoturvapäivitystaso ei yksinkertaisesti voi olla pahasti jäjessä, 9:stä puhumattakaan. Lisäksi se menee yleensä niin päin, että järjestelmäpäivityksien jakaminen loppuu ennen tietoturvapäivityksiä.

Uudet versiot tuppaavat sisältämään myös isompia järjestelmätason parannuksia tietoturvaan, joten isojen päivitysten kohdalla kyse ei ole pelkästään aukkojen paikkaamisesta.

Tuossanoin kirjoitti:

Kyllä se versionumero auttaa.

Jos laitteessa on Android 8, niin tietoturvapäivitystaso ei yksinkertaisesti voi olla pahasti jäjessä, 9:stä puhumattakaan. Lisäksi se menee yleensä niin päin, että järjestelmäpäivityksien jakaminen loppuu ennen tietoturvapäivityksiä.

Uudet versiot tuppaavat sisältämään myös isompia järjestelmätason parannuksia tietoturvaan, joten isojen päivitysten kohdalla kyse ei ole pelkästään aukkojen paikkaamisesta.

Lue lisää

Versionumeroilla ei ole mitään merkitystä, vaan ainoastaan tietoturvapäivityksillä.

Tuossanoin kirjoitti:

Kyllä se versionumero auttaa.

Jos laitteessa on Android 8, niin tietoturvapäivitystaso ei yksinkertaisesti voi olla pahasti jäjessä, 9:stä puhumattakaan. Lisäksi se menee yleensä niin päin, että järjestelmäpäivityksien jakaminen loppuu ennen tietoturvapäivityksiä.

Uudet versiot tuppaavat sisältämään myös isompia järjestelmätason parannuksia tietoturvaan, joten isojen päivitysten kohdalla kyse ei ole pelkästään aukkojen paikkaamisesta.

Lue lisää

Android 8 julkaistiin elokuussa 2017. Minun Android 7:ssa suojauskorjaustaso on elokuu 2018. Eli siis ei ole mitään sääntöä, että kasi välttämättä olisi turvallisempi.

okaro kirjoitti:

Android 8 julkaistiin elokuussa 2017. Minun Android 7:ssa suojauskorjaustaso on elokuu 2018. Eli siis ei ole mitään sääntöä, että kasi välttämättä olisi turvallisempi.

Toistan nyt itseäni.

"Uudet versiot tuppaavat sisältämään myös isompia järjestelmätason parannuksia tietoturvaan, joten isojen päivitysten kohdalla kyse ei ole pelkästään aukkojen paikkaamisesta. "

Esimerkki:
https://muropaketti.com/mobiili/katsaus-android-7-0-nougatn-uudistuksiin-hyvia-uutisia-tehokayttajille/2/

Isommilla versiopäivityksillä on siis väliä.


Android 7 on julkaistu 2016 ja Android-laitteiden tietoturvapäivitykset jatkuvat parhaimmissa laitteissa noin 3 vuoden ajan laitteen julkaisusta. Android 7 on siis jo vanhentunut, sinunkaan puhelimeesi tuskin enää tulee tietoturvapäivityksiä.

Kuitenkin, jos tieturvapäivitystaso on viime vuodelta, on verkkopankin käyttäminen Android 7 laitteella edelleenkin suhteellisen turvallista, mutta uudemmilla päivityksillä se olisi silti turvallisempaa. Paljon riippuu toki myös siitä, että millaisia sovelluksia laitteeseen on ladattu.

Aiemmin kirjoittamassani listassa ei ollut mukana eri Android-versioita, halusin vain tuoda esille, että uusin Android voi olla erittäin turvallinen vaihtoehto verkkopankin käyttämiseen. Normaali windows 10 ei ole tietoturvaltaan mitenkään erityisen hyvä.

Ei kai nyt sentään yhtä puhelinta/tablettia kukaan hanki pelkästään pankkiasiointiin??
Jos asentaa sanotaan nyt vaikka firefoxin pankkia varten ja käyttää internet exploreria muuhun, niin silleenkö turvallista?

