[Tanel]

link :: Postimees

Jõuline rünnak hanza.neti klientide vastu sundis Eesti panku kokku leppima uutes karmides turvameetmetes, mis sunnivad kümnetele tuhandetele netipankade kasutajatele peale ID-kaardi. Neli nädalat pärast massiivset rünnakut Hansapanga netiklientide vastu teatasid kõik pangad eile ühiselt, et maikuust alates ei saa koodikaartide kasutajad enam internetipangas liigutada päevas rohkem raha kui 5000 krooni. Seni oli ülempiir 10 000 krooni. Pangaliidu tegevjuht Katrin Talihärm märkis, et netipankade päevalimiiti otsustasid pangad vähendada turvalisuse pärast.

Turvakaalutlused

«Neid panku, kus on suuremad limiidid, rünnatakse agressiivsemalt,» ütles Talihärm. «Põhjus on lihtne: kui kurjategijal õnnestub niisuguses pangas kontole ligi pääseda, siis on võimalik kasu suurem. Limiite vähendame selleks, et muuta netipank kurjategijatele vähem atraktiivseks.» Talihärmi sõnul muutub netikuritegevus üha professionaalsemaks. Kurjategijad eelistavad keskenduda ühele pangale, nagu jaanuaris juhtus Hansapangaga. Samas kinnitas Talihärm, et äsjane pankade otsus pole otseselt põhjustatud Hansapanga juhtumist.

Päevalimiiti vähendasid pangad juba mullu mais. Siis seadsid nad ülempiiriks 10 000 krooni. Talihärmi sõnu hakkasid netipankade kliendid seepeale massiliselt ID-kaarte kasutama. Talihärm kinnitas, et pangad tahavad koodikaartide kasutamise lõpetada, aga lõplikku otsust tehtud ei ole.

Hansapanga IT-eriprojektide juht Tiit Pekk arvas, et selle aasta mais jõustuv 5000-kroonine päevalimiit mõjutab kümnete tuhandete Hansapanga klientide elu. Hansapangal on 780 000 netiklienti, neist 700 000 kasutab Peki hinnangul koodikaarte. Pekk märkis, et emapanga Swedbanki kliendid Rootsis lähevad netipanka enamasti PIN-kalkulaatori abil. See on seade, mis genereerib aina uusi turvakoode paralleelselt panga turvasüsteemidega. Koodikaartide probleem ongi selles, et kurjategijad kopeerivad nuhktarkvara abil koodid ja kuritarvitavad neid.

Hansapanga juhtum

Pekk lisas, et pangad ei aja taga omakasu ID-kaarte peale sundides. Vastupidi, universaalse ID-allkirja massiline kasutamine võiks kasu tuua kogu riigi majandusele, kinnitas ta. «Pangad tahavad jõulise sammuga näidata, et ohud on olemas ja inimesed, kel väheke suurem risk, peaksid muutma oma käitumist,» lausus Pekk.

Postimees kirjutas jaanuaris, et senitundmatu viirus Limbo aitas tühjendada ligi 600 Hansapanga netipanga kliendi arved. Pank eitas toona seda, väites, et troojalasena tuntud nuhktarkvara abil tegid kurjategijad kahju vaid kümnele kliendile. Eile soostus Hansapanga pressiesindaja Kristi Künnapas tunnistama, et kokku teadis pank ligi 600 troojalasega nakatunud kliendi arvutist, millest oleks võinud kontosid tühjendada. Kuidas Hansapank teadis, et inimeste arvutis on troojalane, ilma et kontode kallal oleks käidud, Künnapas ei täpsustanud.

Postimehe andmeil on sellekohase kriminaaluurimise toimikus seitse kannatanut, kelle arvelt troojalase abil raha varastati.
Lisaks teatas Hansapank, et ka koodikaartidest turvalisemaks peetud ID-kaardi abil pangatehinguid tegevad inimesed peavad hakkama oma tehinguid digiallkirjastama.

Netipank

• Pankadel on 1,5 miljonit netipanga klienti.

• Netipanka saab koodikaartide, ID-kaardi, mobiil-ID või PIN-kalkulaatori abil.

• Koodikaardid on kõige vargasõbralikumad.

• ID-kaardi kiipi pole häkkerid väidetavalt valmis murdma.

• ID-kaardi lugeja maksab ligi 100 krooni, ID-kaart 150 krooni.

Allikas: pangaliit, kodakondsus- ja migratsiooniamet

[ranel]

küsimus, kus id-kaardi koodile reseti saab teha

[Tanel]

PIN koodi enam ei mäleta?
Kui sul ilmselt PIN ja PUK koodidega paberit enam alles pole, siis ei jää muud üle kui toimida nende juhiste järgi:
http://www.pass.ee/index.php/pass/est/kui_sul_on_id_kaart/kui_koodid_kaovad

[386]

Needsamad pangad aitavad. Minule pakkus oma abi igatahes SEB.

