Lue uutinen mobiilisivustolla

Pornotunnus kiinnostaa, pankkitunnus ei

16.7.2007 10:23 Pankeille on ehdotettu omaa .bank-verkkotunnusta, jonka on tarkoitus vähentää tietojen kalastelua. Kun omaa tunnustaan on päättäjätasolla kaavailtu jo pornolle, niin miksei pankeille?

F-Securen tutkimuspäällikkö Mikko Hyppönen ehdotti keväällä, että pankit saisivat käyttöönsä oman .bank-tunnuksen, joka auttaisi verkkopankkiasiakkaita tunnistamaan oikean pankin huijarista.

Kysymys on ylätason verkkotunnuksesta, joita ovat myös esimerkiksi .com, .net ja .org sekä maatunnukset, kuten Suomen .fi.

Idea on suurin piirtein seuraavanlainen: pankkitunnuksesta joutuisi maksamaan. Julkisuudessa esitetyissä esimerkeissä on puhuttu 50 000 dollarin rekisteröintimaksusta. Lisäksi pankkitunnuksen rekisteröijä joutuisi todistamaan olevansa oikea pankki.

Näin asetettaisiin tunnusten rekisteröinnille nykyistä paljon korkeampi kynnys, jota ainakaan ihan kaikki pankkihuijarit eivät varmasti ylittäisi. Tällä tavoin pankkitunnuksella varustettuun osoitteeseen voisi luottaa, ainakin teoriassa.

Summa on sentään melkoinen maksettavaksi tavalliselle rivikalastelijalle, jonka oma motiivi on tehdä rahaa muiden huijaamisella. Jokainen phishing-huijari tuskin maksaisi siitä ilosta, että pääsee kalastelemaan tietoja.

Phishing-työkaluja kaupitellaan kyllä jo nyt verkossa. Kyse onkin siitä, miten paljon tietojen kalastelija joutuisi kaivamaan kuvetta. Kynnys on nostettava sen verran ylös, että se riittää.

Nykyisellään verkkotunnuksia voi rekisteröidä hyvin vapaasti. Siksi verkkopankiksi tekeytyminen on verrattain helppoa. Riittää, että rekisteröi sellaisen osoitteen, joka muistuttaa tarpeeksi jotakin oikeaa pankkia.

Tietojen kalastelija luottaa siihen, että hänen uhrinsa ei haista palaneen käryä.

Kiitosta ja kritiikkiä

Pankkitunnusehdotus on herättänyt keskustelua sekä puolesta että vastaan. Ideaa on kritisoitu muun muassa sen puutteista; se ei ratkaise koko phishing-ongelmaa.

On myös sanottu, että verkkopankkien käyttäjät eivät osaisi erottaa oikeaa pankkia väärästä, vaikka tunnus olisi minkälainen. Huijarit voisivat esimerkiksi upottaa .bank-osan osoitteen keskelle, mikä voisi riittää erehdyttämään käyttäjiä.

Mikään ei myöskään pakottaisi tietojen kalastelijoita käyttämään pankkitunnusta, vaan muutkin osoitteet menisivät läpi aivan kuten tähän asti, epäilijät sanovat.

Pankkitunnus ei tietysti poista phishingiä jo siksikään, että kaikki kalastelu ei koske pankkitietoja. Muitakin tietoja urkitaan.

On esitetty epäilyjä siitä, olisiko pankkitunnuksen käyttöönotto realistista, kun pankkien toiminnan kriteerit voivat vaihdella maasta toiseen. Pystyisikö pieni pankki maksamaan rekisteröintimaksun? Jos ei, leimautuisiko se epäilyttäväksi huijaripuljuksi niiden silmissä, jotka osaisivat tarkistaa, että pankin verkko-osoitteessa on pankkitunnus?

Omia ylätason verkkotunnuksia on myönnetty erilaisiin tarkoituksiin. Mobiilipalveluille on varattu .mobi, kansainvälisille järjestöille .int, museoille .museum, matkailualalle .travel, lentoyhtiöille .aero ja niin edelleen.

Muitakin ylätason verkkotunnuksia osoitteita hallinnoiva ICANN (Internet Corporation for Assigned Names and Numbers) on virallistanut. Jopa pornosivustoille on kaavailtu omaa .xxx-tunnusta – tämä ehdotus tosin on vielä toistaiseksi kaatunut ICANNin äänestyksissä.