"Jos asentaa sanotaan nyt vaikka firefoxin pankkia varten ja käyttää internet exploreria muuhun, niin silleenkö turvallista?"

Ylimääräisiä selaimia ei kannata asentaa, ne vain lisäävät hyökkäyspinta-alaa eli ohjelmakoodia jossa on lisää haavoittuvuuksia.
Ennemmin kannattaa poistaa kaikki ylimääräiset palvelut ja ohjelmakomponentit joita ei tarvita verkkopankin käyttöön.

ei_kannata kirjoitti:

"Jos asentaa sanotaan nyt vaikka firefoxin pankkia varten ja käyttää internet exploreria muuhun, niin silleenkö turvallista?"

Ylimääräisiä selaimia ei kannata asentaa, ne vain lisäävät hyökkäyspinta-alaa eli ohjelmakoodia jossa on lisää haavoittuvuuksia.
Ennemmin kannattaa poistaa kaikki ylimääräiset palvelut ja ohjelmakomponentit joita ei tarvita verkkopankin käyttöön.

Lue lisää

Lopeta jo!

hömppää kirjoitti:

Lopeta jo!

Niin miten se siis on? Pitäiskö olla puhelimessa eri selain pankkiin kuin surffaukseen? Vai onko väliä?

tietääkökukaan kirjoitti:

Niin miten se siis on? Pitäiskö olla puhelimessa eri selain pankkiin kuin surffaukseen? Vai onko väliä?

Ei hyödytä käyttää eri selainta jos laite on pankkirikollisten korkkaama. Mieluummin hoitaa pankkiasiat halvalla tabletilla tai vanhalla halvalla koneella johon asentaa freebsd:n, eikä käytä mihinkään muuhun kuin verkkopankkiin. Poistaa siitä kaiken ylimääräisen ja säätää kaiķki asetukset niin tiukoiksi ettei kone edes vastaanota dataa muualta kuin verkkopankista.

Älytöntä foliohatuilua.

Normaalisti ovat yhtä turvattomia, ellei ole dedikoitu ja kovetettu palvelinkäyttöjärjestelmällä varustettu kone yksinomaan verkkopankin käyttöön. Täållöin tietokone on miljoonia kertoja turvallisempi.
Jos laite on kaapattu ja siihen on onnistuttu ujuttamaan mitä tahansa rootkit-malwarea tms, pystyvät hyökkääjät injektoimaan haittakoodia selaimeen (ja mobiiliappsiin), eikä selain/appsi näytä mille tilille rahat oikeasti menevät. Pahviset tunnuslukulistat yms. ovat hyödyttömiä kun huijarit saavat rahaa itselleen aina kun maksaa laskun.

Riippuu täysin käyttämistäsi käyttöjärjestelmistä, niiden päivitystasosta ja asentamistasi ohjelmista.

Android ja Ios käyttävät hiekkalaatikointia, toisin kuin normaali windows. Tämä tarkoittaa sitä, että laitteeseen jo mahdollisesti iskenyt haittaohjelma ei pääse vakoilemaan verkkopankin käyttöäsi yhtä helposti. Windows koneeseen iskenyt haittaohjelma sen sijaan pääsee vaikuttamaan suoraan lähes kaikkiin koneen toimintoihin, joten myös selaimellasi pyörivän verkkopankin vakoileminen on helpompaa.

Toisaalta, myös tietoturvapäivitysten taso vaikuttaa. Windows koneilla on huomattavan pitkä tukiaika ja myös Applen Ios-laitteet saavat melko hyvin päivityksiä, mutta android-laitteiden kohdalla päivitykset loppuvat viimeistään kolmen vuoden kuluttua laitteen julkaisusta. Päivitystuen loppumisen jälkeen puhelimen muurit murenevat, kun konnien keksimiä aukkoja ei enää paikata, mikä heikentää päivittämättömien laitteiden tietoturvaa.

Kolmas tekijä liittyy laitteeseen asennettuihin sovelluksiin. Jos laite on täynnä tuntemattomien julkaisijoiden pilipaliohjelmia, kasvaa haittaohjelmatartunnan riski huomattavasti. Tämä on ongelma erityisesti Windows ja Android laitteissa. Netistä ja Google Playsta ladatut ohjelmat voivat sisältää yllätyksiä, mutta Appstoren ohjelmat on tutkittu paremmin tietoturvariskien varalta.

Siis, kuten sanoin. Uusimmilla päivityksillä varustettu puhelin, johon ei ole ladattu turhaa soopaa on myös selainkäytön osalta W10- konetta turvallisempi. Mutta täyteen soopaa ladattu Android 6 -laite parin vuoden takaisilla turvapäivityksillä ei ole enää turvallinen verkkopankin käyttämiseen.

Ketjun alussa yritinkin jo näppituntumalta rankata eri tapoja jonkunlaiseen turvallisuusjärjestykseen, mutta kaikki järjestelmät ja tilanteet eivät tietenkään ole mukana.

Turvattomampaa. Maksat laskusi 100-varmasti langattomalla yhteydellä. Tosin windowsilla varustettu pöytäkone on turvattomampi, kun se tahtoo saastua.

Tuossanoin kirjoitti:

Riippuu täysin käyttämistäsi käyttöjärjestelmistä, niiden päivitystasosta ja asentamistasi ohjelmista.

Android ja Ios käyttävät hiekkalaatikointia, toisin kuin normaali windows. Tämä tarkoittaa sitä, että laitteeseen jo mahdollisesti iskenyt haittaohjelma ei pääse vakoilemaan verkkopankin käyttöäsi yhtä helposti. Windows koneeseen iskenyt haittaohjelma sen sijaan pääsee vaikuttamaan suoraan lähes kaikkiin koneen toimintoihin, joten myös selaimellasi pyörivän verkkopankin vakoileminen on helpompaa.

Toisaalta, myös tietoturvapäivitysten taso vaikuttaa. Windows koneilla on huomattavan pitkä tukiaika ja myös Applen Ios-laitteet saavat melko hyvin päivityksiä, mutta android-laitteiden kohdalla päivitykset loppuvat viimeistään kolmen vuoden kuluttua laitteen julkaisusta. Päivitystuen loppumisen jälkeen puhelimen muurit murenevat, kun konnien keksimiä aukkoja ei enää paikata, mikä heikentää päivittämättömien laitteiden tietoturvaa.

Kolmas tekijä liittyy laitteeseen asennettuihin sovelluksiin. Jos laite on täynnä tuntemattomien julkaisijoiden pilipaliohjelmia, kasvaa haittaohjelmatartunnan riski huomattavasti. Tämä on ongelma erityisesti Windows ja Android laitteissa. Netistä ja Google Playsta ladatut ohjelmat voivat sisältää yllätyksiä, mutta Appstoren ohjelmat on tutkittu paremmin tietoturvariskien varalta.

Siis, kuten sanoin. Uusimmilla päivityksillä varustettu puhelin, johon ei ole ladattu turhaa soopaa on myös selainkäytön osalta W10- konetta turvallisempi. Mutta täyteen soopaa ladattu Android 6 -laite parin vuoden takaisilla turvapäivityksillä ei ole enää turvallinen verkkopankin käyttämiseen.

Ketjun alussa yritinkin jo näppituntumalta rankata eri tapoja jonkunlaiseen turvallisuusjärjestykseen, mutta kaikki järjestelmät ja tilanteet eivät tietenkään ole mukana.

Lue lisää

Itse asiassa hiekkalaatikoiden ja virtuaalikoneiden käytöstä ei ole mitään hyötyä jos laite on kaapattu. Host-järjestelmästä on täysi pääsy kaikkiin hiekkalaatikoiden ja virtuaalikoneiden järjestelmiin. Hiekkalaatikko tuo vain näennäistä turvallisuudentunnetta.

