{"id":22225,"date":"2025-09-01T06:05:11","date_gmt":"2025-09-01T06:05:11","guid":{"rendered":"https:\/\/www.europesays.com\/fi\/22225\/"},"modified":"2025-09-01T06:05:11","modified_gmt":"2025-09-01T06:05:11","slug":"mobiilivarmenteessa-vakava-puute-huijaus-voi-onnistua-ilman-valesivua","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/fi\/22225\/","title":{"rendered":"Mobiilivarmenteessa vakava puute \u2013 huijaus voi onnistua ilman valesivua"},"content":{"rendered":"<p class=\"ai-optimize-6 ai-optimize-introduction\">Mobiilivarmenteen suosio on kasvanut r\u00e4j\u00e4hdysm\u00e4isesti viime aikoina. Mobiilivarmennetta on markkinoitu turvallisena tunnistautumistapana, sill\u00e4 siihen ei tarvita verkkopankkitunnuksia. Samalla t\u00e4m\u00e4n on uskottu olevan tehokas suoja lis\u00e4\u00e4ntyvi\u00e4 verkkohuijauksia vastaan, joissa on pyritty kalastelemaan ihmisten pankkitunnuksia.<\/p>\n<p class=\"ai-optimize-7\">T\u00e4st\u00e4 huolimatta tunnistautumistapa ei ole t\u00e4ysin ongelmaton. Asian nostaa esille tietoturva-asiantuntija ja tietokirjailija <strong>Petteri J\u00e4rvinen<\/strong> <a href=\"https:\/\/pjarvinen.blogspot.com\/2025\/08\/mobiilivarmenne-ilman.html\" target=\"_blank\" rel=\"noopener nofollow\">blogissaan<\/a>. H\u00e4nen mukaansa teknisess\u00e4 mieless\u00e4 mobiilivarmenteessa on omat puutteensa ja sen k\u00e4ytett\u00e4vyyskin voisi olla parempi.<\/p>\n<p class=\"ai-optimize-6\">\u2013 Mobiilivarmenteen suurin ongelma on siin\u00e4, ettei k\u00e4ytt\u00e4j\u00e4 voi tiet\u00e4\u00e4, mihin tapahtumaan tunnistuspyynt\u00f6 liittyy. Nettipalvelu n\u00e4ytt\u00e4\u00e4 kyll\u00e4 tapahtumatunnisteen, mutta se ei n\u00e4y puhelimessa, J\u00e4rvinen huomauttaa.<\/p>\n<p class=\"ai-optimize-9\">J\u00e4rvinen erittelee yksityiskohtaisesti, miten ongelmat ilmenev\u00e4t. H\u00e4n ottaa esimerkiksi tunnistautumisen viranomaisten k\u00e4ytt\u00e4m\u00e4\u00e4n Suomi.fi-palveluun. Tunnistus palveluun mobiilivarmenteella alkaa puhelinnumeron kysymisell\u00e4.<\/p>\n<p class=\"ai-optimize-10\">\u2013 Kun palvelun tunnistuspyynt\u00f6 l\u00e4htee puhelimeen, SIM-kortille upotettu toiminta ottaa puhelimen haltuunsa ja kysyy mobiilivarmenteen PIN-koodia.<\/p>\n<p class=\"ai-optimize-11\">Samalla alkuper\u00e4inen palvelu n\u00e4ytt\u00e4\u00e4 nettisivulla tapahtumatunnisteen. Siin\u00e4 kerrotaan, ett\u00e4 tunnistautuminen palveluun on k\u00e4ynniss\u00e4. J\u00e4rvinen huomauttaa, ett\u00e4 k\u00e4ytt\u00e4j\u00e4n on kuitenkin mahdotonta tiet\u00e4\u00e4, mihin h\u00e4n on tunnistautumassa. Tapahtumatunniste ei kerro sit\u00e4.<\/p>\n<p class=\"ai-optimize-7\">\u2013 Nettisivulla tehdyn aloituksen ja puhelimella annetun koodin v\u00e4lill\u00e4 on vain ajallinen yhteys. Kriittisin vaihe, PIN-koodin sy\u00f6tt\u00f6 puhelimella, ei kerro mihin palveluun koodi liittyy. T\u00e4m\u00e4 on vakava puute, J\u00e4rvinen huomauttaa.