28. joulukuuta 2018

Onko lähimaksaminen oikeasti turvallista?

“Se tekisi 12,95 euroa kiitos,” sanoo tavaratalon kassa. Otan lompakon takin taskusta ja kosketan kassan maksupäätettä, jossa lähimaksun logo näkyy. Odotan sekunnin tai kaksi ja kuulen pitkän piippauksen. Jes - veloitus on tehty. Ei kortin tai kolikoiden kaivelua, pin-koodin näppäilyä, tai nimmarin raapustusta kuittiin. Helppoa, luotettavaa ja turvallista, näin meille ainakin kerrotaan. Kaikki tämä on tietenkin totta, mutta kaikilla asioilla on myös se toinen puoli, jonka haluaisin tuoda esiin. Kun jokapäiväinen elämä on täynnä erilaista ja monimutkaista tietotekniikkaa, niin harva todella ymmärtää, miten jokin prosessi sen takana toimii. Tavallisen tallaajan onkin aika vaikeaa suojautua kaikelta tietotekniikkaan liittyvältä huijaukselta ja väärinkäytöltä. Kärjistetysti, jos ennen piti vain huolehtia siitä, että liian suuri setelituppo ei katoa jonkun pitkäkyntisen näpistelijän mukaan housujen takataskusta, niin nyt on maailma muuttunut aika paljon. Nykyään rikolliset ovat ovelia ja fiksuja.




Esimerkkejä - Fiksu rikollinen on ehkä sinua kekseliäämpi



Tätä artikkelia ei ole tarkoitettu pelotteluksi, vaan pikemminkin muistuttamaan sinua siitä, että 100 % tietoturvaa ja turvallisuutta ei olekaan. Melkein kaikki on mahdollista, vaikkakin erittäin epätodennäköistä. Otetaan esimerkin vuoksi muutama poiminta rikollisten kekseliäisyydestä. Kaikki enemmän tai vähemmän tosiasioihin pohjautuvia ja siten todennäköisesti myös joskus tapahtuneet jollekin.

Olet lähdössä lentokentälle, tai vaikkapa satamaan vähän pidemmän reissun takia. Rikollinen kyttää parkkipaikalla ja ottaa ylös autosi rekisterinumerosi. Rikollinen tietää, että Trafin ajoneuvoliikennerekisterissä on kaikkiaan yli 2,8 miljoonan ihmisen osoitetiedot. Heistä vain reilut 110 000 eli 3,9 prosenttia on tehnyt Trafille osoitteenluovutuskiellon. Rekisterin avoimuus ja laajuus on hämäräheikille tuttua. Tätä informaatiota hyväksikäyttäen hän tekee asuntoosi murron, koska tietää missä asut ja olet juuri lähdössä vähän pidemmälle matkalla. Aika fiksua mielestäni. Tee siis osoitteenluovutuskielto.

Toinen esimerkki. Olet maksamassa sirullisella luottokortilla pientä ostosta myymälässä. Korttikone on vähän hankalassa paikassa myyjän työpisteen vieressä. Hyvin palveleva ja innokas myyjä tarjoutuu laittamaan kortin oikein koneeseen. Myyjä katsoo ja varmistaa, ettei kortti ole American Express-kortti, koska se ei käy maksuvälineenä. Pieni kortin pyöräytys ja kortti sujahtaa oikein päin koneeseen. Maksu hoituu hyvin, eikä mitään hämärää todellakaan tapahtunut. Eihän? Viikon päästä kuitenkin huomaat, että luottokorttiasi on veloitettu jossain epämääräisessä nettikaupassa. Mietit, miten tuo tapahtui? Myyjällä oli ollut ilmiömäinen näkömuisti. Muutamassa sekunnissa hän oli painanut mieleensä korttisi numeron, nimen ja kortin toisella puolella olleen erillisen tarkistusnumeron. Itse et edes muista kaverisi puhelinnumeroa, niin hämmästelet luonnollisesti, miten kukaan pystyy moiseen? Jotkut pystyvät. Tästä lähin et siis enää koskaan luovuta korttiasi ulkopuoliselle edes yhdeksi sekunniksi.

