Verkkopankkihyökkäykset ja niiden torjunta henkilöasiakkaan näkökulmasta

Abstract

Opinnäytetyön tavoitteena oli tutkia henkilöasiakkaan verkkopankkiin kohdistuvia hyökkäyksiä Microsoft Windows -käyttöjärjestelmän pöytätietokoneissa ja kannettavissa tietokoneissa, koska huijaamiset kohdistuvat eniten Microsoft Windows -käyttöjärjestelmään. Tavoitteena oli myös koota tietoturvaohjeistus henkilöasiakkaille.

Kiinnostus opinnäytetyön aiheeseen syntyi siitä, että opinnäytetyön kirjoittaja on työntekijänä eräässä pankin yksikössä, jossa yhtenä toimintona on nykyään verkkopankkiin kohdistuvat hyökkäykset. Työ ei ollut pankin toimeksianto johtuen pankkisalaisuudesta. Aihe on myös ajankohtainen henkilöasiakkaille.

Tutkimusongelmana oli selvittää, missä tapauksissa pankit korvaavat verkkopankkihyökkäyksistä aiheutuneita henkilöasiakkaan rahallisia menetyksiä ja milloin ei maksupalvelulain mukaan. Tavoitteena oli myös kartoittaa, millaisia verkkopankkiin kohdistuvia hyökkäyksiä on ja miten ne toimivat. Lisäksi tavoitteena oli kartoittaa, miten SSL-salaus ja käyttäjän todentamismenetelmät toimivat sekä miten hyökkäyksiä voi torjua.

Syksyn 2013 ja kevään 2014 aikana yksilötyönä toteutetun työn tutkimusmenetelmä oli kvalitatiivinen kirjallisuuskatsaus. Lähdeaineistoina käytettiin alan kirjallisuutta, lehtiar-tikkeleita, eri instituutioiden Internet-sivustoja ja muutamaa muuta Internet-lähdettä alan kirjallisuuden vähyyden vuoksi.

Teoriataustassa käydään läpi verkkopankkiasioinnin kehitystä 2000-luvulla, maksupalvelulain tuomia lisävastuumuutoksia henkilöasiakkaan huolellisuusvelvoitteeseen maksuvälineisiin kuuluvien pankkitunnusten säilyttämisessä ja pankkien korvausvastuuta henkilöasiakkaille väärinkäytöstapauksissa. Lisäksi työssä selvitetään tietoverkkorikollisten toiminta- ja huijaamistapoja sekä SSL-salausta että käyttäjän todentamismenetelmiä. Tietoturvaohjeistuksessa käydään läpi maksun lisävahvistusta, palomuuria, virustentorjuntaohjelmistoja ja ohjeistuksia.

Tutkimustulosten johtopäätöksessä todetaan, että tietoturvasta huolehtiminen on tärkeää. Tietoja varastavat ohjelmat ovat kehittyneitä, eivätkä virustentorjuntaohjelmat anna sataprosenttista suojaa.

The aim of the thesis was to examine private customers’ online banking attacks in the Microsoft Windows operating system in desktop and laptop computers, because frauds are targeted mostly against Microsoft Windows operating system. The aim was also to gather security guidelines for private customers.

The interest in the topic of the thesis arose when the author of the thesis works as an employee in one bank unit, where one function is online banking attacks nowadays. The thesis was not commissioned by the bank mandate due to bank secrecy. The issue is also topical for private customers.

The research problem was to find out in which cases banks pay for financial losses caused by online banking attacks and when not according to the Payment Services act. The aim was also to survey what kind of private customers’ online banking attacks there are, and how they work. In addition, the aim was to survey how an SSL encryption and user authentication method works as well as how attacks can be prevented.

The research method was a qualitative review of the literature and the study was conducted during autumn 2013 and spring 2014. The source material consisted of relevant literature, journal articles, various institutions’ Internet pages and a few other Internet sources because of the lack of literature. The theoretical background discusses the online banking trend in the 2000s, additional responsibilities brought by the Payment Services Act for private customers’ duty to take care of netbank access codes and banks’ liability for private customers in misuse cases. In addition, the thesis deals with cyber criminals’ method and swindles as well as SLL encryption and user authentication methods. In the instructions for security guidelines additional payment confirmation, firewalls, anti-virus software and guidelines are examined.

As a conclusion it can be stated that taking care of information security is important. Data-stealing programs are advanced and anti-virus software does not provide hundred percent protection.