Kirjaudu ▼
 

Rosvot voivat lukea uusien pankkikorttien tiedot taskustasi

Lehtikuva
Rosvot voivat lukea uusien pankkikorttien tiedot taskustasi
Lähiluettavissa pankkikorteissa on todistetusti tietoturvaongelmia. Pankkialan mielestä korttien turva on kunnossa, mutta perustelut ontuvat. Onko järjestelmä valmiiksi rikki?
Lisää suosikkeihin

Henkilökohtaiselle suosikkilistalle tallentaminen vaatii kirjautumista.

KirjauduRekisteröidy
Lähetä kaverille
Tulosta (HTML)
Tallenna (PDF)

Maksujärjestelmien turvallisuutta tutkinut espoolainen tietoturvayhtiö Nixu totesi testeissään toukokuussa, että etäluettavien Visa- ja Mastercard -luottokorttien tiedot ovat luettavissa jopa taskussa olevasta lompakosta.

Muutaman kympin maksavalla kortinlukijalla sai Mastercardista kortin numeron sekä viimeisen voimassaolopäivän. Visan luotto- ja debit-kortit paljastavat tämän lisäksi omistajansa nimen.

Testeissään nixulaiset kirjautuivat suureen ulkomaiseen nettikauppaan ja tilasivat tavaraa eri osoitteeseen kuin mihin lukulaitteella luettu kortti oli rekisteröity. Tavara saapui muutamassa päivässä.

Ostosten hinnalla ei ole ylärajaa, sillä lähimaksamisessa voimassa oleva 25 euron raja ei ole voimassa verkko-ostoksissa. Tavaraa voi tilata niin paljon kuin kortin käyttöraja, luottoraja tai pankkitilin saldo antaa myöten.

– Ongelma on siinä, että kaikki kaupat eivät vaadi vahvaa tunnistautumista. Moni kauppa laittaa ostosten helpon tekemisen turvallisuuden edelle, selittää Nixun tietoturvakonsultti Niki Klaus.

Vahvalla tunnistautumisella tarkoitetaan pankkitunnuksen tai vähintäänkin kortin takana olevan kolminumeroisen CVV2-koodin syöttämistä oston yhteydessä.

Lähiluettavat kortit
tulevat pyytämättä

Nordea on lisännyt lähimaksuominaisuuden Visa debit -kortteihinsa maaliskuusta alkaen ja Osuuspankit viime syksystä. Korttikanta uusiutuu koko ajan, joten yhä useammalla on lähiluettava kortti. Automaattisesti uusiutuviin kortteihin ominaisuus tulee pyytämättä.

– Mikäli asiakas ei halua lähimaksuominaisuudella varustettua korttia, hän voi valita itselleen Nordean korttivalikoimasta jonkin toisen kortin, esimerkiksi Visa Electronin, sanoo Anni Kuusisto Nordean viestinnästä.

Myös OP-Pohjola sanoo, että asiakas voi ottaa jonkun muun pankkitiliin yhteydessä olevan kortin.

Asiakkaan on kuitenkin oltava asian suhteen itse aktiivinen. Vaihtoehtoina oleva debit/credit -yhdistelmäkortti saattaa vaatia vuosimaksun ja Electron-korteilla maksaminen ei puolestaan onnistu lentokoneen kaltaisissa paikoissa, joissa ei ole nettiyhteyttä.

Korttien turvallisuuspuutteet ovat pankkialan tiedossa. Niitä ei kuitenkaan pidetä kriittisinä.

– Pitää paikkansa, että oikeissa olosuhteissa tietyillä laitteilla on mahdollista lukea kortinnumero ja voimassaoloaika lähimaksukortista, mutta ei kuitenkaan kortin kääntöpuolella näkyvää kolminumeroista tarkistuslukua (CVC/CVV), jota tarvitaan verkkokaupoissa. Siksi emme näe tätä vakavana riskinä, kirjoitti Netsin eli entisen Luottokunnan riskienhallintajohtaja Jani Kallio vastineena Nixun löydöksiin.

Taloussanomien tulkinnan mukaan Netsin esittämä väite ei ole totta. On kauppoja, joissa tarkistuslukua ei kysytä.