<\/p>\n<p class=\"ai-optimize-13\">H\u00e4nen mukaansa tapahtumatunniste voisi nimens\u00e4 mukaisesti sitoa tapahtumat yhteen, mutta se pit\u00e4isi n\u00e4ytt\u00e4\u00e4 nettisivulla jo aloituksen yhteydess\u00e4 ja my\u00f6s puhelimessa, jotta k\u00e4ytt\u00e4j\u00e4 voisi verrata koodeja kesken\u00e4\u00e4n.<\/p>\n<p class=\"ai-optimize-14\">\u2013 T\u00e4llaisena j\u00e4rjestelm\u00e4 mahdollistaa helpon huijauksen. Jos uhri saadaan houkuteltua valesivulle ja kirjautumaan sielt\u00e4 mobiilivarmenteella, h\u00e4n tuleekin antaneeksi oikean PIN-koodinsa huijarin taustalla k\u00e4ytt\u00e4m\u00e4\u00e4n palveluun, J\u00e4rvinen huomauttaa-<\/p>\n<p class=\"ai-optimize-15\">J\u00e4rvisen mukaan varmenne on teknisesti turvallinen, mutta puolitiehen j\u00e4\u00e4neen toteutuksen vuoksi uhrin huijaaminen sill\u00e4 on helppoa.<\/p>\n<p class=\"ai-optimize-16\">\u2013 Etenkin, kun media ja viranomaiset ovat suositelleet sen k\u00e4ytt\u00f6\u00e4 juuri turvallisuuden vuoksi.<\/p>\n<p class=\"ai-optimize-17\">Julkisuudessa mobiilivarmenteeseen liittyv\u00e4t puutteet eiv\u00e4t ole olleet laajasti esill\u00e4. Kes\u00e4ll\u00e4 poliisi kertoi kuitenkin <a href=\"https:\/\/poliisi.fi\/-\/mobiilivarmenteita-kaytetaan-nyt-huijauksiin-varmenteella-pystyy-tarkastelemaan-henkilotietoja-ja-hakemaan-lainoja\" target=\"_blank\" rel=\"noopener nofollow\">tiedotteessaan<\/a>, ett\u00e4 ihmisi\u00e4 on huijattu mobiilivarmenteen avulla. Tiedotteen perusteella huijaustapa on yksinkertainen: rikollinen l\u00e4hett\u00e4\u00e4 uhrille ilmoituksen, ett\u00e4 varmenne on vanhentumassa ja pit\u00e4\u00e4 uusia kirjautumalla.<\/p>\n<p class=\"ai-optimize-18\">\u2013 Jos uhri saadaan aktivoimaan tunnistus pelk\u00e4n tekstiviestin tai s\u00e4hk\u00f6postin perusteella, edes valesivua ei tarvita.<\/p>\n<p>Tietoturvaa voi parantaa yksinkertaisella keinolla<\/p>\n<p class=\"ai-optimize-19\">Vaikka mobiilivarmenteen kehitys n\u00e4ytt\u00e4\u00e4 j\u00e4\u00e4neen puolitiehen, k\u00e4ytt\u00e4j\u00e4 pystyy parantamaan turvallisuuttaan helposti. J\u00e4rvisen mukaan turvallisuutta voi parantaa merkitt\u00e4v\u00e4sti ottamalla puhelimessa k\u00e4ytt\u00f6\u00f6n h\u00e4irinn\u00e4nestokoodin. Sen j\u00e4lkeen kirjautumisen aluksi puhelinnumeron ohella pit\u00e4\u00e4 sy\u00f6tt\u00e4\u00e4 erillinen lis\u00e4koodi. Tunnistuspyynt\u00f6 puhelimeen l\u00e4htee vasta, kun oikea koodi on sy\u00f6tetty. Sen j\u00e4lkeen puhelin ilmoittaa saapuvasta tunnistuspyynn\u00f6st\u00e4 ja silloin n\u00e4kyy my\u00f6s tapahtumatunniste.<\/p>\n<p class=\"ai-optimize-20\">Tunnistautuminen ei ole ongelmatonta edes h\u00e4irinn\u00e4nestokoodin kanssa. J\u00e4rvinen ihmettelee, miksi tunnistuspyynt\u00f6 tulee k\u00e4ytt\u00e4j\u00e4lle tunnistautumista tarjoavalta palvelulta (esimerkiksi \u201dTelia Tunnistus\u201d) eik\u00e4 silt\u00e4 palvelulta, johon h\u00e4n on kirjautumassa.