SIM swap -huijaus mahdollinen?

  • 5 helmikuu 2020
  • 18 kommenttia
  • 1288 katselukerrat

Miten Elisan liittymissä on varmistettu, ettei ns. SIM swap -huijaus onnistu? Käytännön tilanne voisi olla, että joku menee kilpailevan operaattorin liikkeeseen ja tilaa uuden liittymän ja pyytää “vanhan numeron” siirtoa Elisalta siihen. Siis vaikka minun numeroani, ja esiintyy minuna väärennettyjen papereiden kanssa.

Puhelimen haltuun ottamisella aukeaa monessa tilanteessa mahdollisuus erinäisten henkilökohtaisten verkkopalveluiden kaappaamiseen. Niihin kun on ilmoittanut puhelinnumeronsa ongelmien varalta, niin esim. salasanan vaihtaminen voi onnistua ja tekstiviestit toimivat silloin osana tunnistautumista.


18 kommenttia

Käyttäjätaso 5
Kunniamerkki

Sen mitä itse olen myymälässä asioinut niin henkkareiden lisäksi multa kysellään lisäksi olemassaolevista sopimuksista ja kysytään kotiosoitetta. Tottakai jos myyjä havaitsee epäilyttävää käytöstä, hän voi oman harkintansa mukaan kysyä lisäkysymyksiä tunnistautumiseen tai jopa kieltäytyä tekemästä muutoksia. Etenkin kun liittymä on väliaikaisesti suljettu (puhelin varastettu/kadonnut), tulee sitä uudelleen avatessa olla tarkkana.

Miten omasta mielestäsi olisi fiksuinta - ja asiakkaalle kuitenkin vaivatonta - tämä myymälässä asiointi akuutteja tilanteita varten? :relaxed:

Tarkennanpa vähän. En tarkoittanut asiointia Elisan liikkeessä, vaan tilannetta missä huijari esiintyy minuna ja menee kilpailevan operaattorin liikkeeseen tekemään liittymäsopimuksen. Ja pyytää “vanhan” Elisan numeron siirtoa siihen ja samalla vanhan liittymän sulkemista. Noin ilmeisesti toimitaan, jos haluaa oman liittymän vaihtaa toiselle operaattorille ja pitää vanhan numeron? Tällöin uusi operaattori ottaa yhteyttä Elisaan ja pyytää päättämään liittymän ja vapauttamaan numeron uuteen käyttöön.

Käyttäjätaso 5
Kunniamerkki

Tarkennanpa vähän. En tarkoittanut asiointia Elisan liikkeessä, vaan tilannetta missä huijari esiintyy minuna ja menee kilpailevan operaattorin liikkeeseen tekemään liittymäsopimuksen. Ja pyytää “vanhan” Elisan numeron siirtoa siihen ja samalla vanhan liittymän sulkemista. Noin ilmeisesti toimitaan, jos haluaa oman liittymän vaihtaa toiselle operaattorille ja pitää vanhan numeron? Tällöin uusi operaattori ottaa yhteyttä Elisaan ja pyytää päättämään liittymän ja vapauttamaan numeron uuteen käyttöön.

Aaaa aivan! Ymmärsin erilailla (liian vähän kahvia). Mutta niin, tuo prosessihan menee niin että kaveri menee liikkeeseen, luodaan asiakkuus osoitetietoineen tai haetaan olemassaolevat tiedot asiakkaalta kyselemällä, asiakas saa SIM-kortin ja tämän jälkeen liittymän omistaja saa liittymäänsä (vanha SIM) ensin nykyiseltä operaattoreilta viestejä numeronsiirtoon liittyen ja sen jälkeen uudelta operaattorilta. Numeronsiirtoprosessi kestää aina vähintään viikon.

Oliko tässä sinun skenaariossa siis tällä huijarilla uhrin nykyinen liittymäkin jotenkin käytössä eikä näin tekstiviestit tavoita oikeaa omistajaa, vai miten sen ajattelit? :)

Kiitos, tästä sain jo hyvää lisätietoa. Yritin ensin hakea näitä tietoja huonolla menestyksellä ja sitten päädyin kysymään.

