Tehnika/IT-sektori kurilka

Smart-ID kontot kasutades ju üldjuhul ei saa uut SmartId kontot tekitada. ID kaarti peab kasutama.
Konto registreerimine teise nutiseadme abil
Ma eeldaks ID kaarti kasutav inimene suudab aru saada, et ta tegeleb uue SmartID konto tekitamisega. Muidu peab ikka väga “mustade jõudude mõju all olema”

Pangapettused ei saanud Eestis alguse siis, kui 2017 smartid launch oli, ja ei lõpe siis, kui see “keelustada”. Lisaks oleks keelustamine otseselt eidasega vastuolus, kuna smartid alustehnoloogia on isikusamasuse tuvastamiseks võrdne nii id-kaardi kui mobiil-idga.

Kõige lihtsam lahendus on muidugi kõik lihtsalt ära keelata, palju põnevam ja keerulisem on välja mõelda lahendusi, mis töötaks.

Minu arust saab SMART-ID -ga tekitada teist SMART-ID kontot.
Samas, sobiva social engineeringuga saab panna inimest oma ID-kaardi abil uut kontot tekitama. See pole nüüd ka eriline takistus.
Kui see oleks takistus, siis ei oleks sedasi kümneid miljoneid eurosid suudetud ära varastada.

Kusjuures inimene ei pea uue SMART-ID konto tekitamise protsessis pööruma ei PPA poole, ei telekomide poole ja ei pea oma isiku tuvastamiseks kuhugi kohale ronima ja lisaks võtab see kõik väga vähe aega. JA kõik see on see mida saab nimetada SMART-ID puudusteks.
Ehk siis see sama minu mõned kommentaarid tagasi kirjeldatud uksevõtme panek mati alla on siin kohane paralleel.

Loe juhendit. Oletan see pangakontos SmartId konto tekitamine on tehtud isikutele, kes ei oma Id kaarti ja tahavad kasutada SmartID-d.
“Keskmisel eestlasel” pole selline uue konto tegemine võimalik
Kui inimene ID kaarti kasutades oma arvutis teeb võõrale isikule oma smartid konto, siis on tegu juba täiesti lootusetu juhtumiga. Sama hästi kannab ta ka pangakonto tühjaks ilma mingi jäntimiseta.

Uue smartid saab teha vana smartid’ga, kui su eelmine oli tehtud pangakontoris, mitte kodusel teel id kaardiga.
Nüüd küsimus, kes on see selline sihtgrupp? Loomulikult need tehnoloogiakauged inimesed, kes ise ei osanud endale smart-'id’d teha. Nad on ka kelmustele altimad võrku langema. Perfect storm.

Ometigi pole varem pangapettused olnud niivõrd laialt levinud.
SMART-ID “alustehnoloogia” kohta käiv väide võib ju teoreetiliselt nii olla, aga praktiliselt nii ei ole. Vastasel korral poleks sellist pettuste lainet.

Millal Smart-ID tuli? Launch 2017. Sellest on sisuliselt 10 aastat möödas, sest see tehnoloogia oli juba 2016 olemas. Siiamaani pole korda tehtud. Millal siis veel?

Või Eesti ID kaarti mitte omavad isikud. Kuidas sellist ainult leida? Iga ära tinistatud isiku puhul katsetamine annaks jube palju feile.
On meil avalikustatud juhtumites olnud kasvõi üks, kus reaalselt uus SmartID konto tehti?

Ühesõnaga, ma loen siit välja, et käimasolev pettuste ja varguste laine pole probleem? Võibolla tõesti. Okei. Ajakirjandus võiks selle teema nüüd maha võtta ja kõik rahast ilma jäänud inimesed on nende inimeste endi ja nende lähedaste probleem. Ja seda ainult. Long Live SMART-ID!

On meil avalikustatud juhtumites olnud kasvõi üks, kus reaalselt uus SmartID konto tehti?
Äkki otsid võtit lambi alt?

Raadiotes on selliseid asju kirjeldatud mitmeid kordi, kus kurjategija lasi endale teha uue SMART-ID konto, logis sellega nii isiku kui ka tema ettevõtte pangakontole sisse ja tõstis selle kõik rahast tühjaks ja mõnel juhul võttis hunniku laenusid ka peale.
Minu teada üks sarnane juhtum on toimunud ühe tuntud heliplaadimüüja-kaupmehe isikukontol ja firmakontol. Olid suured uudised meedias.

Selle juhtumi kohta on Radari saade. Vaatasin isegi, väga kapitaalne “social engineering”. Soovitan vaadata, kui varianti. SmartId tekitamist ei märganud.
Aga see ohver tinistati nii ära, et oleks teinud mida iganes. (Osales enda arvates politseioperatsioonis )

Võimalik, et kunagi oli SmartID abil konto kloonimine lihtsam. Nii täpselt pole jälginud. Praegune variant, kus selleks on vajalik ID kaart, on minu arvates piisav usability/turvalisuse kompromiss. Kui inimene allkirjastab IDkaardiga enda jaoks täiesti tundmatuid toiminguid, siis tema jaoks olukord juba täielikult hukas.

See on üks variant, et ei kasuta smart-ID-d.

Umbes 20 aastat tagasi keskendusid pangapettused pangakaartidele. Kaarte varastati, pin koode peteti välja, kaarte püüti kopeerida. Sularahaautomaatidele paigaldasid pätid erinevaid kopeerimisseadmeid ja kaameraid, et pin koodid kätte saada.
Sellest ajast on pärit praktika, mida siiamaani kasutan, et pangakaardiga seotud igapäevakontol liiga palju raha ei hoia. Suuremad summad on sellel kontol, kus mingit kaarti pole.