[ranel]

[Clone^]

Mis kasu on 5000 kroonisest päevalimiidist kui netipangast on võimalik vaadata kliendi krediitkaardi andmeid ja nende abil uusi pettusi korda saata?

[degrass]

Kogu probleem seisneb selles, et koodikaardi ~36 erinevat koodi ei muutu ja pahalane saab hõlpsasti teatud aja jooksul enamus neist teada. Kuid sama on ka ID kaardiga. Mis juhtub siis, kui tädi Maali unustab oma ID kaardi mõneks ajaks lugejasse? 2 koodi on oluliselt lihtsam välja nuhkida, kui 36-te? Seega, kui suur on võimalus, et pahalane juhust kasutab ja ligipääsu pangakontole tekitab?
Saksamaal (Sparkasse) on näiteks ühekordne list numbritest ehk "Transaktions Nummern", mille pank sulle uue saadab, kui oled enamuse oma ~76 numbrist ära kasutanud. Mulle tundub selline lahendus oluliselt turvalisem, kui püsiv koodikaart või ID kaart. Väljaarvatud see, et nad saadavad sulle selle TAN nimekirja postiga koju

[Tanel]

Yeah, ühekordsed koodid

Pilt siis Sampo panga poolt antavatest koodidest.

[lehm2]

Ma ei mõista kuidas see ID kaart siis turvalisem on?

[Tanel]

ID-kaardiga autentimisel on vaja füüsilist kiipi, ID-kaarti aga kopeerida ei saa.
Kelmidel pole ilma ID-kaardita midagi peale hakata ja ka vastupidi, kelmid ei saa midagi teha ilma PIN koodideta.

[rex]

[Sults]

[connor]

Teisest küljest ka ühekordseid koode on vaja reaalselt omada et sisse logida kuna pealtkuulamine ei anna midagi. Lisaks on koheselt näha kui keegi on kontol käinud kuna sinu ja panga koodid on sünkroonist väljas. ID kaardi korral ei ole see nähtav.

Fakt on et kui ühekordsed koodid viia kasutajani turvaliselt on see sama turvaline kui ID kaart - mõlema häkkimiseks on vaja füüsilist juuresolekut. Ühekordsete koodide kergema kopeerimise aga tasakaalustab see et see on koheselt avastatav kui pahalane korragi kasutanud seda on.

[Tanel]

Sults, sina kordad ja siis kordan siis mina ka.
Seda igal pool räägitaksegi ju, et peab oma arvutit turvama (antiviirus, tulemüür) ja ei tohi kahtlastel saitidel käia jne.
Sellist pahavara pole veel olemas (ärme süsti inimestesse asjatut paanikat) ja selle võimalik eduka kasutamise tõenäosus tulevikus võib kõikide asjade kokkulangemisel (loll arvutikasutaja ja täiesti turvamata arvuti) olla sama tõenäoline kui komeedi langemine Oleviste kirikule.
Ja kui tõesti oma arvutit ei usalda, võiks siis teha investeeringu ja osta 700 EEK maksev PIN pad
http://www.trenet.ee/ID/?content=12

[connor]

Btw selline pinpad istub masina küljes hetkel ja pin'e ta enam ei loe (ehk IE'ga kasutada ei saa). Klaveriga koodi pannes (ehk FF kasutades) siiski töötab aga sama töö teeb ära ka 90 EEK lugeja....

[Sults]

[ojapoiss]

[Sults]

[SKG]

äkki peaks tegema Turvafoorumi alla iseseisva teema: "Eesti ID-kaardi turvalisus" (kui seda seal juba pole)

tundub päris huvitav olema...

[rex]

[sirius4k]

Minu poolest oleks võinud need koodikaardid juba ammu ära kaotada

Kasutan ID kaarti väga aktiivselt ja igasugused iganenud plast- ja paberlipakad, mis idee poolest võivad veel vajalikud olla, võtavad rahakotis ainult ruumi Ma ei mäletagi, millal viimati koodikaarti kasutasin

[SKG]

[Tanel]

Mõttetu teema ju seal, ID-kaardi turvalisusega pole seal midagi pistmist.

[RCC]

ei saa aru kuidas see koodikaart ansekjuur on, vedeleb teine siin naasama laual, kui oskaja tüüp on, käkib ta ära ka selle (low)id kaardi. turvalisus sõltub ikka sellest kes,kus ja kuidas asjadega ümber käib. olgu seal ajalehepaber või mida iganes

[Tanel]