“Uhrin” puhelin ja liittymä on koko ajan hänellä itsellään, mutta ei välttämättä päällä tai mukana (vaikka pidemmällä ulkomaan reissulla EU:n ulkopuolella). Nyt tulee keskeinen kysymys: kun Elisa viikon aikana lähettää viestejä, niin ovatko ne tiedoksi vai pyytääkö Elisa vielä erikseen varmistamaan liittymän sulkemisen ja numeron siirron? Ja jos varmistusta ei kuulu, niin liittymää ei suljeta eikä numeroa siirretä, eihän?

Miten myös tämä kaikki toimii tilanteessa, missä minä olen liittymän omistaja mutta se on jälkikasvun hallussa ja käytössä?

Nämä puhelinliittymät ovat (vara-) avain moneen palveluun. Identiteettivarkauksia on onneksi vielä aika harvoin, mutta jos se osuu kohdalle niin voi käydä hyvin kalliiksi ja oikeasti häiritä loppua elämää.

Käyttäjätaso 4

Myymälässä tehtiinpä mikä tilaus tahansa, niin asiakas (tilaaja) tunnistetaan asianmukaisesti ja tilaus tehdään. Nyt kun henkilö on jo myymälässä ja siinä tehdään tunnistaminen, niin siinä samalla on saatu se lupa siirtoon ja sitten tekstiviestit mitkä tulevat puhelimeen myöhemmin numeronsiirrosta, ovat informatiivisia. Lisälupia ei sen jälkeen enää kysytä koska myymälässä se lupa ja suostumus on jo todettu.

 

Mikäli olet liittymän omistaja ja jälkikasvu menee Elisan myymälään tekemään numeronsiirtotilausta, tulee sen jälkeen tieto että liittymä ei ole hallussasi, ja tarvitsemme liittymän nykyiseltä omistajalta luvan.

Käyttäjätaso 6
Kunniamerkki +3

Kyllähän tuo skenaario on mahdollinen jos huijari esittää henkilöllisyystodistuksen, jossa on hänen kuvansa ja sinun henkilötietosi. Tämä olettaen, että väärennös on sen tasoinen, että menee läpi.

 

Ehkäpä numeronsiiro olisi hyvä hyväksyttää myös poistuvassa päässä esim. tekstiviestillä.

error404, kiitos lisätiedoista, tarkentavat tilannetta - ja huolestuttavat, kuten day1 tuossa kirjoittaa.

Kerrotko vielä tarkemmin, mitä on asianmukainen asiakkaan tunnistaminen käytännössä? Tämä siis tilanteessa missä hän ei ole Elisan asiakas ja asioi joko Elisan liikkeessä tai marketin (pop-up) myyntipisteessä.

Kysyn vielä selkeämmin tuosta tilanteesta jälkikasvun kanssa: Elisan liittymä on minun omistama ja se on pojan hallussa/käytössä hänen nimellään. Se näkyy minulla OmaElisassa listalla. Jos kolmas henkilö onnistuu esim. dna:n myyntipaikassa esiintymään väärillä henkilötiedoilla poikana ja tilaamaan dna:n kautta Elisalta liittymän lopettamisen ja numeron siirron, niin tulevatko Elisan tekstiviestit minulle vai pojalle?

Kyllä, kaksivaiheinen tunnistautuminen ja varmentaminen myös liittymän siirrossa voisi olla asiallinen. Elisa suosittelee sitä esim. OmaElisaan, liittymän siirtämisen varmistaminen on vähintään yhtä tärkeä kohta asiakkaan tietoturvan kannalta.

