SIM swap -huijaus mahdollinen?

  • 5 helmikuu 2020
  • 13 kommenttia
  • 839 katselukerrat

Miten Elisan liittymissä on varmistettu, ettei ns. SIM swap -huijaus onnistu? Käytännön tilanne voisi olla, että joku menee kilpailevan operaattorin liikkeeseen ja tilaa uuden liittymän ja pyytää “vanhan numeron” siirtoa Elisalta siihen. Siis vaikka minun numeroani, ja esiintyy minuna väärennettyjen papereiden kanssa.

Puhelimen haltuun ottamisella aukeaa monessa tilanteessa mahdollisuus erinäisten henkilökohtaisten verkkopalveluiden kaappaamiseen. Niihin kun on ilmoittanut puhelinnumeronsa ongelmien varalta, niin esim. salasanan vaihtaminen voi onnistua ja tekstiviestit toimivat silloin osana tunnistautumista.


13 kommenttia

Käyttäjätaso 5
Kunniamerkki

Sen mitä itse olen myymälässä asioinut niin henkkareiden lisäksi multa kysellään lisäksi olemassaolevista sopimuksista ja kysytään kotiosoitetta. Tottakai jos myyjä havaitsee epäilyttävää käytöstä, hän voi oman harkintansa mukaan kysyä lisäkysymyksiä tunnistautumiseen tai jopa kieltäytyä tekemästä muutoksia. Etenkin kun liittymä on väliaikaisesti suljettu (puhelin varastettu/kadonnut), tulee sitä uudelleen avatessa olla tarkkana.

Miten omasta mielestäsi olisi fiksuinta - ja asiakkaalle kuitenkin vaivatonta - tämä myymälässä asiointi akuutteja tilanteita varten? :relaxed:

Tarkennanpa vähän. En tarkoittanut asiointia Elisan liikkeessä, vaan tilannetta missä huijari esiintyy minuna ja menee kilpailevan operaattorin liikkeeseen tekemään liittymäsopimuksen. Ja pyytää “vanhan” Elisan numeron siirtoa siihen ja samalla vanhan liittymän sulkemista. Noin ilmeisesti toimitaan, jos haluaa oman liittymän vaihtaa toiselle operaattorille ja pitää vanhan numeron? Tällöin uusi operaattori ottaa yhteyttä Elisaan ja pyytää päättämään liittymän ja vapauttamaan numeron uuteen käyttöön.

Käyttäjätaso 5
Kunniamerkki

Tarkennanpa vähän. En tarkoittanut asiointia Elisan liikkeessä, vaan tilannetta missä huijari esiintyy minuna ja menee kilpailevan operaattorin liikkeeseen tekemään liittymäsopimuksen. Ja pyytää “vanhan” Elisan numeron siirtoa siihen ja samalla vanhan liittymän sulkemista. Noin ilmeisesti toimitaan, jos haluaa oman liittymän vaihtaa toiselle operaattorille ja pitää vanhan numeron? Tällöin uusi operaattori ottaa yhteyttä Elisaan ja pyytää päättämään liittymän ja vapauttamaan numeron uuteen käyttöön.

Aaaa aivan! Ymmärsin erilailla (liian vähän kahvia). Mutta niin, tuo prosessihan menee niin että kaveri menee liikkeeseen, luodaan asiakkuus osoitetietoineen tai haetaan olemassaolevat tiedot asiakkaalta kyselemällä, asiakas saa SIM-kortin ja tämän jälkeen liittymän omistaja saa liittymäänsä (vanha SIM) ensin nykyiseltä operaattoreilta viestejä numeronsiirtoon liittyen ja sen jälkeen uudelta operaattorilta. Numeronsiirtoprosessi kestää aina vähintään viikon.

Oliko tässä sinun skenaariossa siis tällä huijarilla uhrin nykyinen liittymäkin jotenkin käytössä eikä näin tekstiviestit tavoita oikeaa omistajaa, vai miten sen ajattelit? :)

Kiitos, tästä sain jo hyvää lisätietoa. Yritin ensin hakea näitä tietoja huonolla menestyksellä ja sitten päädyin kysymään.

