Etäluettavien maksukorttien turvallisuudesta

Toukokuu 13, 2013 at 10:30

NFC-maksukorttien (Near Field Communication) eli etäluettavien maksukorttien tulosta on puhuttu alan seminaareissa jo pitkään, ja niiden on vakuutettu olevan täysin turvallisia. Etäluettavalla kortilla tapahtuvaa maksua kutsutaan lähimaksamiseksi. Kortin turvallisuus perustuu mm. seuraaviin tekijöihin:

  • Lähimaksujen maksimisumma on rajattu Suomessa 25 euroon
  • PIN-koodia kysytään muutaman maksutapahtuman jälkeen
  • Lukumatka on lyhyt, vain joitakin senttimetrejä
  • PIN-koodin käyttö vähenee, mikä vähentää PIN-koodin urkintaan liittyviä riskejä
  • Kortilta saa luettua vain rajallisen määrän tietoa.

Jo alusta saakka on kuitenkin käynyt ilmi, että kortilta voi lukea mm. maksukorttinumeron sekä kortin voimassaoloajan.

Maksukorttiturvallisuutta arvioiville tarkastajille (PCI QSA, Payment Card Industry Qualified Security Assessor) opetetaan, että ostoksen tekoon vaaditaan vähintään juuri nämä tiedot. Näin ollen radioteitse luettua tieto olisi mahdollista väärinkäyttää.

Päätimme Nixussa selvittää käytännön kokeella miten helppoa kortin väärinkäyttö on. Hankimme suomalaisen NFC:tä tukevan VISA Debit -maksukortin ja muutaman kympin maksaneen lukijan, ja luimme alle sekunnissa kortin ollessa lompakossa ja taskussa seuraavat tiedot:

 (kuvan kortti ja lukija eivät liity testeihimme)

  • Maksukorttinumero
  • Voimassaoloaika
  • Kortinhaltijan nimi (ei välttämätön ostoksen tekoon).

Tämän jälkeen kirjauduimme keksityllä sähköpostiosoitteella erääseen suureen, kansainväliseen verkkokauppaan ja teimme yli 25 euron ostoksen edellä olevia tietoja hyväksikäyttäen. Ostokset tilattiin eri osoitteeseen kuin mihin kortti on rekisteröity, aivan kuten oikea hyökkääjäkin tekisi. Ostos hyväksyttiin ja tuotteet toimitettiin perille muutaman päivän kuluttua. Verkko-ostoksen summa ei siis ole rajattu 25 euroon, vaan sitä rajaa ainoastaan pankkitilin saldo tai luottoraja sekä mahdolliset kortille asetetut käyttörajat.

Tämä esimerkki osoittaa, että kortilta luettuja tietoja on mahdollista väärinkäyttää. On totta, että hyvin suuri osa verkkokaupoista kuitenkin edellyttää vielä erillisen turvakoodin sekä muita varmennuksia, ennen kuin hyväksyvät ostokset. Voidaan kuitenkin kysyä onko sillä merkitystä niin kauan kun meillä on yksikin verkkokauppa, joka ei näin toimi? Monille verkkokaupoille ostamisen helppous on niin tärkeä kilpailuetu, että ne ovat valmiita hyväksymään siitä koituvat riskit, eivätkä siksi edes halua lisätä turvatasoaan.

Etälukua vierustoverin taskusta

Väärillä maksukorttitiedoilla tehdyt ostokset myös kiinnostavat rikollisia, sillä ostetut tuotteet on helppo vaihtaa rahaksi. Esimerkiksi monet muodissa olevat teknologiatuotteet (älypuhelimet, tabletit jne.) ovat erittäin kysyttyä tavaraa pimeillä markkinoilla, ja niistä ollaan myös valmiita maksamaan hyvä hinta.

Lyhyt lukumatka tietysti ehkäisee tämän tyyppistä toimintaa, mutta ei tee sitä kuitenkaan mahdottomaksi. Kotikäyttöön tehdyillä laitteilla päästään noin 10 cm etäisyyksiin, joka mahdollistaa vierustoverin kortin lukemisen ruuhkaisissa tiloissa. Joissain tutkimuksissa on kerrottu jopa yhden metrin etäisyydestä ammattimaisilla laitteilla, mikä avaa vielä paremmat mahdollisuudet skannailuun.

Ammattirikollisille löytyy varmasti helpompia tapoja hankkia maksukorttinumeroita kuin ohikulkijoiden skannailu, mutta voisiko tällainen toiminta nousta pikkurikollisten suosioon? Kohta meillä nimittäin on tilanne, jossa kaikilla on etäluettava kortti mukanaan, mutta myös niiden lukija, eli älypuhelin. Kun skannauksen voi tehdä vieläpä varsin huomaamattomasti ja ilmeisesti lakia rikkomatta, niin se saattaa lisätä kiinnostusta. Jos vaihtoehtona on kaupasta näpistely ja perinteiset taskuvarkaudet tai korttien skannaus, niin kumman valitsisit?

PIN-koodin kyselytarpeen väheneminen pikkuostoksien yhteydessä on tervetullut uudistus, joka osaltaan vähentää rikollisuutta, sillä PIN-koodin urkinta muuttuu vaikeammaksi. Tämän toteuttaminen ei toisaalta vaadi NFC:tä. Asia olisi nimittäin voitu toteuttaa siten, että sirukortti työnnetään normaalisti lukijaan ja pikkuostoksissa PIN-koodin syöttöä ei edellytetä. Tällöin maksaminen olisi lähes yhtä nopeaa kuin kortin vilauttaminen, mutta korttinumeron kopiointi olisi huomattavasti vaikeampaa.

On hyvä muistaa, että kuluttaja ei joudu maksumieheksi väärinkäytöstilanteessa, vaan kulut jäävät pankin ja kauppiaan väliseksi asiaksi. Harmia siitä voi kuitenkin koitua, etenkin jos kortti joudutaan sulkemaan, eikä toista korttia ole matkassa mukana.

Etäluettavat kortit eivät missään nimessä ole huono asia, vaan esimerkiksi erilaiset matkakortit toimivat jo nyt erittäin hyvin, ja niiden väärinkäyttö on vaikeaa. Aika näyttää onko etäluettavien maksukorttien turva riittävällä tasolla, vai tullaanko niitä hyödyntämään maksukorttirikollisuudessa.