Tätä ei pitäisi voida tapahtua: Eläkeläismiehen tili tyhjennettiin puhelinliittymän kaappauksen ja henkilötietojen urkkimisen avulla

Eläkeläismiehen puhelimesta hävisi verkkoyhteys, kun huijarit olivat onnistuneet siirtämään uuden sim-kortin omaan kännykkäänsä. Kuva: juho leskinen

Uhrin pankkitililtä hävisi 37 000 euroa, kun uhrin oma puhelin yllättäen pimeni niin, ettei sillä voinut enää soittaa tavanomaisia puheluita. Tapauksesta uutisoi Iltalehti.

Tietokirjailija Petteri Järvisen mukaan suomalaiset operaattorit ovat vakuuttaneet, että näin ei voi tapahtua.

”Näin ilmeisesti on nyt tehty. Pelkän sim-kortin kaappauksella ei pankkitiliä kuitenkaan pysty tyhjentämään”, Järvinen kommentoi MT:lle.

Hänen mukaansa pankin käyttäjätunnus tai jotain salasanasta täytyy olla varkaan tiedossa.

”Vakava juttu se silti on. Jos kaappaa sim-kortin, voi saada kaikki vahvistuskoodit toiseen puhelimeen ja murtautua tiliin, jos salasana on urkittu.”

Tunnus on saatettu antaa ohjeiden vastaisesti pankista, kun asiakkaan numerosta tulleessa puhelussa sitä on pyydetty.

”Tapaus on operaattoreille vakava herätys siihen, että myös Suomessa ollaan tällaiselle alttiita. Asiakkaan henkilöllisyys pitää aina tarkistaa, siinä ei pelkkä henkilötunnus tai puhelinnumero enää riitä.”

Jos vanhan sim-kortin on puhelimen mukana sanottu menneen hukkaan, selitys voi mennä Järvisen mukaan läpi. Tällöin on vaikea päästä kiinni uuden sim-kortin hankinnassa kysyttäviin pankkitunnuksiin, jotka ovat yleensä kiinni puhelimessa.

”Kannattaisi hankkia varalle toinen puhelin, jossa näkyy joko saman pankin pankkitunnusohjelma tai mobiilivarmenne operaattorilta. Varmenteella pystyy todentamaan itsensä sähköisesti, vaikka varsinainen puhelin olisi pudonnut järveen.”

Elisalla liittymän voi siirtää toiselle sim-kortille joko asiakaspalvelun kautta tai itsepalveluna OmaElisa-itsepalvelun kautta.

”Tämä edellyttää, että henkilö on tunnistettu. Asiakaspalvelulla ja myymälöillä on prosessi, miten asiakas tunnistetaan ennen kuin kortin vaihto voidaan tehdä”, tietoturvajohtaja Teemu Mäkelä kommentoi sähköpostitse.

OmaElisa -itsepalvelu vaatii OmaElisan tunnuksen ja salasanan. OmaElisa tunnuksien luominen edellyttää vahvaa tunnistautumista, esimerkiksi pankki- tai mobiilivarmenne-tunnistautumista.

Lisäksi liittymälle sim-korttia vaihdettaessa käyttäjällä pitää olla hallussaan Elisan tai Saunalahden kortti. Kortteja ei toimiteta valmiiksi aktivoituna kortinvaihtotilanteissa.

”Inhimillisen virheen mahdollisuus on aina olemassa, mutta koulutamme henkilöstöämme jatkuvasti erilaisten uhkien torjumiseksi”, Mäkelä sanoo.

Liittymää ei voi siirtää ilman että liittymän haltija saisi siitä useita viestejä.

”Näin ollen liittymän käyttäjä kyllä saa tietää, mikäli numeroa ollaan siirtämässä toiselle operaattorille vastentahtoisesti.”