2004-04-08

Verkkomaksut ja phish-hyökkäykset

Suomalaisten pankkien verkkokaupoille tarjoamissa verkkomaksupalveluissa kauppias lopulta linkittää pankin verkkopalveluun, jonne käyttäjä sitten syöttää tunnuksensa, salasanansa ja avainlukunsa. Tänä iltana tajusin, kuinka haavoittuvainen koko järjestelmä on phishingin kautta aloitettavalle man-in-the-middle -hyökkäykselle.

Ajattele seuraavaa skenaariota: Löydät kuvitteellisesta Erkin verkkokaupasta erinomaisen tarjouksen jostain tuotteesta. Erkki myy vain verkkomaksulla, joten toimitusosoitteen vahvistamisen jälkeen saat eteesi linkin kuvitteellisen Possupankin sivuille siirtymistä varten maksun vahvistamiseksi. Mutta mutta... Erkki onkin ilkeä ihminen ja Possupankin sijasta oletkin linkin klikkaamisen jälkeen yhä hänen sivustollaan. Sivusto kuitenkin näyttää nyt pankin sivustolta, joten syötät käyttäjätietosi ja avainlukusi. Välissä oleva Erkin palvelin peittää alleen sen asian, että tililtäsi veloitettiinkin kaksi kertaa niin paljon kuin luulit.

Tarinan opetus on, ettei tuntemattomasta verkkokaupasta kannata tilata tavaroita muuten kuin postiennakolla. Tietysti mikäli luotat täydellisesti selaimesi toimintaan ja taitoihisi, voit syynätä osoiterivin. Mutta vaikka käyttäisitkin paremman luokan selainta, haluatko ottaa pientäkään riskiä raha-asioissa?