Vieraskynä Vahva tunnistautuminen ei takaa turvallisuutta, kun huijaussivustot uivat hakukonetuloksien kärkeen
Kalasteluhuijaukset uivat nykyään hakutuloksien kärkeen jopa sponsoroituina sivustoina. Vaikka vahva tunnistautuminen torjuu monta uhkaa, tulee meidän olla entistä valppaampia siinä, mille sivustolle kirjaudumme pankkitunnuksilla. Kirjoittaja Henrik Rinne on finanssialalla työskentelevä Senior Software Developer.

Siirrymme kohti tulevaisuutta, jossa verkkopalvelut pyytävät yhä useammin vahvaa tunnistautumista. Se on hyvä siksi, että enää ei kirjauduta huonoilla salasanoilla kymmeniin eri palveluihin. Mutta meidän tulee olla entistä valppaampia silloin, kun kirjautumiseen käytetään pankkitunnuksia.
Hain taannoin bändilleni verkkopankkiratkaisua – mielellään ilmaista. Aikoinaan oli joku puhunut jostain holvista. Googletin, ja sieltä se löytyi, ensimmäisenä hakutuloksena: “Avaa ilmainen pankkitili Holvi”, vieläpä Google AdWordsin kautta sponsoroitu hakutulos. Kyllähän Googlen mainontatiimiin voi luottaa, että heille maksavat yritykset ovat sitä mitä kertovat olevansa!
Vaan kun ei näköjään voi.
Diginatiivina vilkaisin linkkiotsikon alla olevaa URL-osoitetta ennen klikkausta. Se epäilytti: holvi.com.de. Kyseessä oli Phishing eli kalastelusivusto, joka näyttää tismalleen samalta kuin aito sivusto. Tarkoituksena on saada käyttäjä kirjautumaan sivulle tunnuksillaan, joita huijaussivuston ylläpitävät ottavat talteen.

Aloin pohtia tilanteen vakavuutta, ja miten se saattaa vielä huonontua. Ennen oli mahdollista luottaa siihen, että .fi-verkkotunnuksella toimiva sivusto oli jonkin virallisen tahon tarkastama. Vuoden 2016 lakiuudistuksen myötä .fi-domainin voi kuitenkin ostaa kuka tahansa. Tämä oli mielestäni huono asia.
Esimerkiksi ikääntyvä väki on niin tottunut siihen, että täällä Suomessa kaikki on niin digiä: kaikki järjestelmät kommunikoivat keskenään ja toimivat. On kätevää. Ehkä liiankin kätevää. Emme enää kirjoita URL-kenttään www-osoitteita, vaan oletamme, että selain täyttää ne puolestamme, ja viimeistään selaimen oletushakukone tietää, mille sivustolle ollaan menossa. Mutta tietääkö se oikeasti?
Jos sivusto pyytää kirjautumaan ja näyttää kourallisen pankkien logoja, kuinka moni meistä vilkaisee, mikä URL näkyy selaimessa uuden ikkunan avautuessa, tai tietää varmasti, mikä sen kuuluisi olla?
Olemme varmasti jokainen asioineet OmaKanta-palvelussa, mutta onko sen varsinainen www-osoite kanta.fi, suomi.fi, suomi-kanta.fi vai joku muu variaatio? Entä oma pankki, jonka asiakkaana on ollut vuosikymmeniä: onko sen verkko-osoite danskebank.fi, danske.fi, danksebank.com, vai jokin aivan muu?
Käyttäjä saattaa myös joutua tilanteeseen, jossa on valittava kahden täysin aidolta vaikuttavan sivuston väliltä. Vaikka asia selviää Google-haulla, nyt tiedämme, ettei hakukoneidenkaan tuloksiin voi aina luottaa täysin.

Yhdysvalloissa on käytössä .gov verkkotunnuksia joita myönnetään vain julkisille tahoille. Miksi emme toimi samoin? Ehdotan valtion tukemaa palveluhakemistoa, josta voi etsiä tarvitsemansa finanssi- tai vakuutusalan palvelun. Jos esimerkiksi suomi.fi laajentaa hakukonettaan, voisimme hakea palveluita kuten OmaKanta, Kela tai OP ja olla täysin varmoja siitä, että hakutulokset eivät ole huijaussivustoja.

Henrik Rinne
Henrik Rinne on finanssialalla työskentelevä Senior Software Developer, joka aloitti IT-uransa 90-luvulla rakentamalla omia kotisivuja. Hän on espoolainen isä ja St. Felix-yhtyeen solisti.
Kirjoittaja Henrik Rinne on finanssialalla työskentelevä Senior Software Developer, joka aloitti IT-uransa 90-luvulla rakentamalla omia kotisivuja. Hän on espoolainen isä ja St. Felix-yhtyeen solisti.