Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Tietoturva Nyt!

SIM-kortin vaihtaminen puhelimesta toiseen on helppoa ja mutkatonta. Valitettavasti myös rikolliset osaavat hyödyntää tätä ominaisuutta.

SIM-kortin siirrettävyysominaisuudesta on apua, kun puhelin katoaa tai varastetaan tai kun on aika ottaa käyttöön uusi puhelin. Tätäkin ominaisuutta on kuitenkin mahdollista käyttää väärin. Kuten monissa muissakin huijauksissa, rikolliset pyrkivät anastamaan tunnuksia sekä hyötymään rahallisesti.

Huijaus alkaa yleensä tietojenkalasteluviestillä, joka voi tulla minkä tahansa sovelluksen tai viestintäkanavan välityksellä. Tavoitteena on saada haltuun uhrin henkilötietoja. Hyökkääjä on voinut saada tarvitsemansa henkilötiedot myös ostamalla ne pimeiltä markkinoilta ja sinne päätyneet tiedot ovat voineet vuotaa jonkin aiemman tietomurron yhteydessä. Henkilötietojen avulla rikollisen on mahdollista pyytää operaattorilta liittymän siirtämistä toiselle SIM-kortille. Rikollinen voi esimerkiksi esiintyä uhrina ja näin saada teleoperaattorin siirtämään puhelinliittymän rikollisen SIM-kortille.

Kun rikollisella on käytössään uhrin matkapuhelinliittymä, liittymään saapuvat viestit ja puhelut tulevat rikollisen matkapuhelimeen. Tämä mahdollistaa esimerkiksi kaksivaiheisten tunnistautumisten hyväksymisen tai salasanojen vaihtamisen, kun vahvistusviestit ja puhelut tulevat suoraan rikolliselle. Tunnuksille pääsyn lisäksi rikollinen voi ottaa esimeriksi pikavippejä uhrin nimissä tai tehdä ostoksia verkossa, jolloin uhrille voi koitua myös mittavia taloudellisia vahinkoja.

eSIMin käyttöönotto

Elektroninen SIM eli eSIM on oiva tapa suojata oma puhelinliittymä SIM-korttihuijaukselta, sillä eSIM ei ole fyysinen kortti vaan se rekisteröidään suoraan laitteelle. Siihen on mahdollista yhdistää esimerkiksi biometrinen tunnistautuminen, mikä parantaa sen tietoturvaa. Kun käytössä on eSIM, huijari ei voi myöskään väittää teleoperaattorille SIM-kortin hukkuneen tai vioittuneen.

Elektroninen SIM kuitenkin tarjoaa myös uuden hyökkäysvektorin rikollisille. Verkkorikollisen on mahdollista aktivoida uhrin puhelinliittymä omaan laitteeseensa rekisteröimällä liittymä eSIM:iin, joka on rikollisen hallinnoimalla laitteella. Aktivoidakseen eSIM:in, on käyttäjän tilattava sähköpostiinsa QR-koodi, joka luetaan laitteella, johon liittymä halutaan aktivoida. Mikäli rikollisella on tiedossa uhrin puhelinnumero sekä pääsy uhrin sähköpostiin tai tarvittavaan QR-koodiin, on hänen mahdollista kaapata liittymä itselleen.

Miten huijaukselta voi välttyä?

  • Huijaukselta voi välttyä toimimalla verkossa varovasti. Vältä henkilötietojesi luovuttamista. Suurin osa yleisessä käytössä olevista sovelluksista ja palveluista ei pyydä pankkitunnuksia tai henkilötunnusta. Näihin pyyntöihin on aina syytä suhtautua varauksella.
  • Varo tietojenkalastelusähköposteja ja muista aina tarkastella linkeistä avautuvien sivustojen osoitteita. Tarkkaile huijauksesta varoittavia merkkejä, kuten kirjoitusvirheitä.
  • Vältä käyttäjätilien yhdistämistä puhelinnumeroon.
  • Jos teleoperaattori tarjoaa mahdollisuutta ottaa liittymään käyttöön omia salasanoja tai PIN-koodeja, kun liittymään tehdään muutoksia, on näiden käyttö suositeltavaa.
  • Kaksivaiheinen tunnistautuminen on kätevä työkalu tilien suojaamiseen. Tosin kaksivaiheisen tunnistautumisen sitominen puhelinliittymään voi koitua tässä huijauksessa rikollisen hyödyksi. Muun muassa biometriset tunnisteet kuten sormenjälki tai kasvojentunnistus ovat valideja tunnistautumistapoja.

Näistä merkeistä voit tunnistaa SIM-korttihuijauksen

  • Saat ilmoituksia liittymääsi koskevista palvelumuutoksista, joita et ole itse tehnyt.
  • Saat ilmoituksia eSIM:n käyttöönotosta tai aktivointiin tarkoitetun QR-koodin, vaikka et ole tilannut sitä.
  • Puhelinliittymä ei yhtäkkiä toimikaan omassa puhelimessa, eli et voi esimerkiksi soittaa ja vastaanottaa puheluita tai viestejä.
  • Et pääse laitteeltasi sosiaalisen median tileillesi tai verkkopankkiin.
  • Sosiaalisen median tileilläsi on tehty muutoksia tai joku muu on julkaissut sisältöä tililtäsi. 

Toimi näin, jos olet joutunut huijauksen uhriksi

  • Ole yhteydessä teleoperaattoriisi.
  • Ole yhteydessä pankkiisi.
  • Tee asiasta rikosilmoitus poliisille.
  • Pyri saamaan tilisi takaisin haltuusi ja vaihda salasanat.

Lue myös A-numeron väärentämisestä, joka helposti sekoittuu tähän huijaustapaan. (Ulkoinen linkki)