Pankkitunnusehdotusta ei tiettävästi vielä ole viety ICANNille käsiteltäväksi.

Miksei pankeille annettaisi omaa tunnusta, jos muillakin erityisryhmillä on sellaisia? Pankkeihin sentään liittyy huomattavia turvallisuustekijöitä, joiden luulisi antavan aihetta ottaa käyttöön kaikki ajateltavissa olevat parannuskeinot.

Ei ihme, mutta ihan hyvä

Kukaan ei kai kuvittelekaan, että .bank-tunnus olisi autuaaksi tekevä ratkaisu, joka kokonaan poistaisi phishingin. Kyllä osa rikollisista tämänkin keinon kiertää – mutta mikä tärkeämpää, osa roistoista ei siihen vaivautuisi.

Tarkoitus ei ole selättää koko ongelmaa kerralla. Ajatus on pikemminkin, että pankkitunnus osaltaan auttaisi vaikeuttamaan tietojen kalastelijoiden elämää.

Tässä mielessä ajatus on kannatettava. Voi kysyä, miksi ei tuollaista pankkitunnusta otettaisi käyttöön? Miksi tyrmätä ajatus vain siksi, että se ei ratkaise kerralla koko ongelmaa? Olisiko parempi jäädä odottelemaan jonkinlaista ihmelääkettä, jota ei ehkä koskaan kuitenkaan tule?

Perusteluja pankkitunnuksen puolesta on toistaiseksi esitetty enemmän kuin sitä vastaan. Jos ajatellaan, että jonkinlaista helpotusta tunnus voisi kalasteluongelmaan tuoda, miksi ei pankkien omaa verkkotunnusta otettaisi käyttöön yhtenä keinona tietojen kalastelun vähentämiseksi – paremman puutteessa?

Ehdotus on tietysti vasta ehdotus, ja se varmasti kaipaa vielä hiomista, tarkennuksia ja yhteisiä päätöksiä toteutuakseen. Kun on rahasta kyse, mielipiteet varmaankin jakaantuvat.

Ainakin keskustelu on käynnistynyt. Siitä on hyvä lähteä.

Antti Kirves toimitus@digitoday.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (2)

Sivut: 1

EdellinenSeuraava

Anonyymi

 0  0

Asiaton viesti Lainaa

Jenkkipankkien webbisysteemeistä kitistään siihen malliin, että monet niistä olisivat edelleen IE-only, SSL/TLS saattaa puuttua ja salasanasuojaus on aivan surkeaa. En itse käytä, niin en osaa tarkemmin sanoa.

Korjattakoon kosmeettisien uusien TLD:iden sijaan tuo oleellisempi turvaongelma ensin. Suomalaispankit ovat kerrankin edellä muita, ja jopa ruåtsalaiset ovat kusessa -- erityisesti Nordean Ruotsin haara ollut uutisissa phishauksesta koko vuoden vähän väliä. Omakin spämmiloota pullotellut niitä viestejä vähän väliä, vaikkei tiliä ole ollut Nordeassa enää yli 5 vuoteen.

Sen jälkeen voidaan sitten tehdä näitä .bank/.safe rahastus/koristelutoimenpiteitä ja turvateatteria, jos homma vielä tuntuu tarpeelliselta ja rahaa riittää.

Sehän tuossa TLD-rahastusskeemassa on mielestäni huolestuttavinta: siinä turvallisuuden kannalta oleellisempaan käytettäviä dollareita (tai euroja) ohjataan johonkin täysin kosmeettiseen.

Javapiins Enttöprais 16.7.2007 13:39

Anonyymi

 0  0

Asiaton viesti Lainaa

Turhaa, aivan turhaa. Kommentoinpa vain, että tuo .porn tai .xxx ei tule ikinä toteutumaan. Koko pornon olemassaolokin loukkaa jo niin paljon niin monen kukkahattutädin ja kristillis-fundamentalistin jne maailmankuvaa, että yhdysvaltalaiset poliitikot blokkaavat toteutuksen jo alkumetreillä.

Enttörpraiss pitää o 16.7.2007 14:22

Sivut: 1

EdellinenSeuraava

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kahdeksan ynnä neljätoista?
Syötä vastaus numeroina

Viesti
Vähimmäispituus 30 merkkiä

Nimimerkki
Käytä ainoastaan kirjaimia ja numeroita, välilyönnit eivät ole sallittuja.

Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.