Fivan mukaan rikolliset pyrkivät myös käyttämään hyväksi ihmisten huolettomuutta vahvistusviestien hyväksymisessä.

Finanssivalvonnan (Fiva) toimistopäällikkö Markku Koponen sanoo, että ihmisten pitäisi olla hyvin tarkkana, kun pankkiasiointiin ja maksamiseen liittyviä tapahtumia vahvistetaan mobiililaitteilla.

Pankkien nykyiset tili- ja maksusovellukset käyttävät usein maksujen ja toimenpiteiden hyväksymiseen käyttäjän toiseen laitteeseen lähetettävää vahvistusviestiä.

Siihen liittyy kuitenkin haavoittuvuus. HS kertoi perjantaina tapauksesta, jossa Nordean asiakas päätyi ventovieraan miehen mobiilipankkiin. Kun Nordea selvitti asiaa, kävi ilmi, että taustalla oli kaksi inhimillistä virhettä.

Asiakas oli näppäillyt käyttäjätunnuksensa hieman väärin niin, että se olikin tuon ventovieraan käyttäjätunnus.

Järjestelmä lähetti ventovieraalle kirjautumisen vahvistusviestin, jonka hän epähuomiossa hyväksyi, koska oli itsekin samaan aikaan hoitamassa pankkiasioita. Tämä johti siihen, että ventovieraan kaikki tili-, kortti- ja laskutiedot näkyivät toiselle asiakkaalle.

Tilisiirtoja ei kuitenkaan olisi ollut mahdollista tehdä ilman, että siitä olisi lähtenyt jälleen uusi vahvistusviesti.

”Kun näitä vahvistuksia tehdään, pitää olla hyvin tarkkana siitä, mitä ollaan vahvistamassa. Jos kyseessä on maksu niin, pitäisi katsoa, mikä summa on kyseessä ja minne maksu on menossa”, Koponen sanoo.

Koposen mukaan rikolliset, jotka kalastelevat ensin esimerkiksi sähköpostiviesteillä ihmisten pankkitunnuksia, yrittävät samaan tapaan saada ihmiset hyväksymään tilisiirroista lähetettyjä vahvistusviestejä.

Nordea kertoi jo perjantaina raportoivansa tapahtuneesta Fivalle ja pankissa selvitetään, miten vastaavan toistuminen voitaisiin estää.

”Perjantain tilanteessa näyttäisi olleen kyseessä hyvin epätodennäköinen mutta mahdollinen tapahtuma. Se ei muuta sitä, että tällaista ei saisi tapahtua. Pankit ovat velvollisia raportoimaan tapauksista meille. Heidän pitää tutkia asia ja raportoida, mistä tapaus johtui ja miten sen toistuminen voidaan estää”, Koponen sanoo.

Pankkien tunnistusjärjestelmissä on monenlaisia varmistuksia, joten rikollisten ei pitäisi päästä kovin pitkälle esimerkiksi kokeilemalla summan mutikassa erilaisia käyttäjätunnuksia pankkien mobiilisovelluksiin.

Koposen mukaan järjestelmät tyypillisesti lukitsevat itsensä, jos väärillä tunnuksilla yritetään kirjautua useampia kertoja. Suuremmat maksut pitää usein vahvistaa moniportaisemmalla tunnistautumisella kuin pienet maksut.

”En muista ihan vastaavaa edes tapahtuneen kertaakaan aikaisemmin. Joku tapaus oli, jossa verkkopankissa ollut häiriö johti siihen, että ihminen pääsi näkemään toisen ihmisen tilitiedot”, hän sanoo.

Entä, kuka on vastuussa, jos esimerkiksi rikolliset saavat siirrettyä rahaa niin, että asiakas on itse hyväksynyt maksun?

Koposen mukaan vastuukysymykset ratkaistaan maksupalvelulain perusteella tapauskohtaisesti sen mukaan, katsotaanko asiakkaan menetelleen huolimattomasti.

”Mutta on tietysti hyvin inhimillistä, kun ihminen tekee montaa asiaa yhtä aikaa, että tällaisia virheitä voi sattua.”