Mitä tietoja kannattaa luovuttaa verkkokaupalle? Kannattaako laskut maksaa kännykällä vai tietokoneella?
Kannattaako tietoturvan kannalta antaa eri verkkokauppojen tallentaa omat maksutiedot tulevaa asiointia varten?
– Tässä on olemassa riski siitä, että kortin tiedot joutuvat vääriin käsiin, jos kauppiaan järjestelmään kohdistuu tietomurto. Riskin suuruuden arvioiminen on yksittäiselle asiakkaalle käytännössä mahdotonta. Maksutietojen tallentaminen ei siten ole suositeltavaa. Jos korttitietoja kuitenkin tallentaa, käyttäjän kannattaa asettaa korttinsa käyttörajat maltillisiksi. Turvarajalla tarkoitetaan vuorokausikohtaisia maksurajoja kortin käytölle. Näin vahingot eivät nouse kovin korkeiksi, jos tiedot joutuisivat palveluntarjoajan kautta vääriin käsiin.
Onko sillä merkitystä, jos maksaa verkkopankissa laskuja tai verkkokaupassa ostoksia ja samaan aikaan pitää auki samalla selaimella sähköpostia, sosiaalisen median sivustoja tai muita nettisivuja?
– Teoriassa turvallisin tapa on pitää vain verkkopankin sivu auki ja sulkea muut sivut. Vaikka selaimet eristävät sivustot toisistaan, on kuitenkin mahdollista, että sopivan haavoittuvuuden kautta voitaisiin sivulta x vaikuttaa sivuun y, jos sivustot ovat yhtä aikaa auki. Käytännössä hyökkäyksiä, joissa näin olisi onnistuttu tätä hyödyntämään, ei ole verkkopankkeihin kohdistuen juuri näkynyt.
Kannattaako verkkokaupoissa asioinnissa suosia tietokonetta vai kännykkää? Entä laskujen maksamisessa?
– Sillä ei ole hirveästi eroa, käyttääkö tietokonetta vai kännykkää. Pankkisovelluksissa mahdollisten teknisten hyökkäysten todennäköisyys, eli että hyökkääjä on ottanut päätelaitteen haltuun, on tällä hetkellä hieman suurempi tietokoneella kuin matkapuhelimella. Tärkeintä on pitää käyttämänsä laite päivitettynä ja etenkin Windows-järjestelmien osalta virussuojaus ajan tasalla.
Miksi on tärkeää sulkea selain ja tyhjentää sivuhistoria asioituaan verkkopankissa? Pitäisikö samoin toimia verkkokauppa-asioinnin jälkeen?
– Selaimen sulkemisen ja sivuhistorian tyhjentämisen merkitys korostuu etenkin, jos käyttää jaettua konetta tai työasemaa, kuten kirjastopäätettä. Jos sivua ei sulje, voi pahimmillaan istunto verkkopankkiin tai kauppaan jäädä auki. Selaimen välimuistiin voi myös jäädä muita tietoja, joita pahantahtoinen taho voi käyttää hyödykseen. Yleisesti on suositeltavaa, ettei pankkiasiointia tehtäisi etenkään jaetussa käytössä olevalta koneelta.
Jotkut verkkokaupat tarjoavat esimerkiksi kortin skannausta. Mitä tämä tarkoittaa ja onko se turvallista?
– Tällä tarkoitettaneen digitaalisen kuvan ottamista kortista ja kuvan välittämistä verkkokaupalle. Ongelmallista tässä on se, ettei asiakas voi varmistua siitä, että kuva välitetään ja säilytetään turvallisesti. Missään tapauksessa ei tule lähettää kuvaa kortin molemmista puolista. Kansainvälisten korttiyhtiön sääntöjen mukaan kauppiaat eivät saa tallentaa kortin kääntöpuolella olevaa turvalukua.
Kysymyksiin vastasi OP-ryhmän arjen talouden palveluista vastaava johtaja Masa Peura.
Mitä tarkoittaa verkkopalveluissa vahva tunnistautuminen?
– Vahvan tunnistautumisen periaatteena on, että käyttäjän identiteetti on todennettu tunnistautumisen yhteydessä. Vahvassa tunnistamisessa tulee käyttää sellaisia välineitä sekä menetelmiä, joiden avulla varmistutaan siitä, että kyseinen tili on oikean käyttäjän hallussa. Vahvaan tunnistamiseen vaaditaan vähintään kahta tunnistamistekijää eli esimerkiksi henkilön salasanaa, puhelimen mobiilisovellusta ja sormenjälkeä.
Miten voin verkkokaupassa asioidessani varmistua sen turvallisuudesta?
– Tietojenkalastelusivuston tunnistaa parhaiten selaimen osoiterivistä. Osoitteen kanssa tulee olla tarkkana. Huijaussivuston osoitteessa voi olla yksi kirjain kirjoitettuna eri tavalla – esimerkiksi google.com olisikin googie.com tai oikean sivuston fi-päätteen sijasta on käytetty valesivustolla com-päätettä.
– Huijaussivustoilla voidaan myös pyytää epätavallisen paljon tietoja. Verkkokauppojen osalta varmenteen läsnäolo on tärkeää, koska sessiossa siirtyy yleensä maksu- tai kirjautumistietoja. Varmenteen paikallaanolon havaitsee osoiteriviltä olevasta lukkosymbolista, mutta se ei itsessään kerro, onko sivusto turvallinen.
Miten mahdollisen huijaussivuston voi erottaa oikeasta?
– Huijausverkkokaupassa voi olla jatkuvasti alennusmyynti päällä tai alennus koskee kaupan kaikkia tuotteita. Yhteystietoja, kuten katuosoitetta tai asiakaspalvelun puhelinnumeroa, ei mainita missään. Tuotevalikoima voi olla hyvin laaja, leivästä ompelukoneisiin. Mikäli kauppa on kotimainen, sillä pitäisi olla myös kotimainen katuosoite.
– Tunnusten ja tietojen kalastelu koskettaa kaikkia verkossa liikkuvia ja palveluita käyttäviä henkilöitä. Kalastelua tehdään käytännössä lähes kaikkien palveluiden nimissä jatkuvasti, joten valveutuneisuus ja varovaisuus ovat aina tarpeen syötettäessä tietoja mihin tahansa palveluun.
Onko riskialtista käyttää verkkopankissa tai verkkokaupassa kirjaston tietokonetta tai hotellin wifi-yhteyttä?
– Mikäli asioi yleisellä tietokoneella, kuten esimerkiksi kirjastossa, on tärkeää tyhjentää selaimen tiedot asioinnin jälkeen ja sulkea selain. Avoimia langattomia verkkoja esimerkiksi hotelleissa voi olla helppo salakuunnella, ja erilaiset väliintulohyökkäykset paljastavat internet-selailun hyökkääjälle.
Kysymyksiin vastasi liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen tietoturva-asiantuntija Aino-Maria Väyrynen.