Ymmärrän että tällä foorumilla aihetta voi tarkastella lähinnä Elisan näkökulmasta, ja Elisan toiminnan käytäntöjä tässä kysynkin. Tässä voi tulla käymään vielä niin, että joudun selvittämään samat kysymykset myös muilta operaattoreilta. Ja lopputulos saattaa olla, että joudun poistamaan puhelinnumeron käytön varmennuksena palveluista, esim. nettipankista. Huokaus...

Käyttäjätaso 4
Kunniamerkki

Henkkareilla tunnistautuminen on ainakin vahva.

Kysyn vielä selkeämmin tuosta tilanteesta jälkikasvun kanssa: Elisan liittymä on minun omistama ja se on pojan hallussa/käytössä hänen nimellään. Se näkyy minulla OmaElisassa listalla. Jos kolmas henkilö onnistuu esim. dna:n myyntipaikassa esiintymään väärillä henkilötiedoilla poikana ja tilaamaan dna:n kautta Elisalta liittymän lopettamisen ja numeron siirron, niin tulevatko Elisan tekstiviestit minulle vai pojalle?

 

Tuollaisessa skenaariossa viestit tulisivat siihen numeroon, mitä yritetään siirtää muualle. Siirtäminen ei tosin onnistu, ellet käy hyväksymässä siirtoa viestillä lähetettävän linkin kautta verkkopankkitunnistatutumisella. :slight_smile:

Vedänpä yhteen mikä oli ymmärtämäni tulos tässä kyselyssä ja keskustelussa:

  • jäi epäselväksi miten hyvin käytännössä (uuden) asiakkaan ("asianmukainen") tunnistaminen tehdään
  • jos onnistuu esiintymään toisena henkilönä niin uuden liittymän tilaaminen ja siihen vanhan numeron siirtohuijaus on sangen mahdollista, vanhaan liittymään tulee aiheesta vain ilmoitus - varmistusta ei kysellä
  • jos yritetetään huijata vain hallinnassa oleva numero, niin siitä tulee liittymän omistajalle varmistuspyyntö verkkopankkitunnuksilla (!)

Kun ajattelee miten tärkeästä yksityisyyteen ja tietoturvaan liittyvästä aiheesta tässä on kyse, niin tämän selvittelyn tulos jätti huolestuneeksi. Pitäisi varmaan yrittää olla vain oman liittymän haltija, niin siirtoyrityksestä tulee vahva varmennuspyyntö… Tai sitten olla käyttämättä puhelinnumeroa minkäänlaiseen tunnistautumiseen tai verkkopalveluiden taustavarmistukseen. Hm.

Kiitokset keskusteluun osallistuneille, tämä kuitenkin selvensi tilannetta.

Käyttäjätaso 7
Kunniamerkki +3
  • jäi epäselväksi miten hyvin käytännössä (uuden) asiakkaan ("asianmukainen") tunnistaminen tehdään

Miten tarkalleen määrittelet tuon asianmukaisen ja miten toivoisit sen tapahtuvan käytännössä? :) 

  • jos onnistuu esiintymään toisena henkilönä niin uuden liittymän tilaaminen ja siihen vanhan numeron siirtohuijaus on sangen mahdollista, vanhaan liittymään tulee aiheesta vain ilmoitus - varmistusta ei kysellä

Olettaen että saat henkkarit väärennettyä tai impersonoitua itsesi vahvalla tunnistautumisella verkossa tuoksi henkilöksi niin joo, alulle saa laitettua ja mahdollisesti jopa edistettyä. Tällöin kuitenkin tieto tapahtumista on jo välitetty oikealle omistajalle jolla toki on myös velvollisuutensa reagoida tilanteessa jossa ei ole itse ollut alullepanijana muutoksissa

  • jos yritetetään huijata vain hallinnassa oleva numero, niin siitä tulee liittymän omistajalle varmistuspyyntö verkkopankkitunnuksilla (!)

Verkkopankkitunnukset ja mobiilivarmenne ainakin omasta mielestäni on ihan riittävän varmoja konsteja tunnistautumiseen

Moderaattori error404 kertoi tunnistuksen tapahtuvan asianmukaisesti - minä kysyin mitä se käytännössä on, en saanut vastausta.

