Aiempi tiedote koskien mobiilivarmenteen poistamista tunnistautumistavoista on päivitetty.

Viime viikkoina Suomessa on havaittu poikkeuksellisen paljon vahvaan tunnistautumiseen (pankkitunnukset ja mobiilivarmenne) kohdistuvia tietojen kalasteluyrityksiä. Kyse on rikollisesta toiminnasta, joka kohdistuu käyttäjien henkilökohtaisiin tunnistautumistietoihin. Tätä on käsitelty laajasti myös Kyberturvallisuuskeskuksen tiedotteissa ja valtakunnallisissa medioissa.

Netvisorin tietoturva ei ole vaarantunut.

Olemme kuitenkin havainneet mobiilivarmenteeseen kohdistuneita väärinkäytöksiä. Yksikin väärinkäytös on meille liikaa, ja siksi olemme poistaneet mobiilivarmenteen kirjauduttaessa Netvisoriin sekä maksujen vahvistamisessa toistaiseksi käytöstä.

Tämä koskee:

• Netvisor-mobiilisovellusta
• Netvisorin kirjautumissivua
• Netvisorin sisäisiä vahvistusvaiheita
  
  

Päätös on tehty asiakkaiden suojaamiseksi ja mahdollisten vahinkojen ennaltaehkäisemiseksi. Tilannekuva on muuttunut nopeasti ja hyödynnetyt hyökkäysmenetelmät ovat kehittyneet. Mobiilivarmenne on ollut aiemmin turvallinen kirjautumistapa, mutta uusien hyökkäysvektorien vuoksi emme voi toistaiseksi pitää sitä käytössä.

Toimimme vastuullisesti ja olemme asiakkaiden puolella.

Teemme Netvisorissa jatkuvaa, pitkäjänteistä tietoturvatyötä. Tämä ratkaisu perustuu omaan tietoturva-analyysiimme sekä viranomaisten kanssa tehtävään yhteistyöhön. Emme voi jakaa kaikkea taustatietoa julkisesti, jotta emme vaaranna viranomaisten työtä tai anna hyökkääjille lisäetua, mutta voitte luottaa siihen, että teemme tämän ratkaisun asiakkaiden parhaaksi.

Turvalliset kirjautumistavat tällä hetkellä

Suosittelemme käyttämään kirjautumiseen Netvisor-mobiilisovellusta, joka on suunniteltu erityisesti Netvisoriin ja tarjoaa turvallisen tavan käyttää palvelua. Mobiilisovelluksen käyttöönotto edellyttää pankkitunnistautumista vain kerran, kun sovellus otetaan käyttöön.

Selaimella kirjautuessa Netvisoriin on tärkeää aina varmistaa, että kirjautuminen tehdään oikealla kirjautumissivulla: https://login.netvisor.fi

Sovelluksen osalta varmista, että julkaisija on Visma Solutions Oy. Netvisor-mobiilisovellusta ei ole mahdollista ladata muista kuin Google Playn ja App Storen virallisista sovelluskaupoista: https://netvisor.fi/tuote/mobiili/ .

Miksi päätös mobiilivarmenteen poistosta tehtiin?

• Suomessa on käynnissä laaja aalto vahvan tunnistautumisen kalastelua
• Rikolliset voivat onnistuneen huijauksen kautta päästä käyttäjän identiteetillä useisiin palveluihin
• Haluamme varmistaa, että yksikään asiakas ei joudu väärinkäytösten kohteeksi
• Netvisorin tietoturva on kunnossa. Muutos liittyy mobiilivarmenteen turvallisuustilanteen muuttumiseen
• Päätös ei liity Netvisorin pilvisiirtymään eikä muihin tuotepäivityksiin

Toimimme proaktiivisesti ja asiakkaiden turvallisuutta ensisijaisesti suojellen.

Usein kysyttyä

Miksi mobiilivarmenne poistettiin juuri nyt?