“Uhrin” puhelin ja liittymä on koko ajan hänellä itsellään, mutta ei välttämättä päällä tai mukana (vaikka pidemmällä ulkomaan reissulla EU:n ulkopuolella). Nyt tulee keskeinen kysymys: kun Elisa viikon aikana lähettää viestejä, niin ovatko ne tiedoksi vai pyytääkö Elisa vielä erikseen varmistamaan liittymän sulkemisen ja numeron siirron? Ja jos varmistusta ei kuulu, niin liittymää ei suljeta eikä numeroa siirretä, eihän?

Miten myös tämä kaikki toimii tilanteessa, missä minä olen liittymän omistaja mutta se on jälkikasvun hallussa ja käytössä?

Nämä puhelinliittymät ovat (vara-) avain moneen palveluun. Identiteettivarkauksia on onneksi vielä aika harvoin, mutta jos se osuu kohdalle niin voi käydä hyvin kalliiksi ja oikeasti häiritä loppua elämää.

Käyttäjätaso 4

Myymälässä tehtiinpä mikä tilaus tahansa, niin asiakas (tilaaja) tunnistetaan asianmukaisesti ja tilaus tehdään. Nyt kun henkilö on jo myymälässä ja siinä tehdään tunnistaminen, niin siinä samalla on saatu se lupa siirtoon ja sitten tekstiviestit mitkä tulevat puhelimeen myöhemmin numeronsiirrosta, ovat informatiivisia. Lisälupia ei sen jälkeen enää kysytä koska myymälässä se lupa ja suostumus on jo todettu.

 

Mikäli olet liittymän omistaja ja jälkikasvu menee Elisan myymälään tekemään numeronsiirtotilausta, tulee sen jälkeen tieto että liittymä ei ole hallussasi, ja tarvitsemme liittymän nykyiseltä omistajalta luvan.

Käyttäjätaso 6
Kunniamerkki +3

Kyllähän tuo skenaario on mahdollinen jos huijari esittää henkilöllisyystodistuksen, jossa on hänen kuvansa ja sinun henkilötietosi. Tämä olettaen, että väärennös on sen tasoinen, että menee läpi.

 

Ehkäpä numeronsiiro olisi hyvä hyväksyttää myös poistuvassa päässä esim. tekstiviestillä.

error404, kiitos lisätiedoista, tarkentavat tilannetta - ja huolestuttavat, kuten day1 tuossa kirjoittaa.

Kerrotko vielä tarkemmin, mitä on asianmukainen asiakkaan tunnistaminen käytännössä? Tämä siis tilanteessa missä hän ei ole Elisan asiakas ja asioi joko Elisan liikkeessä tai marketin (pop-up) myyntipisteessä.

Kysyn vielä selkeämmin tuosta tilanteesta jälkikasvun kanssa: Elisan liittymä on minun omistama ja se on pojan hallussa/käytössä hänen nimellään. Se näkyy minulla OmaElisassa listalla. Jos kolmas henkilö onnistuu esim. dna:n myyntipaikassa esiintymään väärillä henkilötiedoilla poikana ja tilaamaan dna:n kautta Elisalta liittymän lopettamisen ja numeron siirron, niin tulevatko Elisan tekstiviestit minulle vai pojalle?

Kyllä, kaksivaiheinen tunnistautuminen ja varmentaminen myös liittymän siirrossa voisi olla asiallinen. Elisa suosittelee sitä esim. OmaElisaan, liittymän siirtämisen varmistaminen on vähintään yhtä tärkeä kohta asiakkaan tietoturvan kannalta.

Ymmärrän että tällä foorumilla aihetta voi tarkastella lähinnä Elisan näkökulmasta, ja Elisan toiminnan käytäntöjä tässä kysynkin. Tässä voi tulla käymään vielä niin, että joudun selvittämään samat kysymykset myös muilta operaattoreilta. Ja lopputulos saattaa olla, että joudun poistamaan puhelinnumeron käytön varmennuksena palveluista, esim. nettipankista. Huokaus...