Niin, viikon aikana minulle siis tulee tekstiviestejä tuohon siirrettävään numeroon tuosta käynnissä olevasta siirrosta - saan kyllä tiedot ajoissa ja varmasti reagoin jos puhelimeni on päällä eikä suljettuna esim. EU:n ulkopuolisen matkan ajan.

(Tässä kohtaa toteaisin, että on operaattorin velvollisuus huolehtia asiakkaistaan ja ettei väärinkäyttö ole mahdollista esimerkiksi varmistamalla itse asia suoraan minulta. Muutos on tällaisessa tilanteessa käynnistetty kolmannen osapuolen eli toisen operaattorin toimesta.)

Verkkopankkitunnukset olisivat hyvä varmenne - jos niitä minulta kysyttäisiin. Nyt selvisi että niitä kysytään vain jos omistamani mutta toisen hallussa olevaa liittymää yritetään hänen nimissään siirtää. Ideaalista olisi varmistaa näin myös tilanteessa missä minun omistamaani liittymää ollaan siirtämässä. Nyt olen ymmärtänyt että saan siitä vain ilmoituksia.

Kysyn näitä asiakkaana ja ymmärtääkseni oman tietoturvani tilanteen. Tunnen päätyväni puolustelemaan kysymyksiäni ja selkeitä vastauksia on vaikeaa saada. Kysynkö vääriä asioita? Mikä olisi oikea paikka etsiä vastauksia? Verkosta tai web-sivuilta en vastauksia onnistunut löytämään.

Suomessakin on tapahtunut identiteettivarkauksia. Puhelinliittymä ja -numero voi olla osa eri palveluiden tunnistautumisen ja varmistusten ketjua. Identiteettivarkaudesta seuraa hirvittävä ja loppuelämän mittainen riesa, ja saattaa käydä kalliiksi.

Käyttäjätaso 6
Kunniamerkki +1

OT: Jos nyt jotenkin olen pysynyt jutussa kärryillä niin, eihän aloittajan omaan liittymään (eri numero kuin pojalla) liitetyt vahvan tunnistautumisen välineet eivät tietojeni mukaan päädy millään tavalla aloittajan omistamaan, mutta pojan käytössä olevaan liittymänumeroon. 

 

Toisaalta taas pojan ollessa vain käyttäjänä aloittajan omistamassa liittymänumerossa ei numeronsiirron toisella operaattorille pitäisi onnistua, koska omistajan tulisi se käydä erikseen hyväksymässä oma.elisassa. Identiteettivarkaus on tässä tapauksessa entistä vaikeampaa, kun verrataan sitä tilanteeseen, jossa pojalla olisi liittymänumero omassa omistuksessaan, eikä aloittajalla olisi mitään tekemistä asian kanssa. 

 

Taustoja tuntematta täysi-ikäinen poika voinee ottaa liittymänumeron haltuunsa sopimalla siitä omistajan kanssa. Jos hän on luottotiedoton tapaus vaatinee panttia uudelta omistajalta tai liittymäsiirtoa toiselle toimijalle, joka ei vaatisi panttia/ennakkomaksua. Ellu on edelleen kykenemätön toimimaan siten, että laskutusliittymän suora siirto latausliittymäksi onnistuisi.

Käyttäjätaso 1

Moderaattori error404 kertoi tunnistuksen tapahtuvan asianmukaisesti - minä kysyin mitä se käytännössä on, en saanut vastausta.

 

Asianmukaisesti tarkoittaa, että myyjillä on tarkka ohjeistus siitä kuinka asiakas tunnistetaan, esimerkiksi vanhentunut henkilöllisyystodistus ei käy todistukseksi henkilöllisyydestä. Myyjän velvollisuus on toki epäselvissä ja epäilyttävissä tapauksissa ilmoittaa väärinkäytöksistä ja väärinkäytösepäilyistä viranomaistaholle.

