Lähimaksujen tietoturvan korjaaja on jo olemassa

Sosiaalisessa mediassa kiersi alkuvuodesta (todennäköisesti lavastettu) kuva, jossa henkilö oli metrossa maksukorttipäätteen kanssa ja saatteena oli joku tietoturva-aiheinen ranttaus. Ihan aiheesta – onhan se tietoturvariski, että tililtä pystyy nappaamaan kerralla enintään 25 euroa rahaa ilman kosketusta, vaikkapa juuri taskun läpi.

Hätä ei sinänsä ole tämän näköinen, koska maksukortilta raha lähtee ainoastaan siirtona pankkitilille, eli rahat eivät katoa mihinkään mustaan aukkoon. Teoriassa on tietenkin mahdollista, että vaikkapa kioskiyrittäjä ottaisi maksupäätteensä työpäivän jälkeen ja lähtisi putsaamaan humalaisten ihmisten taskuja – mutta pidän hyvin epätodennäköisenä, että tällainen onnistuisi kenenkään huomaamatta. Lisäksi kiinnijäämisen seuraukset ovat kovat: maksupäätesopimus puretaan ja uutta ei heru pian eikä helposti. Onnistuminen vaatisi myös sen, että kaikki uhrit ovat tyyppejä, jotka eivät tarkista tiliotteitaan kovin tarkasti.

Mutta jos ajatellaan sitä teoreettistakin väärinkäytön riskiä, niin siihen on olemassa yksinkertainen lääke: maksutapahtumasta tuleva ilmoitus kännykkään. Eikä kyse ole vain ideasta vaan olemassaolevasta tuotteesta: latasin nimittäin kokeilumielessä (aikanaan paljon mainostetun) Pivo-sovelluksen (olen Osuuspankin asiakas). Sovellus on varsinaisesti tarkoitettu tulojen ja menojen seurantaan (josta en paljoa perusta) mutta: välittömästi lähimaksutapahtuman jälkeen sovellus näyttää puhelimessa ilmoituksen ostotapahtumasta summineen ja firmoineen.

Tämä kännykkään tuleva ilmoitus käytännössä eliminoi väärinkäytösriskit kokonaan. Jos saat ilmoituksen maksutapahtumasta muulloin kuin tiskillä kortti kädessä heiluessasi, joku on tehnyt jotain epärehellistä ja voit ottaa yhteyttä pankkiisi.

Sama ilmoitustekniikka muuten vähentäisi luottokorttiväärinkäytöksiä rajusti, mutta ongelmana on, että luottokorttiostokset onnistuvat ilman verkkoyhteyttäkin ja ainakaan toistaiseksi eivät kulje reaaliajassa kännykkään.

Kommentit
  1. 1

    la sanoo

    Eivät kulje muuten debit-korttien lähimaksutkaan reaaliajassa, vaan jopa kolmen päivän viiveellä. Debit online – ja Electron-korttien kanssa tilanne on eri.

  2. 2

    Jyrki sanoo

    Lisäsuoja on RFID lukemiselta suojattu lompakko (faradayn häkki) eli korttia ei voi lukea ”vahingossa”. Lisäksi noita maksuja ilman PIN-koodia voi tehdä luokkaa viisi kappaletta peräkkäin.

    Tuota maksunvahvistus (teksti)viestiä on myös käytetty toisin päin eli siis huijaukseen. Kassakone sanoo, että maksu ei ole mennyt lävitse, mutta asiakas saa viestillä uskoteltua kassanhoitajalle, että maksu on mennyt kuitenkin lävitse.

  3. 3

    Jaakko Luttinen sanoo

    Voisikohan tuollaisen ilmoituksen saada esim. sähköpostitse (tai tekstiviestitse) ilman minkään kummallisen ohjelman asentamista kännykkään?

  4. 4

    Petri Sakkinen sanoo

    Rahakkaalle eliitille tämä saattaa olla helppoa: en usko, että peruskännykkääni (Nokia, 25€ muutama vuosi sitten) saa mitään tuollaisia sovelluksia. Meillä köyhillä ei ole varaa mihinkään ”äly”puhelimiin.

  5. 5

    J-P sanoo

    > ”tililtä pystyy nappaamaan kerralla enintään 25 euroa rahaa ilman kosketusta”

    Mielestäni tämä ei ole pahin tietoturvaongelma vaan se, että ”Muutaman kympin maksavalla kortinlukijalla sai Mastercardista kortin numeron sekä viimeisen voimassaolopäivän.”

    Ja tämän ei siis tarvitse olla mikään ”maksupääte”, vaan ihan ”pelkkä lukija”, joka ei tietenkään välttämättä edes piippaa uhria varoittaakseen.

    Ja kun em. tiedot ovat selvillä, niin kortin voi tyhjentää melkein missä tahansa verkkokaupassa. Osa vaatii kortin takana olevan 3-numeroisen luvun, mikä on ainoa tieto, joka ei tällä tavoin välity.

    Ja tästä ongelmastahan varoitettiin jo 2013, kts. esim. http://www.itviikko.fi/tietoturva/2013/06/06/rosvot-voivat-lukea-uusien-pankkikorttien-tiedot-taskustasi/20137996/7

    (käsittääkseni nykyiset lukijat pohjautuvat edelleen täsmälleen samaan 100% tietoturvattomaan ratkaisuun)

    • 5.1

      Vesa Linja-aho sanoo

      Siis onko todella noin että tuossa ei ole mikään vahvaan salaukseen perustuva lukeminen vaan… no näyttää uutisen mukaan olevan, ei helkkari mitä sähellystä (jos siis tuota ei ole muutettu).

  6. 6

    S sanoo

    Ei, HCE-pohjaiset ratkaisut (kuten Apple Pay ja OP Pivo) antavat luettaessa kertakäyttöisen luottokorttinumeron ja tokenin, jolla backend voi sitten laskuttaa MasterCardia/Visaa suoraan. ”Tavallisissa” lähimaksukorteissa sieltä tulee ihan tavallinen luottokortin numero. Puhelimessa olevan appin saa tietty pois päältä, jolloin sieltä ei kukaan lue mitään.

    Speksi tosin sanoo, että lähimaksuluottokorttinumeron pitäisi olla eri kuin itse luottokortin numeron, jolloin sillä voi tehdä vain lähimaksuostoksia. Eli vaikka sen numeronkin saisi irti, sillä ei voi tehdä ostoksia verkkokaupoissa.

    Harmi kyllä monet pankit ovat oikaisseet asian kanssa, ja laittaneet saman luottokorttinumeron sinne lähilukusysteemiin, jolloin väärinkäytön vaara on.

    Näiden uusien järjestelmien tarkoitushan on vähentää luottokorttihuijausten määrää (jota siis ei voi kuitenkaan poistaa niin kauan kuin se korttinumero on printattu siihen etulevyyn ja ihmisillä on kameroita puhelimissa) ja tehdä asioiden ostaminen nopeammaksi ja helpommaksi. Esim. korttien kloonaus ulkomailla on vähentynyt merkittävästi. Lähimaksut myös vähentävät luottokorttiyhtiöiden rahanmenetyksiä, koska tieto niistä kulkee merkittävästi nopeammin ja huijaukset saadaan torpattua vikkelästi, ja lisäävät käyttöä, koska rahan käyttäminen on helpompaa.

    Kyse on siis luottokorttiyhtiöiden tuloksen optimoinnista, ei turvallisuudesta. Turvallisuus on tarpeeksi hyvä, että yhtiöt laskevat, että käytöstä tuleva tuotto kattaa huijauksista maksettavat tappiot. That is all.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *