ja kiva kun nuo mopiilivarmenteet on jopa helppoja hakkeroita.. nooo, kyselköö rauhassa..
Että ovat helppoja hakkeroida ? Oletko koskaan käyttänyt mobiilivarmennetta ? Ensinnäkin kirjaat itse käsin sen ruokaviraston sivun, et hae sitä googlella etkä klikkaa tekstiviestissä linkkiä: kirjoitat osoiteriville itse "ruokavirasto.fi" ja kuittaat. Siis: Eli PC-tietokoneessa ja vipuappissa (ei tarvita kohtaa 1) aika samalla tavalla:
1. kirjoitat "ruokavirasto.fi" itse, ja oikein.
2. hakeudut asiointi-kohtaan oikeassa yläreunassa.
3. valitse vipu-verkkoasiointi.
4. painat "kirjaudu palveluun"-nappia. Tulee hetkeksi Suomi.fi , odottelet siinä ja sitten tulee se sivu, josta valitaan mobiilivarmenne:
5. Painat siitä, ja tulee uusi sivu, jossa kysytään
puhelinnumeroa.Tässä välissä pitää korjata Oxan harhaluulo puhelinnumeron hakkeroinnista ja whatnot. Mobiilivarmenne ei ole puhelinnumero. Mobiilivarmenne
ei ole sidottu puhelinnumeroon tekstiviestin tavoin, vaan se on fyysinen kryptografinen siruohjelma, joka on poltettu SIM-korttisi eli sen lutikan sisään. Vaikka "hakkeri" onnistuisi "huijaamaan" puhelinnumerosi (ns. SIM Swap), mobiilivarmenne ei siirry uuteen korttiin automaattisesti, koska uusi mobiilivarmenne on aina aktivoitava erikseen vahvalla tunnistautumisella (pankkitunnuksilla tai passilla).Eli tekstiviestihuijaus on täysin eri asia.
Sitten jatketaan, kun kirjataan se oma puhelinnumero siihen ja painetaan "jatka" :
6. Istunnon lukitus alkaa: Suomi.fi-palvelu luo yksilöllisen tunnistustapahtuman, joka on sidottu juuri siihen selainistuntoon, jota käytät tietokoneellasi. Jos olet oikealla sivustolla, yhteys on nyt salattu kuin pankissa, eikä siihen pääse väliin hakkeri enää.
7. Operaattorin haku : Järjestelmä tarkistaa numeron perusteella, minkä operaattorin (Elisa, Telia tai DNA) verkossa kyseinen mobiilivarmenne sijaitsee.
8 ns. "haasteen" lähetys: Suomi.fi lähettää operaattorin kautta suojatun "haastepyynnön" suoraan sille SIM-kortille, johon varmenne on teknisesti kytketty. Toistanv ieläkin, että jos olet mennyt Vipuun oikeaa kautta, tähän ei mikään hakkeri pääse väliin.
9. Tarkistusluvun luonti: Tietokoneen näytölle ilmestyy nelinumeroinen tarkistuskoodi (esim. 6666), joka on tarkoitettu vertailtavaksi puhelimeen myöhemmin pomppaavaan näyttöön.
10. puhelimen herätys: Puhelimen näyttöön (lukituksenkin ohi) pomppaa ilmoitus, joka kertoo, kuka tunnistautumista pyytää (esim. "Suomi.fi") ja mikä on tapahtuman tarkistuskoodi. (sen pitää olla tuo sama 6666)
11 Vahvistus ja vertailu: Käyttäjä vertaa, että puhelimessa ja tietokoneella on sama luku. Jos luvut täsmäävät, painetaan "Hyväksy" tai "OK". Sen verran Oxalta tuossa vaaditaan, että ymmärtää numeroita.
12. PIN-koodin syöttö: Puhelin pyytää käyttäjän itse käyttöönoton yhteydessä asettamaa
mobiilivarmenteen PIN-koodia (yleensä 4–8 numeroa). Siru laskee koodin avulla matemaattisen vastauksen, joka lähetetään takaisin operaattorille. Tässä vaiheessa se laskettu luku jollakin kopiokortilla olisikin VÄÄRÄ ! Tässä se tunnistus perustuu siihen, että Oxalla
on jotakin (eli se SIM) ja että Oxa
tietää jotakin (vaikka sitä on joskus vaikea uskoa) , nimittäin sen oman mobiilivarmenteen salasanatunnuksensa
13 Kun operaattori vahvistaa vastauksen oikeaksi, Suomi.fi-palvelu saa tiedon onnistuneesta tunnistautumisesta ja selain ohjaa sinut sisään Vipu-palveluun.
Petteri Järvinen oli Verkkouutisten klikkiuutisessa täpinöissään, että on helppoa kaapata mobiilivarmenne. No, nimenomaan jos Oxa ei ole vielä asentanut mobiilivarmennettaan, huijarit huijaavat hyväuskoisen ja hieman hitaan Oxan käyttämään pankkitunnuksiaan, millä sitten huijarit aktivoivat Oxan nimelle mobiilivarmenteen, omaan puhelimeensa. Tämä kuitenkaan ei ole "mobiilivarmenteen kaappaaminen" vaan tosiasiallinen pankkitunnusten kaappaaminen !!!!!
Eli Oxan kannattaa mennä kipin kapin puhelinfirmaan ja henkilökohtaisesti passillaan aktivoida simmiinsä mobiilivarmenne, ei sitä silloin kukaan kaappaa. Ja jos sitten Oxa saisi hyvin epätodennäköisesti puhelimeensa mobiilivarmennepyynnön ja tarkistusluvun, vaikka hän ei ole itse parhaillaan kirjautumassa mihinkään, niin aina hylkää tai antaa sen haasteen vanhentua. Menee muutaman kymmenen sekunnin päästä kiinni itsekseen.
Älä Oxa ihan kaikkea klikkiotsikoita usko, voit vaikka opetella olemaan vähemmän hidas.
-SS-