Tilannekuva on muuttunut nopeasti. Mobiilivarmenteeseen on kohdistunut väärinkäytöksiä, ja haluamme estää näiden vaikutukset Netvisor-palveluun ja meidän asiakkaisiin tekemällä proaktiivisia toimenpiteitä.

Milloin mobiilivarmenne voidaan palauttaa käyttöön?

Emme vielä tiedä. Palauttaminen edellyttää muutoksia ja lisäsuojauksia mobiilivarmenteen toimittajien ekosysteemissä. Tiedotamme asiasta heti, kun meillä on tarkempaa tietoa.

Onko pankkitunnuksilla kirjautuminen turvallista?

Kyllä. Tunnistautuminen tapahtuu Telian kautta, eikä sitä voi käyttää asiakkaan pankkitilille kirjautumiseen. Tunnistautumispalvelu välittää meille ainoastaan ne välttämättömät tiedot, joita tarvitaan käyttäjän varmistamiseen (koko nimi, henkilötunnus, sekä käytetty tunnistuspalveluntarjoaja). 

Janne Lyytikäinen, tuotejohtaja, Netvisor

Riku Tarkiainen, tietoturva- ja tietosuojajohtaja, Visma Solutions

Update on the earlier notice regarding the removal of mobile certificate from authentication methods.

In recent weeks, an exceptionally high number of phishing attempts targeting strong authentication (bank credentials and mobile certificate) have been detected in Finland. This is criminal activity aimed at users' personal authentication information. This has been widely covered in the bulletins of the National Cyber Security Centre and in national media.

Netvisor's security has not been compromised. 
However, we have detected misuse targeting mobile certificate. Even a single instance of misuse is too much for us, which is why we have temporarily disabled mobile certificate for logging into Netvisor and for confirming payments.

This affects:

• The Netvisor mobile application
• The Netvisor login page
• Internal confirmation steps within Netvisor

The decision has been made to protect our customers and prevent potential damages. The situational awareness has changed rapidly, and the utilized attack methods have evolved. Mobile certificate has previously been a secure login method, but due to new attack vectors, we cannot keep it in use for the time being.

We act responsibly and are on the side of our customers. 
We conduct continuous, long-term security work at Netvisor. This solution is based on our own security analysis and cooperation with authorities. We cannot publicly share all background information to avoid compromising the work of the authorities or giving attackers an advantage, but you can trust that we are making this decision for the best of our customers.

Current Secure login methods

We recommend using the Netvisor mobile application for logging in, as it is specifically designed for Netvisor and offers a secure way to use the service. Activating the mobile application requires bank authentication only once when the application is taken into use.

When logging into Netvisor with a browser, it is always important to ensure that the login is done on the correct login page: https://login.netvisor.fi

Regarding the application, make sure the publisher is Visma Solutions Oy. It is not possible to download the Netvisor mobile application from stores other than the official Google Play and App Store: https://netvisor.fi/tuote/mobiili/.

Why was the decision to remove mobile certificate made?

• A widespread wave of strong authentication phishing is underway in Finland.
• Criminals can gain access to multiple services using the user's identity through a successful scam.
• We want to ensure that no customer is subjected to misuse.
• Netvisor's security is in order. The change is related to the changing security situation of mobile certificate.
• The decision is not related to Netvisor's cloud migration or other product updates.

We are acting proactively and prioritizing the protection of our customers' security.

Frequently Asked Questions

Why was mobile certificate removed right now? 
The situation has changed rapidly. Mobile certificates have been subject to misuse, and we want to prevent the effects of this on the Netvisor service and our customers by taking proactive measures.

When can mobile certificate be reinstated? 
We do not know yet. Reinstatement requires changes and additional protections in the mobile certificate providers' ecosystem. We will inform you as soon as we have more detailed information.

Is logging in with bank credentials secure? 
Yes. Authentication occurs through Telia and cannot be used to log into the customer's bank account. The authentication service only relays the necessary information required to verify the user (name, personal identity code, and the authentication service provider used).

Janne Lyytikäinen, Product Director, Netvisor
Riku Tarkiainen, Director of Information Security and Data Protection, Visma Solutions