Olisiko tällä sivulla vastauksia sinua vielä askarruttaviin kysymyksiin? https://elisa.fi/tietosuoja/ ja tarkemmin vielä täällä: https://elisa.fi/asiakaspalvelu/aihe/sopimusehdot/ohje/tietosuojaperiaatteet/

JoukoN on mielestäni oleellisen tietoturvariskin äärellä. Maailmalla on jo tapauksia, jossa liittymän siirrolla on onnistuttu kaappaamaan kohteen liittymä haltuun ja numeron kautta palauttamaan salasanoja lukuisiin palveluihin. Tämän keskustelun pohjalta tuli käsitys, että käytännössä liittymän siirtäminen Elisalta kilpailevalle yritykselle on yksittäisen myyjän tarkkaavaisuuden varassa. Varmistaisinkin vielä, että onko seuraavanlainen skenaario mahdollinen:

Minä lähden ulkomaille ja käytän matkan aikana paikallista SIM-korttia. Matkan aikana joku viekas kettu menee kilpailevan yrityksen liikkeeseen tai soittaa heidän palvelunumeroon ja ilmoittaa haluavansa vaihtaa minun liittymän kilpailevaan sekä siirtää vanha numero Elisan liittymästä. Pahaa tahtova henkilö käyttäytyy luotettavasti eikä herätä epäilyksiä. Hän näyttää väärennettyä ajokorttia jossa on hänen jollain tavalla hankkimansa sotuni tai kertoo sen puhelimessa, minkä lisäksi myyjä kysyy vain esimerkiksi kotiosoitetta, joka on varkaan tiedossa.

Uuden liittymän avaaminen onnistuu ja numeronsiirtoprosessi lähtee käyntiin. Elisa laittaa suljettavaan liittymään tekstareita, joita en näe koska sim-kortti ei ole kiinni puhelimessani. Viikon kuluttua numero siirtyy, vanha liittymä sulkeutuu ja vieläpä voron uuden liittymän yhteydessä tilaama mobiilitunnistautumisen palvelu alkaa toimia. Uuden liittymän aktivoitumisen jälkeen voro tunnistautuu minuna kaikkiin mobiilitunnistautumisen hyväksymiin palveluihin, palauttaa kaikista palveluista salasanat, missä se puhelinnumeron kautta on mahdollista ja niin edelleen. On tapahtunut vakava identiteettivarkaus, eikä Elisa ole missään vaiheessa varmentanut, että minä, heidän asiakkaansa, todella haluan irtisanoa sopimuksen Elisan kanssa ja siirtää numeron uuteen liittymään.


Tiivistettynä koko skenaarion ainoa portinvartija on kilpailevan yrityksen myyjä joko myymälässä tai puhelimessa. Jos tästä pääsee ohi, vain taivas on rajana. Eihän näin suinkaan ole?
 

Käyttäjätaso 4
Kunniamerkki

JoukoN on mielestäni oleellisen tietoturvariskin äärellä. Maailmalla on jo tapauksia, jossa liittymän siirrolla on onnistuttu kaappaamaan kohteen liittymä haltuun ja numeron kautta palauttamaan salasanoja lukuisiin palveluihin. Tämän keskustelun pohjalta tuli käsitys, että käytännössä liittymän siirtäminen Elisalta kilpailevalle yritykselle on yksittäisen myyjän tarkkaavaisuuden varassa. Varmistaisinkin vielä, että onko seuraavanlainen skenaario mahdollinen:

Minä lähden ulkomaille ja käytän matkan aikana paikallista SIM-korttia. Matkan aikana joku viekas kettu menee kilpailevan yrityksen liikkeeseen tai soittaa heidän palvelunumeroon ja ilmoittaa haluavansa vaihtaa minun liittymän kilpailevaan sekä siirtää vanha numero Elisan liittymästä. Pahaa tahtova henkilö käyttäytyy luotettavasti eikä herätä epäilyksiä. Hän näyttää väärennettyä ajokorttia jossa on hänen jollain tavalla hankkimansa sotuni tai kertoo sen puhelimessa, minkä lisäksi myyjä kysyy vain esimerkiksi kotiosoitetta, joka on varkaan tiedossa.