Otetaan vielä kolmas esimerkki nokkeluudesta, jota en itsekään tulisi älynneeksi. "Vakoilutekniikka" on kuitenkin osoitettu toimivaksi. Nuori ja sporttinen bisnesmies oli juuri nostanut rahaa pankkiautomaatilta. Vähän tämän jälkeen pankkikortti katosi taskuvarkaan mukaan ja koko tili tyhjennettiin tiedossa olleen PIN-koodin avulla. Mitään skimmauslaitetta, tai kameraa ei pankkiautomaatissa kuitenkaan ollut, eikä kukaan saanut koodia urkituksi olan ylikään. Miten se sitten selvitettiin? Rikollinen oli tullut heti noston jälkeen automaatille ja kuvannut näppäimistön lämpökameralla. Bisnesmiehen näppäilemän PIN-koodin numerot loistivat hyvin punaisella vielä minuutinkin jälkeen (lähde). Lämpökamera oli pienenä lisävarusteena kiinnitetty huomaamattomasti rikollisen iPhoneen. Toinen vähän eksoottisempi vaihtoehto olisi ollut myös hakkeroida sporttisen bisnesmiehen kädessä ollut aktiivisuusranneke. Sen gyroskoopit ja muut liikesensorit rekisteröivät käden liikkeet jo niin millimetrin tarkasti, että PIN-koodi on mahdollista selvittää melkein erehtymättömästi. Pelottavaa.



Lähimaksamisen riskit


Entäs uusimmat lähimaksukortit, ovatko ne oikeasti turvallisia? Lähimaksamisella tarkoitetaan pieniä, alle 25 euron korttimaksuja, jotka suoritetaan ainoastaan käyttämällä korttia maksupäätteen lähellä. Tällöin lähimaksamisessa ei tarvitse näppäillä PIN-koodia tai allekirjoittaa kuittia (tunnuslukua saatetaan kysyä käyttäjältä satunnaisesti ). Luottokorttiyhtiöt sekä pankit haluavat kuitenkin vauhdittaa edelleen maksu- ja luottokorttien lähimaksujen yleistymistä nostamalla maksujen ylärajaa nykyisestä 25 eurosta 50 euroon. Muutos tulee voimaan huhtikuussa 2019. Maksupalveluyritys Nets Finlandin johtaja Petri Carpén mukaan tarkka päivämäärä voi vaihdella hieman pankkien välillä sen mukaan, miten ne toteuttavat muutokset omissa järjestelmissään.

Lähimaksaminen on ainakin koettu helpoksi ja nopeaksi tavaksi maksaa. Esimerkiksi ruuhkaisessa yökerhossa, ravintolan tai kaupan kassajonossa se nopeuttaa asiointia, eikä vaarana ole sitä, että joku urkkisi PIN-koodin selkäsi takana . Periaatteessa lähimaksaminen onkin kortinhaltijan näkökulmasta kätevää ja turvallista. Tekniikkaan liittyvistä mahdollisista väärinkäytöksistä vastaa lähtökohtaisesti pankki. Lähimaksamiseen voi kuitenkin liittyä riskejä, jotka on hyvä tiedostaa. Esimerkiksi MTV uutisoi, että Lahden kauppahallin lihamyymälässä sattui harvinainen tapaus, jossa väärä henkilö maksoi vahingossa toisen asiakkaan ostokset. Facebookissa on myös levinnyt kuva, jossa yleisessä kulkuneuvossa langattomalla maksupäätteellä varustettu henkilö keräsi laittomasti ja luvattomasti ohikulkijoilta maksuja.


Lähimaksukortit ovatkin nousseet taas keskustelun aiheeksi. Ongelmana lähimaksukorteissa, eli NFC-maksukortteissa (Near Field Communication) on oikeastaan se, että NFC-sirulta tiedot voidaan lukea ilman kortinhaltijan selkeää tahdonilmaisua. Toisin sanoen kortilta voi lukea salaamatonta tietoa ja väärinkäytöksen havaitseminen ja siitä reklamoiminen on kuitenkin kuluttajan vastuulla. Nixu-tietoturvayhtiön mukaan lähimaksukortilta voi lukea mm. maksukorttinumeron, sekä voimassaoloajan ja kortinhaltijan nimen. Muutaman kympin maksavalla kortinlukijalla tietoturvayhtiö sai testissään tilattua ulkomaisesta nettikaupasta tavaraa eri osoitteeseen, kuin mihin lukulaitteella luettu kortti oli rekisteröity. Tavara saapui muutamassa päivässä. Jo näillä tiedoilla on siis jo mahdollista tehdä verkkokauppaostoksia joissain kaupoissa. Ruuhkaisessa ja julkisessa kulkuvälineessä voi siis periaatteessa kuka tahansa kulkea ja lukea näitä tietoja sopivan laitteen vain vilahtaen laukkusi tai taskusi päältä.