Ne heput jotka suosittelevat android/ios systeemejä verkkopankkiin, ajattelevat että ainoastaan pankkien keskustietokoneet ovat kriittisiä järjestelmiä, mutta loppukäyttäjien tietoturvalla ei ole yhtään mitään väliä.

Loppukäyttäjän kannalta puolestaan keskustietokoneen tietoturva on ihan yhtä kriittistä kuin päätelaitteen tietoturvakin. Kumpaankin murtautuminen vaarantaa yhtä lailla omat rahat.

ei_turvallista kirjoitti:

Itse asiassa hiekkalaatikoiden ja virtuaalikoneiden käytöstä ei ole mitään hyötyä jos laite on kaapattu. Host-järjestelmästä on täysi pääsy kaikkiin hiekkalaatikoiden ja virtuaalikoneiden järjestelmiin. Hiekkalaatikko tuo vain näennäistä turvallisuudentunnetta.

Ne heput jotka suosittelevat android/ios systeemejä verkkopankkiin, ajattelevat että ainoastaan pankkien keskustietokoneet ovat kriittisiä järjestelmiä, mutta loppukäyttäjien tietoturvalla ei ole yhtään mitään väliä.

Loppukäyttäjän kannalta puolestaan keskustietokoneen tietoturva on ihan yhtä kriittistä kuin päätelaitteen tietoturvakin. Kumpaankin murtautuminen vaarantaa yhtä lailla omat rahat.

Lue lisää

Et ilmeisesti ymmärrä hiekkalaatikon ideaa? Annettakoon esimerkki.

Lataat Android-laitteeseesi Google Playsta hassun hauskan rottapelin, joka vaatii asennettaessa tiettyjä oikeuksia ja jonka kylkiäisenä tulee haittaohjelma. Järjestelmän hiekkalaatikoinnin ansiosta haittaohjelma ei kuitenkaan pääse vaikuttamaan koko järjestelmään, se ei esimerkiksi pääse ronkkimaan verkkopankkiappia. Sen sijaan haittaohjelma tytyy toimimaan omassa lokerossaan ja louhii virtuaalivaluttaa tekijälleen. Tällaisesta ohjelmasta minullakin on kokemusta.

Kuvitellaan seuraavaksi, että lataat netistä karvanpoistopelin Windows 10 tietokoneellesi. Pelin mukana tulee kuitenkin haittaohjelma, joka pystyy tekemään asentumisensa jälkeen mitä lystää, sillä järjestelmä ei hyödynnä hiekkalaatikointia. Virus voi esimerksi kaapata käyttäjän salasanat keyloggerin avulla ja ohjata kaiken osoitteeseen https://www.op.fi/ menevän liikenteen rikollisen omalle huijaussivustolle. Androidissa tai Ios:ssä tämä ei olisi mahdollista, sillä asennettu ohjelma ei voi tehdä rajatussa järjestelmässä mitä lystää.

Tuskin verkkopankista mitään haittaohjelmia on tullut.
Aikuisviihdesivut ovat eri asia, jos niitä on selannut niin puhelinta ei ole sen jälkeen enää turvallista käyttää edes vaikka palauttaisi tehdasasetukset.

Pankkihuijaukset ovat kasvussa oleva trendi, esim. 2017 pelkästään UK:ssa menetettiin 273 miljoonaa puntaa huijareille, ja 2018 jo 500 miljoonaa ensimmäisen puolen vuoden aikana. 91% älypuhelinten takia. Pankkien asiakkaat eli tavalliset kuluttajat maksavat ne kaikki menetetyt rahat kasvaneina palvelumaksuina yms. Eli nekin joutuvat maksamaan jotka eivät käytä epäturvallisia älypuhelimia yms. verkkopankkiin.