<\/p>\n<p class=\"ai-optimize-21\">\u2013 Mobiilivarmenteen toteutus on kovin tekninen. N\u00e4yt\u00f6ll\u00e4 on numeroita ja outoja sanoja, mutta k\u00e4ytt\u00e4j\u00e4n kannalta t\u00e4rkein informaatio (palvelu nimi) puuttuu, tietoturva-asiantuntija huomauttaa.<\/p>\n<p class=\"ai-optimize-22\">J\u00e4rvisen mukaan Suomi oli joskus s\u00e4hk\u00f6isen asioinnin pioneeri, mutta ei ole en\u00e4\u00e4.<\/p>\n<p class=\"ai-optimize-23\">\u2013 Kuvaavaa onkin, ett\u00e4 DNA ja Elisa ilmoittivat \u00e4skett\u00e4in sovelluspohjaisen mobiilivarmenteen kehityksen viiv\u00e4stymisest\u00e4. On ep\u00e4varmaa, jatketaanko kehityst\u00e4 en\u00e4\u00e4 lainkaan.<\/p>\n<p class=\"ai-optimize-24\">J\u00e4rvinen kertoo saaneensa bloginsa julkaisun j\u00e4lkeen palautetta, ett\u00e4 mobiilivarmenne toimii osalla k\u00e4ytt\u00e4jist\u00e4 eri tavalla. Osalla mobiilivarmenne n\u00e4ytt\u00e4\u00e4 tapahtumatunnisteen, vaikka h\u00e4iri\u00f6nestokoodia ei olisi asetettu.<\/p>\n<p class=\"ai-optimize-9\">\u2013 Olisiko niin, ett\u00e4 uudemmat mobiilivarmenteet ovat t\u00e4ss\u00e4 suhteessa parempia? Omani ovat vanhoja, koska hankin ne kauan sitten. Joka tapauksessa h\u00e4irinn\u00e4nestokoodi kannattaa asettaa sen tuomasta lis\u00e4vaivasta huolimatta, sill\u00e4 on varmaa, ett\u00e4 huijarit oppivat uusia kikkoja my\u00f6s varmennek\u00e4ytt\u00e4jien huijaamiseen, J\u00e4rvinen sanoo.<\/p>\n<p>Poimintoja videosis\u00e4ll\u00f6ist\u00e4mme<\/p>\n","protected":false},"excerpt":{"rendered":"Mobiilivarmenteen suosio on kasvanut r\u00e4j\u00e4hdysm\u00e4isesti viime aikoina. Mobiilivarmennetta on markkinoitu turvallisena tunnistautumistapana, sill\u00e4 siihen ei tarvita verkkopankkitunnuksia. Samalla&hellip;\n","protected":false},"author":2,"featured_media":22226,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[85],"tags":[33,31,30,3629,419,418,32,91,92,735],"class_list":{"0":"post-22225","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-mobiili","8":"tag-fi","9":"tag-finland","10":"tag-finnish","11":"tag-huijaus","12":"tag-mobiili","13":"tag-mobile","14":"tag-suomi","15":"tag-technology","16":"tag-teknologia","17":"tag-tietoturva"},"share_on_mastodon":{"url":"","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/fi\/wp-json\/wp\/v2\/posts\/22225","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/fi\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/fi\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/fi\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/fi\/wp-json\/wp\/v2\/comments?post=22225"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/fi\/wp-json\/wp\/v2\/posts\/22225\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/fi\/wp-json\/wp\/v2\/media\/22226"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/fi\/wp-json\/wp\/v2\/media?parent=22225"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/fi\/wp-json\/wp\/v2\/categories?post=22225"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/fi\/wp-json\/wp\/v2\/tags?post=22225"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}