Brute force ja relay-hyökkäys


Suurin osa verkkokaupoista edellyttää kuitenkin erillisen tarkistusnumeron (CVV2) antamista, joka löytyy kortin takaa. Tätä tietoa rikollinen ei kortilta saa, mutta sen voi periaatteessa kiertää muutamalla keinolla. Tietoturvayhtiö Nixun mukaan teoriassa hyökkääjä voisi arvata oikean CVV2-luvun, tai käyttää niin sanottua brute force tekniikkaa ja sitä kautta väärinkäyttää korttia myös muissa verkkokaupoissa. Brute Force tekniikalla käydään ja kokeillaan läpi kaikki mahdolliset CVV2 numerovaihtoehdot. Tuhannen numeron läpikäyminen ei ole temppu eikä mikään tietokoneelle, mutta pankkien väärinkäytöksiä havaitsevat ja estävät järjestelmät todennäköisesti huomaisivat tällaisen brute force -hyökkäyksen. Vähän ovelampi rikollinen tekee tietenkin järjestelmän, joka hajauttaa numerojen kokeilun monelle päivälle tai jopa viikoille, niin että pankkien hälytysjärjestelmät eivät reagoi.

Periaatteessa julkisessa kulkuvälineessä ei edes tarvitse kulkea kolho ja erottuva NFC-maksupääte kädessä, jos ohikulkijoilta haluaa lukea ja veloittaa pikkumaksuja huomaamatta. Uudelleenohjaamalla viestit (ns. relay-hyökkäys) voidaan tehdä lähimaksu vaikka toiselle puolelle maapalloa, kerrotaan tietoturvayhtiö Nixun blogissa. Tämä edellyttää, että kortin välittömässä läheisyydessä on NFC-lukija (esimerkiksi normaali kännykkä NFC-ominaisuudella), joka välittää tiedot esimerkiksi internetin yli toiselle NFC-lukijalle (vaikkapa toinen kännykkä), joka puolestaan on maksuautomaatin välittömässä läheisyydessä. Nyt kun kaikki jo valmiiksi räpläävät kännyköitään yleisissä tiloissa ja julkisissa kulkuvälineissä, niin mikäpä olisikaan rikolliselle helpompaa, kuin vain sekoittua hyvin massaan. Nythän epänormaalia melkein jo olisi olla käyttämättä kännykkää joka ikinen hetki paikasta riippumatta...Tästä voi sitten lähteä jo visioimaan älykännykkään päässyttä virusta tai muuta haittaohjelmaa, joka käyttäjän huomaamatta skannaa ympärillä olevia lähimaksukortteja sekä niiden tietoja ja lähettää ne maailman toiselle laidalle.



Tiliotetta kannattaa seurata


NFC:n 13.56 MHz taajuus rajoittaa sen veloituksen fyysisesti noin muutaman sentin etäisyyteen. Väitetään, että eräät tutkijat ovat saaneet erillisen lukijan toimimaan jopa 80 cm etäisyydeltä, mutta tälle en ole löytänyt luotettavaa lähdettä. Se on todennäköisesti pelkkää huhupuhetta, eli valetta. Periaatteessa älykännykän NFC:n kantama on sen verran lyhyt, että se ei löydä muiden käyttäjien kortteja. Mutta kuinka moni pitääkään omaa kännykkää ja lompakosta löytyviä kortteja joskus samassa taskussa tai laukussa? Niinpä niin. Hyvin todennäköisesti se olisi siis ainakin joskus tarpeeksi lähellä käyttäjän omaa korttia.