Käyttäjätaso 4
Kunniamerkki

Henkkareilla tunnistautuminen on ainakin vahva.

Kysyn vielä selkeämmin tuosta tilanteesta jälkikasvun kanssa: Elisan liittymä on minun omistama ja se on pojan hallussa/käytössä hänen nimellään. Se näkyy minulla OmaElisassa listalla. Jos kolmas henkilö onnistuu esim. dna:n myyntipaikassa esiintymään väärillä henkilötiedoilla poikana ja tilaamaan dna:n kautta Elisalta liittymän lopettamisen ja numeron siirron, niin tulevatko Elisan tekstiviestit minulle vai pojalle?

 

Tuollaisessa skenaariossa viestit tulisivat siihen numeroon, mitä yritetään siirtää muualle. Siirtäminen ei tosin onnistu, ellet käy hyväksymässä siirtoa viestillä lähetettävän linkin kautta verkkopankkitunnistatutumisella. :slight_smile:

Vedänpä yhteen mikä oli ymmärtämäni tulos tässä kyselyssä ja keskustelussa:

  • jäi epäselväksi miten hyvin käytännössä (uuden) asiakkaan ("asianmukainen") tunnistaminen tehdään
  • jos onnistuu esiintymään toisena henkilönä niin uuden liittymän tilaaminen ja siihen vanhan numeron siirtohuijaus on sangen mahdollista, vanhaan liittymään tulee aiheesta vain ilmoitus - varmistusta ei kysellä
  • jos yritetetään huijata vain hallinnassa oleva numero, niin siitä tulee liittymän omistajalle varmistuspyyntö verkkopankkitunnuksilla (!)

Kun ajattelee miten tärkeästä yksityisyyteen ja tietoturvaan liittyvästä aiheesta tässä on kyse, niin tämän selvittelyn tulos jätti huolestuneeksi. Pitäisi varmaan yrittää olla vain oman liittymän haltija, niin siirtoyrityksestä tulee vahva varmennuspyyntö… Tai sitten olla käyttämättä puhelinnumeroa minkäänlaiseen tunnistautumiseen tai verkkopalveluiden taustavarmistukseen. Hm.

Kiitokset keskusteluun osallistuneille, tämä kuitenkin selvensi tilannetta.

Käyttäjätaso 7
Kunniamerkki +3
  • jäi epäselväksi miten hyvin käytännössä (uuden) asiakkaan ("asianmukainen") tunnistaminen tehdään

Miten tarkalleen määrittelet tuon asianmukaisen ja miten toivoisit sen tapahtuvan käytännössä? :) 

  • jos onnistuu esiintymään toisena henkilönä niin uuden liittymän tilaaminen ja siihen vanhan numeron siirtohuijaus on sangen mahdollista, vanhaan liittymään tulee aiheesta vain ilmoitus - varmistusta ei kysellä

Olettaen että saat henkkarit väärennettyä tai impersonoitua itsesi vahvalla tunnistautumisella verkossa tuoksi henkilöksi niin joo, alulle saa laitettua ja mahdollisesti jopa edistettyä. Tällöin kuitenkin tieto tapahtumista on jo välitetty oikealle omistajalle jolla toki on myös velvollisuutensa reagoida tilanteessa jossa ei ole itse ollut alullepanijana muutoksissa

  • jos yritetetään huijata vain hallinnassa oleva numero, niin siitä tulee liittymän omistajalle varmistuspyyntö verkkopankkitunnuksilla (!)

Verkkopankkitunnukset ja mobiilivarmenne ainakin omasta mielestäni on ihan riittävän varmoja konsteja tunnistautumiseen

Moderaattori error404 kertoi tunnistuksen tapahtuvan asianmukaisesti - minä kysyin mitä se käytännössä on, en saanut vastausta.

Niin, viikon aikana minulle siis tulee tekstiviestejä tuohon siirrettävään numeroon tuosta käynnissä olevasta siirrosta - saan kyllä tiedot ajoissa ja varmasti reagoin jos puhelimeni on päällä eikä suljettuna esim. EU:n ulkopuolisen matkan ajan.

