Kysymyksiä ja vastauksia lähimaksukorteista – NFC-korttien turvallisuus vuonna 2016

Lähimaksukortteihin liittyvät uhkakuvat ovat viime aikoina nousseet jälleen julkiseen keskusteluun. Paljon keskustelua on herättänyt ulkomailla julkisessa liikennevälineessä otettu kuva, josta voi päätellä henkilön keräävän luvattomasti ohikulkijoilta maksuja maksupäätteellä. Asiaa on käsitelty myös suomalaisissa medioissa.

Olemme käsitelleet tätä (katso kohta 7 ja 8) ja monia muita lähimaksamiseen (Near Field Communication, NFC) liittyvää kysymystä ja väitettä vuonna 2014 julkaistussa kirjoituksessa. Tässä kirjoituksessa tilanne on päivitetty maaliskuulle 2016. Uuteen tutkimustietoon ja toimintakentän muutokseen liittyvät kohdat on merkitty 2016:-merkinnällä.

Alla on lista yleisimpiä väitteitä ja kysymyksiä lähiluettaviin maksukortteihin liittyen, sekä vastauksemme näihin kysymyksiin testiemme ja kokemuksemme perusteella. Tämä kirjoitus käsittelee vain ja ainoastaan kansainvälisten korttiyhtiöiden myöntämiä lähimaksukortteja, eikä ota kantaa muihin NFC-kortteihin ja niiden turvallisuuteen (esim. matkakortit ja avainkortit).

Suoritimme testit vuonna 2013 muutaman eri suomalaisen pankin myöntämillä korteilla ja teimme johtopäätökset testitulosten pohjalta. On siis mahdollista, että kaikki korttityypit eivät toimi samalla tavalla.

1. Ovatko lähimaksukortit turvallisia?
Kysymykseen ei voi vastata kyllä tai ei määrittelemättä ensin mitä ”turvallisuudella” tarkoitetaan, ja kenen näkökulmasta asiaa tarkastellaan (kuluttaja, kauppias, pankki, korttiyhtiö, kortin valmistaja jne.). Jos asiaa tarkastellaan kuluttajan eli kortinhaltijan näkökulmasta, voidaan sanoa että kortit ovat turvallisia, sillä tähän tekniikkaan liittyvistä mahdollisista väärinkäytöksistä vastaa lähtökohtaisesti pankki. Väärinkäytöksen havaitseminen ja siitä reklamoiminen on kuitenkin kuluttajan vastuulla. Suosittelemme tarkkaavaisuuden lisäksi kortinhaltijaa tutustumaan sopimusehtoihin. Jos taas turvallisuudella tarkoitetaan sitä, että lähimaksukortteja ei voisi väärinkäyttää, niin silloin lähimaksukortit kuten tavallisetkaan maksukortit eivät ole turvallisia.

2. VÄITE:
Lähimaksukortit ovat turvallisia, sillä niiden tiedot on suojattu salauksella.
Lähimaksukortit hyödyntävät salaustekniikkaa esim. PIN-koodin varmistamisessa ja transaktioiden tekemisessä, mutta kortilta voi kuitenkin lukea salaamatonta tietoa. Kaikkea kortilla olevaa tietoa ei siis ole salattu.

3. VÄITE:
Lähimaksukorteilta voi lukea tietoa, mutta sitä ei voi väärinkäyttää.
Lähimaksukortilta voi lukea mm. maksukorttinumeron (PAN, Primary Account Number) sekä voimassaoloajan. Näillä tiedoilla on mahdollista tehdä esim. verkkokauppaostoksia (etäostos, card-not-present). Kortilta luettua tietoa voi siis väärinkäyttää.

4. VÄITE:
NFC-sirulla oleva korttinumero ei ole sama kuin korttiin painettu maksukortinnumero, joten väärinkäytöksiä ei voi tehdä.
Valitettavasti testaamissamme korteissa korttinumero on sama sekä NFC-sirulla että painettuna korttiin. On totta, että eri korttinumeroilla etäostoksiin liittyvät väärinkäytökset olisi voitu estää. On mahdollista, että kaikkien pankkien järjestelmät eivät tue kortteja, joilla on kaksi tai kolme erillistä maksukorttinumeroa, minkä vuoksi tällaista ominaisuutta ei ole ainakaan vielä voitu toteuttaa kaikkiin kortteihin.

5. VÄITE:
Maksukorttinumerolla ja voimassaoloajalla ei voi tehdä verkkokauppaostosta, sillä kaikki verkkokaupat edellyttävät lisäksi erillisen tarkistusnumeron (CVV2).
Jotkut kansainväliset verkkokaupat, kuten Amazon, hyväksyvät ostosten tekemisen ainoastaan maksukorttinumeron ja voimassaoloajan yhdistelmällä. On totta, että tarkistusnumeroa ei voi lukea NFC-sirulta, ja että suurin osa verkkokaupoista edellyttää sen antamista. Olemme käsitelleet asiaa aiemmin täällä.