Nüüd tuleb mõtteviisi uuesti muuta. Kuna pätt saab smart ID abil kogu panga sisule ligi, siis võiks ohutuse mõttes läheneda nii, et igapäevakonto on ühes pangas, säästud teises ja investeeringud kolmandas. Ja lubad endale, et säästude ja investeeringute kontodele logid ainult kodusest arvutist ja ID kaardiga. Smart-ID-ga ainult seal kus summad väiksemad ja igapäevatehinguid teed.

Smart-ID kehtib vaikimisi igas pangas, aga kuna õnneks on enamasti lisaks isikukoodile ja paroolidele vaja sisse pääsemiseks ka kasutajanime teada, siis see õnneks natuke kaitseb.

Kõiki mune ei tundu lihtsalt enam liiga turvaline samas korvis hoida.

To: Draax
Ei tea kui kaugele on see tehnoloogia jõudnud, et paned oma ID-kaardi vastu mobiiltelefoni ja see paaritamine toimib nagu oleks mobiiltelefon varustatud ID-kaardi lugejaga?
Pangakaardi ja mobiiltelefoni paaritamine juba toimib. Vaja pangakaardi PIN-kood sisse toksida.
Sellel paaritamisel on aga omakorda omad turvanõrkused.

Pangakaardi-pettusi muidugi oli. Pangad võtsid selliste asjade vastu ka tõhusaid meetmeid, igatahes tol ajal polnud varguste laine selline massiivne, nagu see praegu SMART-ID -ga on. Pangakaardiga muidugi ei saanud internetipanka sisse logida. Selleks eraldi oli koodikaart jne, aga siiski polnud see midagi massilist.

Eks ole siis näha kas see SMART-ID+ (“id-pluss”) variant on turvalisem, ehk kas siis massilised vargused kaovad laualt ära.

SMART-ID teoreetiline osa oli igati OK. Aga seda osa luues ei arvestatud nõmedat inimlikku lollust, mis on levinud massides.

Pangapettused on alati olnud probleemiks, aga see pole kunagi nii päevakorda tõusnud, et arvutatakse kokku kümneid miljoneid eurosid ja tuhandeid ohvreid. Seega üksikisiku-nähtused on ümber kujunenud sotsiaalseks nähtuseks, kus enam üksikisikut süüdistada ei saa. Eriti veel sellisel kujul kus täiesti targad ja pädevad inimesed langevad kuritegevuse ohvriteks.

Omaette teema on muidugi tuntud kodanike juhtumid kus väliselt täiesti tark, pädev, sorava jutuga inimene annab 100000 eurot ühte “hoiu-laenuühistu” finantsskeemi ja siis väidetavalt teised 50000 eurot teise samasse või sarnasesse skeemi lisaks peale. Need on tõesti üksikisiku-juhtumid … Aga siin on ka see vaieldav, sest “hoiu-laenuühistute” kahjukannatajaid on tuhandeid ja ka summad kokkuvõttes väga suured. Ka see on kujunemas sotsiaalseks probleemiks. Samamoodi, nüüd pannakse need hoiu-laenuühistud kinni, ometigi oleks saanud kohe eos seadusandlust sedasi muuta, kus ei oleks saanud tekkida selliseid “hoiu-laenuühistuid” kus ühistu liikmed saaksid sõlmida lepinguid kus nad oma ühistulised õigused lihtsalt täielikult ära annavad ühistu juhatusele.

Minul algaks see algoritm juba sellest, et kui ta mulle helistab, kas mina saan teda autentida, et ta on politsei? Ei saa ju. Seega võib see olla mingi koer, kes mulle helistab. Miks ma peaks tema palvetele reageerima üldse?

Üks pettusejuhtum oli kunagi selline, kus “politsei” helistas ja palus inimesel ilmuda Rahumäe politseijaoskonda. Kuna ei tundunud kahtlane, siis inimene läkski kohale, kuid libapolitseinikud ootasid teda politseijaoskonna ukse ees ning tutvustasid end justkui politseiametnikena, ohver jäi uskuma. Käis kunagi Pealtnägijast läbi.

Just täpselt. Juba see, et ma üldse mingi võõra numbri vastu võtan, peab olema väikestviisi ime

Mul selle “ma ei võta kunagi võõraid numbreid vastu” peale tekib alati küsimus, et hea küll kui töö seda ei nõua, aga kuidas te kulleritega läbi saate? Mul pole veel peaaegu mitte ühtegi asja õnnestunud niimoodi koju tellida, et mingi tundmatu looma nahk ei helistaks ette.

Ah, eksin - üks kord üritati mingit pakki, mis tegelikult pidi automaati laekuma ja mida ma üldse ei oodanud, niimoodi koju tuua, et keegi kukkus lambist uksekella laskma kortermajas. Kuna meil käib seal igasuguseid, kes tihti kõiki kortereid läbi helistavad, ei viitsinud niimoodi ette teadmata reageerida. Pärast selguski, et olevat kuller olnud - tal polnud millegipärast mu telefoni.

Selle “ei vasta kokkuleppimata kõnedele” filosoofiaga käib kenasti kaasa mõte, et “ei anna suvajorssidele teada kus mu kodu on ja millal ma seal olen”. Tolle hind on muidugi vajadus ise kohati mõnel pakil kuskil poes järel käia, aga nt minu jaoks on asi seda väärt, sest jällegi- saan seda teha minule sobival ajal.