∇ Mainos, artikkeli jatkuu alempana ∇ ∇ Artikkeli jatkuu ∇

– On muutama kansainvälinen toimija, joka on valinnut sen polun, ettei käytä tarjolla olevia tunnistuspalveluita. Se on ollut niiden oma riskinhallintapäätös ja ne ovat itse vastuussa vahingoista, Kallio täsmentää puhelimessa.

Kallio ei hyväksy Taloussanomien väitettä, että Nets antaa virheellistä tietoa antaessaan ymmärtää tarkistuslukua kysyttävän aina.

– Kyllä se käytännössä verkko-ostoksissa vaaditaan. Jos on yksi kauppa, jossa sitä ei vaadita, se ei anna oikeutta tuohon johtopäätökseen, sanoo Kallio.

Kallio ei myöskään allekirjoita väitettä, että kortinhaltija on tilanteessa, jossa korttitietoja voidaan käyttää väärin, vaikka hän olisi käsitellyt korttiaan oikein. Kallio vertaa tilannetta tietomurtoihin, joissa korttitietoja saattaa päätyä vääriin käsiin, vaikka kortin omistaja on tehnyt kaiken oikein.

Tiliotteet syynättävä
tarkasti

Virheelliset luottokortti- ja debit-maksut on mahdollista kiistää. Kiistämisen edellytys on kuitenkin se, että kortin omistaja huomaa korttiaan käytetyn väärin. Tämä edellyttää luottokorttilaskun ja pankkitilin tapahtumien tarkkaa ja jatkuvaa seurantaa.

Esimerkiksi vanhuksille tiliotteen systemaattinen tarkistaminen verkkopankista käsin ei ole itsestään selvää.

Väärinkäytöksiä ei ole vielä tiedossa. Nixun Niki Klaus pitää mahdollisena tilannetta, jossa lukulaitteilla varustetut rikolliset skannaavat kortteja vaikkapa ruuhkabussissa.

– Lukijoita löytyy monista älypuhelimista. Kun kaksi isoa massaa, eli lähiluettavien korttien omistajat ja koko ajan yleistyvät lukulaitteet kohtaavat, voi syntyä väärinkäytöksiä, Klaus sanoo.

OP-Pohjolan rahoituspäällikkö Kasimir Hirn ei näe korttien luvatonta lähilukua uhkana. Jos asiakas on huolehtinut kortistaan hyvin, hän ei ole vastuussa väärinkäytöstä.

– Käsityksemme mukaan korttien skannailu älypuhelimilla ei ole todellinen riski. Verkkorikolliset ovat ison rahan perässä. Tässä ei ole lisävelvoitetta kortinhaltijalle. Heitä kehotetaan joka tapauksessa tutkimaan tiliotteensa, sanoo Hirn.

Hirnin mukaan järjestelmän turva on riittävällä tasolla ja nykyinen tilanne vähintään samalla tasolla kuin ennenkin.

Lisää suosikkeihin

Henkilökohtaiselle suosikkilistalle tallentaminen vaatii kirjautumista.

KirjauduRekisteröidy
Lähetä kaverille
Tulosta (HTML)
Tallenna (PDF)

Kommentit (94)

Sivut: 1 2 3 4 5 6 ... 10
EdellinenSeuraava

Anonyymi
Ai että pelkällä luottokortin numerolla ei tee mitään? Ainakaan hotellit eivät kyllä kysele cvc-koodia varauksen yhteydessä, pelkkä luottokortin numero riittää.
Anonyymi: dfhfghfghfgh 6.6.2013 6:19

Anonyymi
Jos virkamies sanoo että kaikki on hyvin, niin silloin kaikki on hyvin.
Kansa vaietkoot.

PS. Mahdollisista rahan menetyksisitä jokainen kansalainen on vastuussa itse....
Anonyymi: Virkamies 6.6.2013 7:02

Anonyymi
Kyllähän tuo kuulostaa ihan järjettömältä turvatason alenemiselta, jos 16-numeroisen kortin numeron, voimassaoloajan, kortin haltijan nimen ja turvakoodin sijaan salaista onkin enää 3-numeroinen turvakoodi. Tämä ei tule päättymään hyvin, veikkaan...
Anonyymi: juho00 6.6.2013 7:07

Anonyymi
Onko tarkoituksena velkaannuttaa kansaa lisää menetettyjen rahojen takia.
Kyllä suomalainen tietää mikä on parasta.
Anonyymi: velkaavelkaavelkaa 6.6.2013 7:13

Anonyymi
Samalla kun yritetään pitää erillistä korttia väkisin hengissä, niin mm. Elisa virittelee sitä älylaitteisiin integroituvaa mallia. Vaikka siinäkin tuo etälukuominaisuus on jostain syystä tehty erillisellä tarralla ja jätetty hyödyntämättä laitteen omaa NFC-toiminnallisuutta. Ehkäpä joku päivä kuitenkin älylaite toimii myös kaupassa lompakkona ja tietoturvan tason pienille ostoksille päättää käyttäjä itse.