Uuden liittymän avaaminen onnistuu ja numeronsiirtoprosessi lähtee käyntiin. Elisa laittaa suljettavaan liittymään tekstareita, joita en näe koska sim-kortti ei ole kiinni puhelimessani. Viikon kuluttua numero siirtyy, vanha liittymä sulkeutuu ja vieläpä voron uuden liittymän yhteydessä tilaama mobiilitunnistautumisen palvelu alkaa toimia. Uuden liittymän aktivoitumisen jälkeen voro tunnistautuu minuna kaikkiin mobiilitunnistautumisen hyväksymiin palveluihin, palauttaa kaikista palveluista salasanat, missä se puhelinnumeron kautta on mahdollista ja niin edelleen. On tapahtunut vakava identiteettivarkaus, eikä Elisa ole missään vaiheessa varmentanut, että minä, heidän asiakkaansa, todella haluan irtisanoa sopimuksen Elisan kanssa ja siirtää numeron uuteen liittymään.


Tiivistettynä koko skenaarion ainoa portinvartija on kilpailevan yrityksen myyjä joko myymälässä tai puhelimessa. Jos tästä pääsee ohi, vain taivas on rajana. Eihän näin suinkaan ole?
 

Moikka. 

Aina tilauksia tehdessä myyjillä on velvollisuus tarkistaa kaikki henkilötiedot tarkasti ja  epäselvissä ja epäilyttävissä tapauksissa ilmoittaa väärinkäytöksistä ja väärinkäytösepäilyistä viranomaistaholle. Myyjät myös koulutetaan hyvin, että väärinkäytöksiä ei pääse tapahtumaan. 
Ja numeronsiirroissa tosiaan viestejä siirtyvään numeroon lähtee mutta lähtökohtaisesti emme pysty siirtoprosessia hylkäämään jos näihin viesteihin ei reagoi, kun asiakkailla on kuitenkin oikeus numero siirtää toisaalle. Näissä on aina tilauksen tekijän ja myyjän vastuu, että ei tapahdu väärinkäytöksiä ja jos näinkin vakava identiteettivarkaus pääsisi tapahtumaan niin nehän on aina poliisiasia. 

Käyttäjätaso 5
Kunniamerkki +1

JoukoN on mielestäni oleellisen tietoturvariskin äärellä. Maailmalla on jo tapauksia, jossa liittymän siirrolla on onnistuttu kaappaamaan kohteen liittymä haltuun ja numeron kautta palauttamaan salasanoja lukuisiin palveluihin. Tämän keskustelun pohjalta tuli käsitys, että käytännössä liittymän siirtäminen Elisalta kilpailevalle yritykselle on yksittäisen myyjän tarkkaavaisuuden varassa. Varmistaisinkin vielä, että onko seuraavanlainen skenaario mahdollinen:

Minä lähden ulkomaille ja käytän matkan aikana paikallista SIM-korttia. Matkan aikana joku viekas kettu menee kilpailevan yrityksen liikkeeseen tai soittaa heidän palvelunumeroon ja ilmoittaa haluavansa vaihtaa minun liittymän kilpailevaan sekä siirtää vanha numero Elisan liittymästä. Pahaa tahtova henkilö käyttäytyy luotettavasti eikä herätä epäilyksiä. Hän näyttää väärennettyä ajokorttia jossa on hänen jollain tavalla hankkimansa sotuni tai kertoo sen puhelimessa, minkä lisäksi myyjä kysyy vain esimerkiksi kotiosoitetta, joka on varkaan tiedossa.

