14.04.2008 17:33

Tietoturvaa Sampo Pankin asiakkaille

Mikäli olet seurannut lainkaan median tai internetin tapahtumia viime viikkojen aikana, olet väistämättä kuullut ainakin jotain Sampo Pankin tietoturvaongelmista ja niiden vaikutuksista tavallisen kuluttajan asioihin. Mutta mistä oikein on kyse ja voiko asialle tehdä jotain?

Sammon verkkopankkia pidettiin vielä jokunen kuukausi sitten eräänä markkinoiden parhaista, joten yllättäen noussut kohu voi tuntua yllättävältä. Kohun kuitenkin ymmärtää, sillä Sammon ajauduttua tanskalaisen Danske Bankin alaisuuteen myös verkkopankkiratkaisut yhtenäistettiin. Tämä tapahtui pääsiäisviikolla, jolloin myös Sampo Pankin ongelmat alkoivat.

Uusi verkkopankkiratkaisu sai monilta asiakkailta negatiivisen vastaanoton, mutta pinnan alta löytyi huomattavasti kosmeettisia seikkoja ikävämpiä ongelmia.

Uskomattomia ongelmia

Tietoturva-asiantuntijat ja myös tavalliset internet-käyttäjät huomasivat nopeasti useita epäkohtia ja suoranaisia aukkoja Sampo Pankin uudessa verkkopankissa. Voisi helposti ajatella, että moiset asiat eivät välttämättä kosketa tavallista pankkiasiakasta, mutta ongelmat olivat sen verran vakavia, että huoleton surffailija voi saada tililleen tuntuvan osuman.

Ongelmista huolestuttavin oli niin kutsuttu XSS-injektiohaavoittuvuus, eli kansanomaisemmin ilmaistuna mahdollisuus kätkeä omia URL-osoitteitaan Sammon oman verkkosivun osoitteeseen. Tämä mahdollisti monia humoristisia jäyniä, joilla Sammon sivuilla näytettiin internetin komediavideoita ja muuta mukavaa.

Yhtä hyvin samalla aukolla olisi voinut ohjata linkkiä klikanneen pankkiasiakkaan kelmien sivuille, jossa täysin autenttisen näköinen ja oikeankaltaisen osoitteen taakse kätkeytyvä kalastelusivu olisi poiminut talteen pankkiavaimet.

Pitkään jatkuneen kiistelyn ja kiertelyn jälkeen aukko tukittiin, mutta kyseessä oli sen verran amatöörimäinen töppi, että koko sivuston tietoturvan taso on suuri kysymysmerkki.

Kyseessä ei kuitenkaan ollut sivujen ainoa huolestuttava piirre. Sampo Pankin uusi tietoturvaratkaisu on käyttäjän koneelle asennettava, rootkitin omainen java-ohjelma, jonka toimintaa käyttäjä ei voi itse valvoa mitenkään. Ongelmiin mahtuu käytännön töppejä, kuten ohjelman toimiminen vain 32-bittisissä käyttöjärjestelmissä mutta myös tietoturvariskejä.

Mikäli joku hakkeri onnistuisi muuttamaan ajettavan tietoturvaratkaisun lähdekoodia – mikä ei toki ole helppo temppu, mutta muut aukot huomioiden ei myöskään mahdotonta – hän saisi vapaat kädet uhrinsa koneelle. Käyttäjä ei välttämättä edes havaitsisi ongelmaa.

Tietoturvaohjelman toimintaan ei voi itse vaikuttaa, sillä se on vaadittu ja kiinteä osa Sampo Pankin uutta tietoturvaratkaisua. Ohjelmasta hermostuneet eivät siis voi kuin jättää Sammon verkkopankin käyttämättä tai vaihtaa pankkia – kuten monet ovat tehneetkin.

Mutta mitä voin tehdä?

Vaikka käyttäjä ei voi itse vaikuttaa pankkien käyttämiin tietoturvaratkaisuihin, omilla toimillaan voi minimoida riskit ja pitää huolen siitä, ettei menetä rahojaan ainakaan oman hölmöilynsä kautta. Näillä yksinkertaisilla nikseillä pääsee jo pitkälle.

1. Käytä vain Sammon perusosoitetta

On jo yksinkertaista maalaisjärkeä, ettei kannata klikkailla netissä epämääräisiä osoitteita, mutta tässä tapauksessa sitä voi pitää erityisen tärkeänä. Ennen kuin XSS-ongelma korjattiin, täysin aidon näköinen ja uskottava Sammon verkkopankin osoite saattoi sisältää jos jonkinlaisia jäyniä. Ongelmaan on kuitenkin yksinkertainen ratkaisu – kirjaudu pankkiin vain Sammon oman pääsivun kautta osoitteessa www.sampopankki.fi

2. Älä jätä yhteyttä auki

Kun päätät asiointisi verkkopankissa, sulje yhteys. Pelkkä selaimen tai välilehden sulkeminen ei auta, vaan turvattu yhteys pitää katkaista. Koska Sammon uusi verkkopankkiratkaisu ei vaadi enää maksujen varmistukseen juoksevia turvalukuja vaan ainoastaan kiinteän, kirjautumisen yhteydessä käytetyn tunnussanan, tämä on erityisen tärkeää.

Mikäli joku onnistuu kaappaamaan avoimeksi jääneen pankkiyhteyden vaikkapa koneelle asennetun viruksen avulla, koko tili voi tyhjentyä kerralla.

3. Muista tietoturva

Virus- ja spyware-tarkistukset ovat aina hyviä ideoita, sillä ne voivat havaita koneelle asennettuja viruksia ja muita jäynäohjelmia. Säännöllisillä päivityksillä ja tarkistuksilla voit pitää huolen siitä, että näin ei käy sinulle.

4. Varmista autenttisuus

Mikäli olet huolissasi URL-jäynäytyksistä tai väärennetyistä sivuista, niiden autenttisuuden tarkistus on helppoa, sillä kaikki vähänkään pätevämmät selaimet osaavat näyttää sivujen tietoturvasaatteet.

Firefoxissa voit napauttaa ruudun oikeassa alakulmassa olevaa lukkoa, Internet Explorerissa taas vastaavaa ikonia osoitepalkin oikeassa laidassa. Aukeava ruutu näyttää, kenen hallussa sivujen tietoturvalisenssi on. Mikäli tiedot eivät näytä olevan kunnossa – esimerkiksi lisenssinhaltijana on joku muu kuin Danske Bank A/S tai Sampo Pankki OY – kannattaa varmistaa, että olet varmasti kirjautumassa Sammon omilta sivuilta.

Miikka Lehtonen