2016: Teoriassa hyökkääjä voisi myös arvata oikean CVV2-luvun ja sitä kautta väärinkäyttää korttia myös muissa verkkokaupoissa. Tätä rajoittaa tietysti se, että vaihtoehtoja on 1 000 kpl ja se, että moniin verkkokauppoihin tarvitaan vielä erillinen varmennus (kuten Suomessa pankkien TUPAS-tunnistautumisella). Tuhannen numeron läpikäyminen ei kuitenkaan ole temppu eikä mikään tietokoneelle, mutta pankkien väärinkäytöksiä havaitsevat ja estävät järjestelmät todennäköisesti huomaisivat tällaisen ns. brute force -hyökkäyksen.
 

6. VÄITE:
Kortin tiedot voi lukea enintään 2 cm etäisyydeltä, joten todellista uhkaa ei ole.
Tavallisella muutaman kympin maksavalla lukijalla tiedot voidaan lukea n. 10 cm päästä. On mahdollista, että etäisyyttä voi kasvattaa paremmalla laitteistolla.

7. Voiko vilpillinen kauppias tehdä ylimääräisiä veloituksia ohikulkijoiden korteilta?
Teoriassa kyllä. Kauppias jäänee vilpillisestä toiminnasta kuitenkin hyvin nopeasti kiinni

2016: Toiminta vaatii sopimuksen maksujen välittäjän kanssa ja rahat tulee siirtää nimetyn henkilön pankkitilille. Toisaalta tulee huomioida, että korttimaksaminen yleistyy kovaa vauhtia myös yksityishenkilöiden välillä (esim. iZettlen ratkaisut) eli kynnys alkaa vastaanottaa korttimaksuja on jo melko pieni. Korkea kiinnijäämisriski ei myöskään aina estä rikollisuutta. Esim. monissa nettihuutokaupoissa myydään olematonta tavaraa, ja rahat pyydetään omalle pankkitilille.
 

8. Minkä muun tyyppisiä hyökkäyksiä lähimaksukortteja vastaan voi tehdä?
Uudelleenohjaamalla viestit (ns. relay-hyökkäys) voidaan tehdä lähimaksu vaikka toiselle puolelle maapalloa. Tämä kuitenkin edellyttää, että kortin välittömässä läheisyydessä on NFC-lukija, joka välittää tiedot esimerkiksi internetin yli toiselle NFC-lukijalle, joka puolestaan on maksuautomaatin välittömässä läheisyydessä. Molempien NFC-lukijoiden tulee olla samanaikaisesti maksukortin ja maksuautomaatin välittömässä läheisyydessä lyhyen hetken. NFC-lukijana voi toimia esim. älypuhelin.

9. Voiko NFC-sirulta kopioidulla tiedolla luoda toimivan korttikopion?
Ei voi. NFC- tai EMV-sirulta ei voi lukea sellaista tietoa, jonka avulla voisi luoda toisen kortin, jossa on toimiva EMV- ja/tai NFC-siru. Vaikka NFC- ja EMV-siruilta löytyy myös magneettiraidan sisältämä vastaava tieto (ns. uratieto), ei se kuitenkaan mahdollista magneettiraidan kopioimista, sillä tieto ei ole täysin identtinen oikean magneettiraidan sisältämän tiedon kanssa.

10. VÄITE:
Väärinkäyttöriski rajautuu 25 euroon, joten asiasta on turha murehtia.
Lähimaksuostot ovat tyypillisesti rajattu 25 euroon, ja niitä voi tehdä enintään muutaman kappaleen jonka jälkeen tulee syöttää PIN-koodi. Jos korttia kuitenkin väärinkäyttää esim. verkkokaupassa (etäostos), ei tämä rajoitus ole voimassa, vaan kortilta voi pahimmassa tapauksessa ostaa niin paljon kuin mitä luottoraja tai tilin saldo sallii.

11. VÄITE:
Väärinkäytökset voi estää tai minimoida erillisillä käyttörajoituksilla.
Totta. Monet pankit tarjoavat esim. erillisiä päiväkohtaisia käyttörajoituksia eri maksutyypeille sekä esimerkiksi geoblokkausta (esim. kortti toimii vain Pohjoismaissa ja verkkokaupassa, ei muissa maissa). Näitä ominaisuuksia säätämällä väärinkäytösriskin voi joko estää tai sitä voi pienentää. Haittapuolena kuitenkin saatetaan menettää yksi kansainvälisten maksukorttien suurin etu: ne käyvät kaikkialla ja niillä on helppo ja nopea maksaa. Sopivien rajoitusten asettaminen vaatii siis kortinhaltijalta aina jonkin verran aikaa ja vaivaa, ja on näin lopulta kompromissi turvallisuuden ja käytettävyyden välillä.

12. VÄITE:
Rikolliset eivät voi lukea kortilta tietoa mikäli kortti on RFID-suojatussa lompakossa.
Totta. Oikein toteutettuna suojattu lompakko muodostaa kortin ympärille ns. Faradayn häkin, joka estää kortin lukemisen lompakon läpi. Tee-se-itse -mies käärii kortin ja koko lompakon folioon.