Uuden liittymän avaaminen onnistuu ja numeronsiirtoprosessi lähtee käyntiin. Elisa laittaa suljettavaan liittymään tekstareita, joita en näe koska sim-kortti ei ole kiinni puhelimessani. Viikon kuluttua numero siirtyy, vanha liittymä sulkeutuu ja vieläpä voron uuden liittymän yhteydessä tilaama mobiilitunnistautumisen palvelu alkaa toimia. Uuden liittymän aktivoitumisen jälkeen voro tunnistautuu minuna kaikkiin mobiilitunnistautumisen hyväksymiin palveluihin, palauttaa kaikista palveluista salasanat, missä se puhelinnumeron kautta on mahdollista ja niin edelleen. On tapahtunut vakava identiteettivarkaus, eikä Elisa ole missään vaiheessa varmentanut, että minä, heidän asiakkaansa, todella haluan irtisanoa sopimuksen Elisan kanssa ja siirtää numeron uuteen liittymään.


Tiivistettynä koko skenaarion ainoa portinvartija on kilpailevan yrityksen myyjä joko myymälässä tai puhelimessa. Jos tästä pääsee ohi, vain taivas on rajana. Eihän näin suinkaan ole?
 

 

Tuo mobiilivarmenne ei noin toimi ihan suoran kun vaatii pankkitunnuksilla tai muuten vahvan tunnistautumisen passilla/henkilökortilla. Ajokortti ei käy kun haetaan uutta tunnistautumisvälinettä. SIM_swap on meillä ainakin teoriassa mahdollinen toki mahdollinen, mutta se on usein älytön huono tuuri tai kohdistettu hyökkäys sitten. 

 

Yksi suositus esim kaksivaiheisen tunnistautumiseen liittyen on, että ei käytä puhelinnumeroon perustuvaa varmennusta vaan sovelluksen generoimia koodeja. WhatsApp ja muihin puhelinnumeroihin perustuviin tunnuksiin kannattaa asentaa kaksivaiheinen tunnistautuminen salasanalla. 

 

Näin pystyy rajamaan aika hyvin mitä puhelinnumeron kaappauksella saa tehtyä. 

 

 

Käyttäjätaso 7
Kunniamerkki +2

En tiedä miten nykyään toimii, mutta oma kokemus numeron siirrosta meni niin, että ns.uusi operaattori otti tiedot ja laitto prosessin käyntiin ja nykyiseltä operaattorilta tuli viesti,että olet siirtymässä jne.ja voiatko soittaa ja tehdä tarjousta. Viesti meni juurikin siihen numeroon ja luuriin mitä oltiin siirtämässä,riippumatta siitä kenen hallussa luuri on. No itsellä jäi siirto tekemättä,niin ei tietoa miten jatko olisi edennyt ja miten varmistettu. Sen sijaan jos muuten halunnut tehdä muutoksia liittymään,niin siinä ei varmisteta muuta, kun että on ääni sitä sukupuolta,joka alun perin sopimuksen tehnyt ja sotu pitää tietää. Oikeasti puhelun voi soittaa vaikka kuka kadulta napattu,jos siis sotun tietää. Joskus osoite kysytty. Vahvistus toki tulee spostiin,mutta voihan senkin vaihtaa, myös se oikea tai huijari asiakas.  

Käyttäjätaso 3

Minä lähden ulkomaille ja käytän matkan aikana paikallista SIM-korttia. Matkan aikana joku viekas kettu menee kilpailevan yrityksen liikkeeseen tai soittaa heidän palvelunumeroon ja ilmoittaa haluavansa vaihtaa minun liittymän kilpailevaan sekä siirtää vanha numero Elisan liittymästä. Pahaa tahtova henkilö käyttäytyy luotettavasti eikä herätä epäilyksiä. Hän näyttää väärennettyä ajokorttia jossa on hänen jollain tavalla hankkimansa sotuni tai kertoo sen puhelimessa, minkä lisäksi myyjä kysyy vain esimerkiksi kotiosoitetta, joka on varkaan tiedossa.