(Tässä kohtaa toteaisin, että on operaattorin velvollisuus huolehtia asiakkaistaan ja ettei väärinkäyttö ole mahdollista esimerkiksi varmistamalla itse asia suoraan minulta. Muutos on tällaisessa tilanteessa käynnistetty kolmannen osapuolen eli toisen operaattorin toimesta.)

Verkkopankkitunnukset olisivat hyvä varmenne - jos niitä minulta kysyttäisiin. Nyt selvisi että niitä kysytään vain jos omistamani mutta toisen hallussa olevaa liittymää yritetään hänen nimissään siirtää. Ideaalista olisi varmistaa näin myös tilanteessa missä minun omistamaani liittymää ollaan siirtämässä. Nyt olen ymmärtänyt että saan siitä vain ilmoituksia.

Kysyn näitä asiakkaana ja ymmärtääkseni oman tietoturvani tilanteen. Tunnen päätyväni puolustelemaan kysymyksiäni ja selkeitä vastauksia on vaikeaa saada. Kysynkö vääriä asioita? Mikä olisi oikea paikka etsiä vastauksia? Verkosta tai web-sivuilta en vastauksia onnistunut löytämään.

Suomessakin on tapahtunut identiteettivarkauksia. Puhelinliittymä ja -numero voi olla osa eri palveluiden tunnistautumisen ja varmistusten ketjua. Identiteettivarkaudesta seuraa hirvittävä ja loppuelämän mittainen riesa, ja saattaa käydä kalliiksi.

Käyttäjätaso 6
Kunniamerkki +1

OT: Jos nyt jotenkin olen pysynyt jutussa kärryillä niin, eihän aloittajan omaan liittymään (eri numero kuin pojalla) liitetyt vahvan tunnistautumisen välineet eivät tietojeni mukaan päädy millään tavalla aloittajan omistamaan, mutta pojan käytössä olevaan liittymänumeroon. 

 

Toisaalta taas pojan ollessa vain käyttäjänä aloittajan omistamassa liittymänumerossa ei numeronsiirron toisella operaattorille pitäisi onnistua, koska omistajan tulisi se käydä erikseen hyväksymässä oma.elisassa. Identiteettivarkaus on tässä tapauksessa entistä vaikeampaa, kun verrataan sitä tilanteeseen, jossa pojalla olisi liittymänumero omassa omistuksessaan, eikä aloittajalla olisi mitään tekemistä asian kanssa. 

 

Taustoja tuntematta täysi-ikäinen poika voinee ottaa liittymänumeron haltuunsa sopimalla siitä omistajan kanssa. Jos hän on luottotiedoton tapaus vaatinee panttia uudelta omistajalta tai liittymäsiirtoa toiselle toimijalle, joka ei vaatisi panttia/ennakkomaksua. Ellu on edelleen kykenemätön toimimaan siten, että laskutusliittymän suora siirto latausliittymäksi onnistuisi.

Käyttäjätaso 1

Moderaattori error404 kertoi tunnistuksen tapahtuvan asianmukaisesti - minä kysyin mitä se käytännössä on, en saanut vastausta.

 

Asianmukaisesti tarkoittaa, että myyjillä on tarkka ohjeistus siitä kuinka asiakas tunnistetaan, esimerkiksi vanhentunut henkilöllisyystodistus ei käy todistukseksi henkilöllisyydestä. Myyjän velvollisuus on toki epäselvissä ja epäilyttävissä tapauksissa ilmoittaa väärinkäytöksistä ja väärinkäytösepäilyistä viranomaistaholle.

Olisiko tällä sivulla vastauksia sinua vielä askarruttaviin kysymyksiin? https://elisa.fi/tietosuoja/ ja tarkemmin vielä täällä: https://elisa.fi/asiakaspalvelu/aihe/sopimusehdot/ohje/tietosuojaperiaatteet/

Osallistu keskusteluun