Mietipä vaikka ihan realistista tilannetta, jossa olet yökerhossa. Valot välkkyvät ja musiikki raikaa. Tanssit lattialla ja huomaat, että hyvännäköinen vastakkaisen sukupuolen edustaja tulee hinkkaamaan itseään sinua vasten. Meno on hauskaa ja kiihkeää. Seuraavana viikkona ihmettelet, miksi tililtäsi on veloitettu useaan kertaan 25 euroa. No rikollisen maksulaitehan se housujasi hyväili, eikä mikään muu :( Kuten eräs lukija kommentoi, niin jos ei edes seuraa omia tilitapahtumiaan, niin veloitus jää huomaamatta. Monestiko muistat tyhjentävästi kaikki oikeasti tekemäsi tilitapahtumat ilman kirjanpitoa? Kun monella kauppaliikkeistä tilitapahtumissa näkyvä yritysnimi on aivan eri, kuin mainoskyltissä näkyvä kauppanimi, niin pähkäilepä siinä veloitusta. Hankalaa se on itselläni joskus kirjanpidon avullakin.


Luulo ei ole tiedon väärti - Vastuu ei aina rajoitu vain pankille


Lähimaksuostot ovat tyypillisesti rajattu 25 euroon. Nets kertoo, että maissa kuten Suomi, Ranska ja Iso-Britannia, joissa lähimaksutapahtumat varmennetaan kortin sirulta ilman verkkoyhteyttä, on rajoitettu peräkkäin tehtävien lähimaksujen määrää. Tietyn lähimaksutapahtumamäärän jälkeen kortti lakkaa toimimasta lähimaksuna ja kortista pitää lukea siru ja antaa tunnusluku. Siten varmistetaan säännöllisesti, että kortti on oikean omistajan hallussa. Joku fiksumpi voi tarkentaa, mutta eikö tämä tarkoita, että hämärähemmo voi käyttää varastettua lähimaksukorttia jonkin aikaa, vaikka se olisi ilmoitettukin sulkupalveluun? Tämä selittäisi ainakin ne uutiset, jossa varastettua korttia on käytetty kuukausia ja melkein vuoden sulkemisen jälkeenkin. Näin on ihan meillä Suomessakin. Korteissa on määritelty ne parametrit, joiden perusteella varmennus pyydetään, mutta tämä on salaista tietoa ja viime kädessä on kauppiaan päätettävissä, vaatiiko maksupääte online-varmennusta. Pankki kantaa tästä "ominaisuudesta" taloudellisen vastuun. On kuitenkin epäselvää, pitääkö asiakkaan olla tässä suhteessa aktiivinen.

Väärinkäyttötapauksissa rahan menetys ei siis ole kovin suuri. Jos varastettua korttia kuitenkin väärinkäyttää esimerkiksi verkkokaupassa, niin vain luottoraja tai tilin saldo on rajana. Erilaisilla käyttörajoituksilla voi tietenkin rajoittaa väärinkäyttöä. Tämä on kuitenkin aina kompromissi käytettävyyden ja turvallisuuden välillä. Vaikka pankin sanotaankin vastaavan riskeistä, niin olisin silti vähän skeptinen sen suhteen. Poikkeuksia tulee varmasti, vaikka emme niitä olisi vielä nähneetkään.

Kortinhaltijan vastuu kortin mahdollisesta väärinkäytöstä päättyy siihen, kun hän on ilmoittanut sulkupalveluun korttinsa kadonneeksi, tai varastetuksi. Asiakkaan vastuu rajoittuu 150 euroon maksukortin oikeudettomasta käytöstä, jos hän ei ole menetellyt törkeän huolimattomasti maksuvälineen haltijana. Vakuutus- ja Rahoitusneuvonta Fine kertoo kuitenkin julkaisussa: "Vastuu maksukortin oikeudettomasta käytöstä – Ratkaisukäytäntöä pankin ja asiakkaan välisestä vastuunjaosta" hyviä esimerkkejä ratkaisukäytännöistä. Käytännössä vastuu on joko nollavastuu, 150 euroa (lievä huolimattomuus), tai täysivastuu (tahallinen tai törkeä huolimattomuus). Julkaisun kohdassa 8, esimerkiksi PKL 22/13 ja PKL 50/12. Vastuu meni kokonaan kortin käyttäjän piikkiin. Kukaan ei varmuudella tiedä, mikä noissa oli totuus, mutta vastuu oli paljon enemmän kuin tuo 150 euroa. Kortin kopiointi tai muu tässä artikkelissani kuvaama tapa olisi voinut olla myös hyvinkin mahdollista noissa esimerkeissä, jos käyttää mielikuvitusta.