Uuden liittymän avaaminen onnistuu ja numeronsiirtoprosessi lähtee käyntiin. Elisa laittaa suljettavaan liittymään tekstareita, joita en näe koska sim-kortti ei ole kiinni puhelimessani. Viikon kuluttua numero siirtyy, vanha liittymä sulkeutuu ja vieläpä voron uuden liittymän yhteydessä tilaama mobiilitunnistautumisen palvelu alkaa toimia. Uuden liittymän aktivoitumisen jälkeen voro tunnistautuu minuna kaikkiin mobiilitunnistautumisen hyväksymiin palveluihin, palauttaa kaikista palveluista salasanat, missä se puhelinnumeron kautta on mahdollista ja niin edelleen. On tapahtunut vakava identiteettivarkaus, eikä Elisa ole missään vaiheessa varmentanut, että minä, heidän asiakkaansa, todella haluan irtisanoa sopimuksen Elisan kanssa ja siirtää numeron uuteen liittymään.


Tiivistettynä koko skenaarion ainoa portinvartija on kilpailevan yrityksen myyjä joko myymälässä tai puhelimessa. Jos tästä pääsee ohi, vain taivas on rajana. Eihän näin suinkaan ole?


Lisäyksenä vielä tähän että henkilökohtaisesti kasvokkain myyjän kanssa asioidessa henkilöllisyystodistus on mahdollisten lisätietojen lisäksi koettu tarpeeksi kattavaksi tunnistamiseksi, käyhän se myös käytännössä lähestulkoon kaikkialla muuallakin aina pankeista lähtien. Jos tilaus tehdään puhelimitse asiakaspalvelija ei voi luonnollisesti nähdä myyntitilanteessa asiakkaan henkilöllisyystodistusta jolloin tilauksessa on aina lisänä jokin toinen tunnistautuminen - joko tilaus vahvistetaan verkkopankkitunnuksilla tilauksen jälkeen (tai se ei etene), tai tilatun liittymän SIM-kortti tulee hakea henkilöllisyystodistusta vastaan esimerkiksi lähipostista, jolloin henkilöllisyystodistus tulee jälleen tarkistettavaksi.

 

Sen sijaan jos muuten halunnut tehdä muutoksia liittymään,niin siinä ei varmisteta muuta, kun että on ääni sitä sukupuolta,joka alun perin sopimuksen tehnyt ja sotu pitää tietää. Oikeasti puhelun voi soittaa vaikka kuka kadulta napattu,jos siis sotun tietää. Joskus osoite kysytty. Vahvistus toki tulee spostiin,mutta voihan senkin vaihtaa, myös se oikea tai huijari asiakas.  


Asiakaspalvelussa kyselemme yleensä vähintään parit tunnistetiedot, ja operoidaan muutenkin paljon ajatuksella “kuinka paljon tästä on harmia jos väärä henkilö yrittää puhelimen toisessa päässä identiteettivarkautta”. Esimerkiksi liittymätyypin vaihto harvemmin aiheuttaisi suurta vahinkoa liittymän omistajalle (toki tähänkin pystyn keksimään esimerkkejä, mutta näin yleistäen :slight_smile: ). Jos asiakaspalvelijalle tulee pieninkään epäilys että henkilöllä puhelimen toisessa päässä ei ole puhtaat jauhot pussissa puhelu voidaan aina katkaista ja ohjata asiakas esimerkiksi asioimaan myymälään tai tunnistautumaan vahvasti OmaElisan kautta. Nämä puhelimitse tapahtuvat huijaukset ovat harvinaisia, ja silloin harvoin kun niitä tapahtuu ne voivat esimerkiksi olla yrityksiä tilailla hintavampia laitteita toisen henkilön nimiin ajatuksella ettei niitä ole tarkoitus maksaa - tällöin esimerkiksi sähköpostin vaihto tilauksen yhteydessä tai soitto eri numerosta mikä asiakkuudella on yhteisnumeroksi merkitty (erityisesti jos kyseessä on prepaid-liittymä) ovat kaikki varoitusmerkkejä mitä pidämme silmällä. :mag:

Osallistu keskusteluun