Nordea tyrmää väitteen verkkopankin tunnusten murtamisesta
13
Nordea ja poliisi tutkivat tapausta, joissa useiden asiakkaiden pankkitililtä onnistuttiin viemään rahaa Windows-haittaohjelman avulla. Huijaus onnistui pääsemällä asiakkaan ja verkkopankin väliin niin sanotulla mies välissä -hyökkäyksellä. Nordea kuitenkin kiistää tietoturvayhtiö Forte Netservicesin väitteet, että nettipankin käyttäjätunnukset ja varmistustunnukset olisi onnistuttu murtamaan.
Forte Netservices -yhtiön teknologiajohtaja Hannu Rokka kirjoitti lausunnossaan, että rikolliset saivat salasanan ja sisäänkirjautumistunnuksen haltuunsa, selvittämällä oikean varmistusnumeron, koska algoritmi olisi liian yksinkertainen.
”Väite on täysin perätön. Se on niin metsässä, ettei väitteessä ole mitään tolkkua”, jyrähtää it-riskien hallintojohtaja Mikael Salonaho Nordeasta. ”Sisäänkirjautumistekniikkaa tai maksujen varmennusta ei ole murrettu”, hän painottaa.
Nordeasta kuitenkin myönnetään, että joidenkin asiakkaiden pankkitileiltä on onnistuttu viemään rahaa. Tapausta tutkii Keskusrikospoliisi.
Windows-troijalainen urkki verkkoliikennettä
Haittaohjelma toimi Windowsissa troijalaisena piilossa ja ohjasi asiakkaat www.nordea.fi-sivuston sijaan omille sivustoilleen. Ne muistuttivat Nordean sivustoa, mutta olivat ainakin osittain englanninkieliset.
Salonahon mukaan yksittäistapauksissa on käynyt niin, että asiakas on vahvistanut omien maksujensa ohella rikollisten tilisiirrot. Maksutapahtumat on voitu piilottaa siten, ettei asiakas huomaa niitä.
Salonaho sanoo, että pankki korvaa asiakkaille rahat niissä yksittäistapauksissa, joissa huijaus on onnistunut, eli rahat hävisivät tililtä.
On myös mahdollista, että rahat palautuvat muutenkin tilille, koska heti asian selvittyä kyseiset tilisiirrot ulkomaille on voitu estää.
Nordean mukaan kaikkiin asiakkaisiin on jo oltu yhteydessä, joita tapaus koskee. Osa näistä ei ollut itse huomannut asiaa.
Salonaho toteaa, että nettipankin nykyiset tietoturvaohjeet pätevät yhä, eikä niitä ole vielä tarvinnut päivittää. Hän kuitenkin pohtii, että suomalaisen asiakkaan varoituskellojen olisi pitänyt soida, jos suomenkielisen sisäänkirjautumissivun sijaan tuleekin englanninkielinen sivu.
Nordean verkkopankkiin kirjaudutaan asiakasnumerolla ja kertakäyttöisillä salasanoilla. Tilisiirrot vahvistetaan vaihtuvalla tunnuksella. Nordean mukaan tätä suojausmenetelmää ei ole murrettu. Huijaukset perustuvat siihen, että ihmiset saadaan eri tavoin antamaan tietonsa.