13. Miten etäostoksiin liittyvän väärinkäytösriskin olisi voinut estää korttia suunniteltaessa?
NFC-sirulla voisi olla kortin päälle painetusta poikkeava korttinumero. Näin etäostokset olisi voitu rajata vain painetulle numerolle, ja vastaavasti sallia lähimaksuostot vain NFC-sirulla olevalle numerolle. Pankin järjestelmät eivät välttämättä kuitenkaan tue kortteja, joilla on useita maksukorttinumeroita. Tämä ei myöskään estäisi aiemmin kuvattua relay-hyökkäystä (kohta 8).

14. VÄITE:
Lähimaksukortit lisäävät osaltaan kuluttajan turvallisuutta, kun PIN-koodin käyttö vähenee.
Totta. Lähimaksukortit vähentävät PIN-koodien näpyttelyä, joka puolestaan vaikeuttaa PIN-koodin urkkimista. Erityisen hyödyllisenä tämä voidaan nähdä esimerkiksi  yökerhoissa, joissa tehdään tyypillisesti monta alle 25 euron transaktiota ja joissa tarkkaavaisuus on heikentynyt ja urkintariski on keskimääräistä suurempi. Perinteisiä sirukortteja on moitittu siitä, että sama PIN-koodi tarvitaan sekä mitättömän pieniin että erittäin suuriin ostoksiin.

15. VÄITE:
Lähimaksukortin olisi voinut korvata nykyisellä sirukortilla siten, että PIN-koodin kysely olisi poistettu pienistä ostoksista.
Sirukortti tukee toiminnallisuutta, jossa maksu tapahtuu työntämällä kortti maksupäätteeseen, eikä PIN-koodia kysytä.

2016: Tämä ei täysin vastaa lähiluettavien korttien toiminnallisuutta mutta on melko lähellä sitä. Tällainen maksutapa on Suomessakin käytössä mm. joissakin parkkihalleissa.

16. Mitä muuta tietoa korteilta saa luettua?
Tämä riippuu kortista, mutta mm. seuraavat tiedot olemme onnistuneet lukemaan kortilta:

- Kortinhaltijan nimi (VISA-kortilta, mutta ei MasterCard-kortilta)
- Kielivalinta
- Edellisiä sirumaksutapahtumia (katso kohta 17)
- Magneettiraidan uratietoa vastaava tieto (ei identtinen)
- Teknistä tietoa

Lisäksi tietysti kortin numerosta voi päätellä pankin sekä mikä kortti on kyseessä (esim. tavallinen VISA tai VISA Gold).

17. Voiko kortilta todella nähdä, että olen käynyt Kallen Kukkakaupassa ostoksilla?
Ei voi. Ostohistoriasta näkyy ainoastaan muutaman edellisen siru- ja lähimaksun ostopäivämäärä, loppusumma ja valuutta. Kaupan nimi ei siis tallennu kortille. Etä- ja magneettiraitaostokset eivät luonnollisesti myöskään tallennu kortille.

18. VÄITE:
NFC-sirulta luettavissa olevat tiedot voi lukea myös EMV-sirulta, magneettiraidalta tai kortin päältä. Mikään ei siis todellisuudessa ole muuttunut, vaan tiedot on aina voitu lukea kortilta hyvinkin helposti.
On totta, että EMV-sirulta, magneettiraidalta ja kortin päältä voi lukea vastaavaa tietoa kuin mitä NFC-sirulta. Tilanne on kuitenkin siinä mielessä muuttunut, että NFC-sirulta tiedot voidaan lukea ilman kortinhaltijan selkeää tahdonilmaisua. Jotta perinteisen maksukortin tiedot voidaan lukea, on kortti näytettävä kolmannelle osapuolelle tai se pitää syöttää maksupäätteeseen/magneettijuovanlukijaan. NFC-kortin osalta riittää, että tiedoista kiinnostunut pääsee hetkeksi riittävän lähelle korttia. Lisäksi NFC-lukijat (toisin kuin EMV-sirulukijat tai magneettiraidanlukijat) ovat kaikilla mukana, sillä ne ovat usein jo osa älypuhelinten vakiovarustusta.

Yhteenvetona voidaan sanoa, että NFC-kortteja vastaan on mahdollista hyökätä ainakin muutamalla eri tavalla (väite 3, kohdat 7 ja 8). Toisaalta vastuu tämän tyyppisistä väärinkäytöksistä on yleensä pankilla, mutta kortinhaltijan tulee silti seurata kortilta tehtäviä veloituksia. Tämän tyyppisiä väärinkäytöksiä ei kuitenkaan tietojemme mukaan ole esiintynyt. Meidän on myös vaikea ennustaa minkä tyyppisiä korttirikoksia rikolliset tulevaisuudessa tekevät. Tilanteen tekee kuitenkin mielenkiintoiseksi se, että tulevaisuudessa entistä suurempi osa maksukorteista on varustettu lähimaksuominaisuudella, ja samanaikaisesti entistä suurempi osa puhelimista on varustettu NFC-lukijalla. Toisaalta lähimaksukorteista on myös hyötyä: maksaminen nopeutuu, eikä PIN-koodia välttämättä tarvitse näppäillä turvattomassa ympäristössä.