Riski vs. Tuotto - Hämärämies valitsee mieluummin näpistelyn


Käytän itse lähimaksukorttia, enkä sinänsä ole huolissani sillä maksamisen turvallisuudesta. En ole todellakaan neuroottinen asian suhteen. Olen kuitenkin tietoinen mahdollisista väärinkäyttömahdollisuuksista. Jos joku taho väittää, että lähimaksaminen on idioottivarmaa, niin se taho valehtelee, tai ei tiedä asiasta riittävästi. Oikeissa olosuhteissa, tietyillä laitteilla ja tekniikalla väärinkäyttö kyllä onnistuu. Tiliotteet kannattaakin siis aina syynätä läpi kunnolla.

On tässä lähimaksussa kuitenkin vielä yksi hyvä puoli. Verkkorikolliset ovat kuitenkin ison rahan perässä, joten ongelma on ehkä lähinnä teoreettinen ja pienen piirin juttu. Jos rikollisen vaihtoehtona on kaupasta näpistely, taskuvarkaus tai NFC-korttien hyväksikäyttö, niin minkä hän valitsee helpoimpana vaihtoehtona? Kannattaa muistaa, että NFC-kortin hyväksikäytössä riski-tuotto-suhde on erittäin huono. Siinä liikkuu pieniä summia (rajaa tosin nostetaan, mikä tulee lisäämään väärinkäytöksiä) ja sitä varten pitäisi olla luotuna bisnes, jotta laiton NFC-data muuttuisi rahaksi pankissa. Se on jo hankalaa ja tämänkaltaisesta rikoksesta jäisi siis varmasti kiinni. Tosin Telegraph kertoo, että lähimaksukorttien petokset ylittivät UK:ssa vuoden 2017 ensipuoliskolla shekkien petokset, noussen 5,6 miljoonaan puntaan.

Helpoin tapa estää tämä on tietenkin pitää korttia RFID-suojatussa lompakossa. Tee-se-itse-mies tekee sen tietysti foliosta, tai pitää kahta NFC-korttia päällekkäin :)



(Alkuperäinen juttu julkaistu ensimmäisen kerran 10.2.2017)

7 kommenttia:

  1. Itselläni lompa takataskussa. Kikka on kuitenkin helppo, mulla on kaksi nfc korttia päällekkäin. Ainakaan kaupan laitteet eivät ole ikinä pystyneet näitä lukemaan kun ei erota korttia.

    Ja toisaalta sitten jos joku sen pystyy kopioimaan niin ei se varmaan toistaiseksi suurempi riski ole kun siinä että ostaa ihan vain bensaa kylmäasemalla.

    VastaaPoista
  2. Kortin kopioimisen osalta oma riski on kuitenkin kuluttajalle nolla, koska pankki(luottokorttiyhtiö) kantaa riskin väärinkäytöstä. Ainoa tilanne, jossa kuluttaja joutuu itse vastaamaan menetetyistä varoista, on jos säilyttää korttia ja pin-koodia samassa lompakossa tai muutoin antaa pin-koodin varkaalle huolimattomuuttaan tai tahallaan, ei kuitenkaan jos varas esim aseella vaatien vaatii pin-koodin. Niin kauan kyse on luottokortin numeroista ja CVV koodeista, et ole itse vastuussa niistä. Ostan aina verkko-ostokset luottokortilla. Käytän vielä asiaan erillistä luottokorttia (Stockkan Mastercard), jota en muuten käytä muuta kuin matkoilla. En ole erityisen huolestunut korttien turvallisuudesta, vaikka kerran korttini onkin skannattu ja sitä käytettiin toisella puolella maapalloa. Pankista tuli soitto, jossa kyseltiin, oletko kenties matkalla, koska korttia oli käytetty jossain kaakkois-aasiassa.

