MURHA.INFO

Tällaista tällä kertaa:

Itä-Suomen poliisissa on kiinnitetty huomiota viime vuosina yleistyneeseen sim swapping -huijaukseen.

Siinä tietojenkalastelun uhrin perinteistä fyysistä sim-korttia käyttävä liittymä on muutettu ilman fyysistä korttia toimivaksi eSIM-liittymäksi.

Huijaus alkaa yleensä tietojenkalasteluviestillä, joka voi tulla minkä tahansa sovelluksen tai viestintäkanavan välityksellä. Rikollinen havittelee henkilötietoja, joiden avulla on mahdollista pyytää operaattorilta liittymän muuttamista eSIM-liittymäksi.

Seurauksena uhrin laitteessa oleva sim-kortti lakkaa toimimasta, ja yhteys verkkoon katkeaa. Rikollinen voi ottaa kaappaamansa liittymänumeron käyttöön omassa puhelimessaan ja saa suoraan itselleen tekstiviesteinä lähetetyt vahvistuskoodit. Ne voivat liittyä esimerkiksi verkkopankissa tehtäviin toimenpiteisiin, kuten maksujen vahvistamiseen tai muutoin kaksivaiheiseen tunnistautumiseen.

Uhrille hyökkäys näkyy liittymän täydellisenä pimenemisenä. Puhelimella ei voi enää soittaa tai ottaa vastaan puheluita, ja tekstiviestitkin lakkaavat toimimasta.

Uhri ei välttämättä pysty kirjautumaan omaan verkkopankkiinsa nähdäkseen, mitä on tapahtunut tai olemaan nopeasti yhteydessä pankkiinsa tunnustensa sulkemiseksi.

Poliisin mukaan osassa tapauksia uhrien tiedoilla on avattu uusia eSIM-liittymiä, joita on käytetty hyväksi uusiin uhreihin kohdistuvissa rikoksissa. Näissä tapauksissa uhrit havahtuvat tilanteeseen usein varsin myöhään operaattorin laskuttaessa avatun liittymän tai liittymien käytöstä.

https://www.is.fi/digitoday/tietoturva/ ... 42691.html

Aivan! Laitetaan heti kaikki kieltolistalle ennen kuin yksikään kaupallinen toimija ehtii tehdä palvelusta turvallisen, läpinäkyvän ja käyttäjälle mutkattoman. Sehän olisi viimeinen asia, mitä haluamme: turvallisuutta ja helppoutta. Paljon parempi on, että oikeuslaitos yhdessä poliisin kanssa iskee pöytään massiivisen “Ennen kuin kukaan ehtii ajatella” -asetuksen, jossa kielletään sekä ongelma että sen mahdollinen ratkaisu. Proaktiivista? Ei, pro-kieltolistaa.

Kuvitelma: aamu alkaa niin, että tuomioistuin julkaisee Päivän Kielto -kalenterin. Maanantai: kielletään käyttö. Tiistai: kielletään keskustelu käytöstä. Keskiviikko: kielletään puhuminen siitä, että keskustelu käytöstä kiellettiin. Torstai: kielletty muistella keskiviikkoa. Perjantai: palautekierros — palautteen antaminen kielletty. Viikonloppu: hiljainen hetki kieltolistalle, joka kasvoi niin pitkäksi, että sitä varten tarvitaan oma GDPR: “Generally Don’t Permit Reality”.

Ja tietenkin, tietoturva hoidetaan parhaalla suomalaisella menetelmällä: poistamalla pistorasia, ettei tule sähköiskua. Digitaalinen vastine? Irrotetaan koko internet seinästä. SSL? Suomi Säätelee Lakkaamatta. Kaksivaiheinen tunnistautuminen? Ensin kielletään, sitten kielletään uudestaan vahva suojaus, vahva kielto. Palomuuri? Eiköhän muurata koko talo umpeen, niin ei ainakaan rosvot pääse sisään. Pieni haittapuoli vain, että asukkaatkaan eivät pääse ulos, mutta turvallisuus ennen kaikkea.

Tiedän, mitä ajattelet: “Entä innovaatio?” Ratkaistu! Innovaatio on turvallisinta, kun se tapahtuu tyhjiössä, hiljaisuudessa ja mielellään 20 vuotta jälkijunassa. Näin varmistetaan, ettei kukaan pääse epähuomiossa parantamaan palvelua tai kauhistus sentään tekemään siitä käyttäjälle miellyttävää. Jos joku yritys erehtyy rakentamaan läpinäkyvyysraportin, salauksen ja helpon poistumisreitin, eikun kielto päälle: emmehän halua, että asiakkaat alkavat luottaa mihinkään. Luottamus on porttihuume toimivuuteen.

Sitten se prosessipuoli. Tehdään task force, jonka nimi on Työryhmä Työryhmille. Heidän mandaattinsa: laatii esiselvityksen esiselvityksen esiselvityksestä ja julkaisee PDF:n, jonka lataaminen on toki kielletty. Paperissa on 78 laatikkoa ja 0 vastuuhenkilöä. Aikataulu on kunnianhimoinen: “eilen”. Budjetti on myös kunnianhimoinen: “muiden rahoista”. Mitä mittareita käytämme? Helppoa: lasketaan kieltojen määrä. Jos numero kasvaa, olemme onnistuneet. Jos käyttäjäkokemus romahtaa, olemme tuplanneet onnistumisen — koska sehän oli tarkoituskin.

Ja totta kai, viestintästrategia: julkaistaan tiedote, jossa kerrotaan, ettei voida kertoa, mutta voidaan kertoa, että kerrotaan myöhemmin, mitä ei voida kertoa. Tieto on valtaa, mutta salattu tieto on supervaltaa. Media kysyy: “Milloin ratkaisu valmistuu?” Vastaus: “Kun kielto on riittävän kattava.” Toimittaja: “Miten kattava on riittävän kattava?” Vastaus: “Kattavampi kuin tästä voi puhua.” Transparenttia kuin savusaunan ikkuna marraskuussa.

Lopuksi konkreettinen “toimenpidelista”:

Kielletään ongelma. Jos se ei poistu, kielletään sen nimeäminen.
Pakotetaan palvelut turvallisiksi kieltämällä niiden parantaminen.
Säädetään laki, jonka mukaan kaikki on oletuksena laitonta, paitsi kieltolistojen laatiminen.
Perustetaan Kieltorekisteri, jonka julkisuus on salainen.
Jalkautetaan ohje: jos et ymmärrä, kielletään varmuuden vuoksi. Jos ymmärrät, kielletään silti.

Mitä sanoi tietoturva-asiantuntija puulle? “Ethän vuoda.” Puu vastasi: “Olen runko. Vuodot ovat rungottomia.”
Miksi palomuuri palkattiin vartijaksi? Koska se on ainoa muurari, joka pysyy töissä, vaikka kaikki yhteydet katkaistaan.

pannaan järeät toimet päälle heti, ettei vain vahingossa ehditä rakentaa turvallista, läpinäkyvää ja sujuvaa palvelua. Kun kielletään kaikki, saadaan täysi mielenrauha. No, ei ehkä käyttäjille, mutta sentään meille, joilla on kieltolista, jota voi silittää kuin turvalelua. Sileää kuin ultrakiiltävä toppatakki sateessa: näyttää hyvältä, hengittävyys nolla.