tiistai 15. lokakuuta 2019

Lukon kuva ei takaa sivun turvallisuutta

Vanhan tietoturvaohjeen mukaan sivusto on turvallinen, jos selaimen osoiterivillä näkyy lukon kuva. Valitettavasti tämä ohje on vanhentunut. Lukko kertoo, että tieto siirtyy salattuna selaimen ja palvelimen välillä, joten esimerkiksi linjaa salakuunteleva hakkeri ei pysty urkkimaan salasanoja tai luottokorttinumeroita.

Lukko ei kuitenkaan takaa sivun aitoutta, joten se ei suojaa tietojen kalastelulta. Lukon kuva voi näkyä silloin, kun kalastelusivusto on perustettu toisen sivuston alaisuuteen tietomurron tai hakkeroinnin jälkeen.

Esimerkiksi tänään sähköpostilla tullut houkutteluviesti johti sivulle, jossa näkyy lukon kuva, mutta joka on takuuvarma kalasteluyritys:

"Yhteys on turvallinen" - mutta sivusto ei!
Osoitteesta näkee, että kalastelusivu on luotu uusiseelantilaiselle Picton-kylän majoituspalveluita tarjoavalle sivustolle. Tarkkanäköinen huomaa osoitteessa https://accommodation-picton.co.nz/4554/pankki/ jotain outoa, kiireinen tai kokematon tuijottaa vain lukon kuvaa ja suomalaisen pankin logoa sekä kieliopillisesti virheetöntä tekstiä.

Jos klikkaa lukkoa, selain näyttää harhaanjohtavasti "Yhteys on turvallinen" -ilmoituksen. Yhteys on kyllä salattu, mutta ei turvallinen. Kehitys on mennyt väärään suuntaan, sillä pari vuotta sitten Chrome käytti tekstiä "Suojattu yhteys", joka oli sentään vähän parempi.

Vielä hankalammaksi asian tekee se, että eräät selaimet näyttävät osoitteesta vain domain-nimen ja peittävät hakemistopolun, jolloin polkuosuutta ei pääse helposti arvioimaan.

SSL-varmenteen tietojen tarkistamisesta on niin ikään tullut aiempaa hankalampaa, sillä tiedot pitää kaivaa valikkojen takaa. Ennen varmenteen myöntäjä näkyi helposti, mikä auttoi arvioimaan myöntäjän luotettavuutta.

Let's Encrypt myöntää SSL-palvelinvarmenteita ilmaiseksi, jolloin niitä on helppo hakea myös harhaanjohtaville domain-nimille. Esimerkiksi lukon kuva ja osoite www.0suuspankki.fi riittäisi hämäämään kokenuttakin käyttäjää, sillä osoite näyttää oikealta ja lukko kertoo salauksen kytkeytyneen päälle.

Miten siis tunnistaa kalastelusivu aidosta? Kannattaa aina tarkistaa osoite huolellisesti, eikä ylipäätään klikata linkkejä, jotka tulevat sähköpostilla. Tekstiviesteissä todellista osoitetta ei pysty peittämään, joten esim. kuriiriliikkeiden ilmoitukset tavaroiden toimituksista tai tullauksista ovat yleensä aitoja. Huolellisuus kannattaa niissäkin!

Selainten omat estolistat reagoivat huijaussivuihin viiveellä, joten niihin ei voi aina luottaa. Tällä hetkellä kalastelusivulle pääsee esteettä, vaikka houkutteluviestistä on kulunut jo 14 tuntia. Myöskään Freedomen selaussuojaus tunnista sivua kalasteluksi.

Viimeisenä niksinä voi vielä kokeilla väärien kirjautumistietojen antamista. Jos S-pankki hyväksyy käyttäjätunnukseksi mitä tahansa numeroita ja nimeksi kelpaa Joulu Pukki, kyse ei varmasti ole aidosta sivusta.

Lisäys 16.10.2019 klo 17:30: Kalastelusivu on ilmeisesti huomattu, koska se on poistettu palvelimelta. 

1 kommentti:

  1. Minulle tuo Osuuspankin osoite ei menisi läpi, koska nettiosoitteissa ei yleensä käytetä isoa alkkirjainta.

    Oikea S-pankin sivusto ei edes kysy nimeä, vaan verkkopankin käyttäjätunnuksen ja salasanan, tai pelkän salasanan s-mobiililla kirjautuessa.

    VastaaPoista