    VastaaPoista
    Vastaukset
    1. Mitäpä olisi käynyt, jos pankki ja sen järjestelmät eivät olisi olleet tarkkoina? Tai jos korttia olisikin käytetty laittomasti suomessa, jonka takia järjestelmä ei olisi antanut hälytystä? Etkö näe tässä riskiä? Miten edes todistat, että pin-koodi on varastettu artikkelini kuvaamalla tavalla (esim. lämpökamera), jos pankki ei usko sinun säilyttäneen sitä huolellisesti? Ehkä vähän hypoteettista, mutta kuitenkin mahdollista... Ymmärsinkö oikein, että käytät erillistä luottokorttia osittain myös siksi, että "nolla" riski olisi kuitenkin vieläkin alhaisempi?

      Ymmärrän kyllä pointtisi, mutta lisäisin muutaman tarkennuksen. Ehkä vähän hiuksien halkomista, mutta tilastollisesti riski ei voi olla nolla. Tämä tarkoittaisi jonkin tällaisen tapahtuman olevan mahdoton, eli ei tapahtuisi ikinä. Yksikin poikkeama, niin väite on epätosi. Oikeampi termi olisi ehkä mitätön tai erittäin vähäinen. Noissa on kuitenkin vissi ero.

      Poista
    2. Tulipahan mielenkiinosta luettua asiasta konkreettista oikeuskäytäntöä (https://www.fine.fi/media/julkaisut-2014/vastuu-maksukortin-oikeudettomasta-kaytosta-2014.pdf). Joka tapauksessa asiakkaan vastuu rajoittuu 150 euroon, vaikka tunnusluku olisi saatu tietoon, kunhan se ei ollut paperilla samassa lompakossa, jossa korttisi on.

      Poista
    3. Kiitos linkistä, mielenkiintoisia tapauksia. Hyvä kun jaksat paneutua asiaan. Suosittelen muillekin lukemaan.

      Tarkentaisin taas vastaustasi poikkeuksilla. Linkkisi takana oleva julkaisu on sen verran pitkä, että joku voi missata ne, jos ei lue loppuun asti. Jos ollaan taas tarkkoja, niin linkkisi kohdissa 8 ja 9 vastuu meni kokonaan kortin käyttäjän piikkiin. Kukaan ei tiedä, mikä noissa oli totuus, mutta vastuu oli paljon enemmän kuin tuo 150 euroa. Kortin kopiointi tai muu tässä artikkelissani kuvaama tapa olisi voinut olla myös hyvinkin mahdollista noissa esimerkeissä, jos käyttää mielikuvitusta.

      Poista
  3. Mutta monestikkos tatkistat tilitietosi, ja monestiko muistat tyhjentävästi kaikki oikeasti tekemäsi tilitapahtumat, varsinkin kun puolella kauppaliikkeistä on tilitapahtumissa näkyvä yritysnimi aivan eri kuin mainoskyltissä näkyvä kauppanimi? Voin lyödä vetoa, että lähimaksuvarkauksista useimmat jäävät kokonaan huomaamatta, ja jos huomataan, niin liian myöhään jolloin pankki vetäytyy vastuusta sillä verukkeella että ei ole toimittu viipymättä. Lähimaksupetoksia tapahtuu paljon ja ulkomaisia nettiartikkeleita on asiasta runsaasti, vaikka niissä järjestään pyritään vähättelemään asiaa vetoamalla mm. siihen että ne varkaudet edustavat mitätöntä prosenttia lähimaksuliikenteestä. Eli ikäänkuin vertaisivat henkirikosten määrää hengissä olevien ihmisten määrään.

    VastaaPoista
    Vastaukset
    1. Erittäin hyvä pointti muuten. Juuri eilen katselin pitkästä aikaa tilitietojani. Sitä ennen viimekertaisesta visiitistä oli ehkä vajaa kuukausi. Ihmettelin kahta eri veloitusta, molemmissa summat olivat parinkympin luokkaa ja veloittajan nimi aivan outo. En ollut eläessäni kuullut. Päässä löi tyhjää kumpienkin tapahtumien johdosta.

      Onneksi pidän kirjanpitoa ja katselin sieltä, mihin olen rahaa käyttänyt. Summan ja päivämäärän ansiosta vihdoin selkeni, mitä nuo veloitukset pitivätkään sisällään. Oikein ne molemmat olivat, enpä vain yksinkertaisesti muistanut. Jos olisin henkilö, joka shoppailee usein, eikä pidä kirjanpitoa, niin aika hankalaa olisi selvittää epämääräisiä veloittajia.

      Poista

Related Posts Plugin for WordPress, Blogger...