Esimerkiksi Elisan Lompakossa voi tehdä niin paljon maksukorttien numeroita kuin sielu sietää. Liekkö sillä väliä, jos yksi sitten pöllitään kun sen voi mitätöidä heti ja käyttörajat pitää tiukkoina.
Anonyymi: Botti 6.6.2013 7:13

Anonyymi
Lompakkoa kun en käytä niin olen jo pitemmän aikaa pitänyt kortteja metallisessa "luottokorttikotelossa". Ihan vain sen takia, että on kätevän kokoinen aikä kortit murjoudu pilalle.

Tuskimpa skannaavat peltikotelon sisältä.
Anonyymi: Korttikotelo 6.6.2013 7:16

Anonyymi
puurot ja vellit monella taas sekaisin.

verkkokaupoissa maksutapahtuma ei ole reaaliaikainen, vain tilin saldo tarkistetaan (jossain ei edes sita), veloitus kerran kuussa tai kun itse sen maksat.

samankaltaisuus toimii myoskin normaalikaupassa katevarauksen kautta, tosinaika silloin on huomattavasti lyhyempi.

varmasti on olemassa suojataskuja jotka estavat lahiluvun toimimisen, kortti sellaiseen ja teoreetteiset elokuva skenariot lopput siihen. tosin jos korttisi varastetaan se on eri asia mutta samahan se on tallakin hetkella.

itse ostetlen useista kymmenista verkkokaupoista ympari maailmaan ja yhdessakaan ei voi tehda ostoksia ilman sita cvs koodia, kaikissa myoskin veloiitus tulee vasta tavaran lahetyksessa joten aikaa huoma vaarinkaytokset kylla on.
Anonyymi: linuxhostaaja 6.6.2013 7:19

Anonyymi
Onko mahollista saada kortille taskua/lompakkoa joka estää kortin tietojen kalastelun lompakossa/ taskussa. Ei luulis olevan liian vaikia homma. Ja joo, kortti tuli pyytämättä kotia. En ota käyttöön, niin kuan kuin vanha vain toimii.
Anonyymi: vierailia 6.6.2013 7:33

Anonyymi
puurot ja vellit monella taas sekaisin.

verkkokaupoissa maksutapahtuma ei ole reaaliaikainen, vain tilin saldo tarkistetaan (jossain ei edes sita), veloitus kerran kuussa tai kun itse sen maksat.

samankaltaisuus toimii myoskin normaalikaupassa katevarauksen kautta, tosinaika silloin on huomattavasti lyhyempi.

varmasti on olemassa suojataskuja jotka estavat lahiluvun toimimisen, kortti sellaiseen ja teoreetteiset elokuva skenariot lopput siihen. tosin jos korttisi varastetaan se on eri asia mutta samahan se on tallakin hetkella.

itse ostetlen useista kymmenista verkkokaupoista ympari maailmaan ja yhdessakaan ei voi tehda ostoksia ilman sita cvs koodia, kaikissa myoskin veloiitus tulee vasta tavaran lahetyksessa joten aikaa huoma vaarinkaytokset kylla on.


UUC-1 ja tilisi on tyhjä, ei se muuta vaadi.
Anonyymi: hehehe 6.6.2013 7:41

Anonyymi
itse ostetlen useista kymmenista verkkokaupoista ympari maailmaan ja yhdessakaan ei voi tehda ostoksia ilman sita cvs koodia, kaikissa myoskin veloiitus tulee vasta tavaran lahetyksessa joten aikaa huoma vaarinkaytokset kylla on.


Esim. Amazonin kaupat eivät kysy CVC-koodia (3 numeroa).
Anonyymi: Kolpakko 6.6.2013 7:42
Sivut: 1 2 3 4 5 6 ... 10
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.