Yle: Hämärämiehillä ja tutkijoilla sama tavoite: pankkikortin sirun murto

10.12.2015

Ruotsissa korttien kopiointikoplat olivat puuhissaan viime vuonna aktiivisia, etenkin öljy-yhtiöiden automaateilla. Uuttera oli poliisikin, ja kiinniottoja oli paljon. Siksi toiminta siirtyi muualle, myös Suomeen.

Keskusrikospoliisin korttirikosten asiantuntija, rikosylikonstaapeli Tero Toivonen kertoo, että pankkikorttien magneettijuovien kopiointi oli huipussaan vuosina 2009 ja 2011. Huippuvuosista on tultu reippaasti alaspäin.

Tänä vuonna kopiointirikollisuus on taas nostanut päätään. Tälle on olemassa looginen syy.

– Ruotsissa rikolliset olivat aktiivisia viime vuonna, ja me ajattelimme, että jossain vaiheessa aalto saavuttaa Suomen. Tämä on kansainvälistä liiketoimintaa, ja kun tuntuu, että yhdessä maassa tulevaisuudennäkymiä ei enää ole, mennään uudelle markkina-alueelle.

Korttien kopiointiyrityksiä oli viime vuonna Ruotsissa erityisen paljon öljy-yhtiöiden automaateilla. Kiinniottoja tehtiin runsaasti, ja pankit ja poliisi kehittivät yhteistyössä torjuntatoimia. Niinpä toiminta siirtyi muualle, Suomeenkin. Toivonen kertoo, että EU-maat pitävät toisensa ajan tasalla, ja Suomi sai Ruotsilta tietoja kopioijista.

Toivosen mukaan Suomi saattaa jopa olla Euroopan ykkönen kopiointilaitteiden asentajien kiinniotossa. Rikolliset jaksavat kuitenkin yrittää, eikä poliisi tiedä, kuinka moni yritys onnistuu.

Rikolliset aikeet voivat pysähtyä geoblokkaukseen

EU-maissa korttia käytetään sirulla, jota ei niin vain kopioida. Sirussa on käyttöjärjestelmä, jossa on muistia ja ohjelmia, ja siru keskustelee automaatin välityksellä pankin kanssa. Matkalla on useita varmenteita.

Sekä tutkijat että rikolliset etsivät sirun heikkouksia. Kun pankki tai korttivalmistaja saa niistä tiedon, heikkous joko tukitaan tai luokitellaan vain teoreettiseksi uhaksi.

Rikolliset kopioivatkin kortista magneettijuovan. Se on staattinen, teknisesti heikko ja helposti kopioitavissa.

Magneettijuovan kopiointilaite eli skimmauslaite on yleensä automaatin – esimerkiksi lippu-, käteis- tai tankkausautomaatin – kortinsyöttöaukolla, ja asiakas syöttää pankkikorttinsa skimmauslaitteen läpi. Dataa voidaan kaapata myös automaatin emolevyltä, jos automaatti on onnistuttu avaamaan. Usein manipulointi havaitaan. 

– Vaarallinen yhdistelmä on se, että rikollinen saa haltuunsa kortin magneettijuovan ja pin-koodin, sanoo rikosylikonstaapeli Toivonen.

Monesti automaattiin asennetaankin sekä kortin lukijalaite että kamera, joka videokuvaa näppäimistöä. On olemassa myös valenäppäimistöjä, jotka tallentavat pin-koodin.

Jos kortissa on geoblokkaus eli maarajaus päällä, eli kortti toimii esimerkiksi vain Euroopassa, rikolliset eivät saa kopiokortilla rahaa Euroopan ulkopuolella.

Poliisin asiantuntija: En menettäisi yöuniani kopioinnin pelossa

Keskusrikospoliisin asiantuntija korostaa, että kortin kopiointi ei ole asiakkaan ongelma. Lähtökohtaisesti hänelle ei koidu menetyksiä.

Ihmiset ovat aivan turhaan huolissaan, rauhoittelee Toivonen. Suomalaisilla korteilla tehdään yli miljardi transaktiota vuodessa, ja Suomen poliisille tehdään joitakin tuhansia korttien väärinkäyttöilmoituksia. Skimmausyrityksiä on ehkä tusina vuodessa, ja niistä arviolta puolet onnistuu eli johtaa jossain vaiheessa maksuliikennepetokseen.

– Tappion hoitaa aina joku muu kuin asiakas, koska kyse on järjestäytyneestä rikollisuudesta, eikä voi olettaa, että vastuu olisi kansalaisella, kun hän ei millään lailla pysty kopiointia välttämättä estämään. Yöunien menettäminen korttikopioinnin pelon takia on energianhukkaa.

Poliisi sanoo estäneensä monen ikävän ilmiön rantautumisen Suomeen

Toivonen kertoo, että poliisi pystyy panemaan kapuloita kopiointikoplien rattaisiin. Koplat ovat usein itäeurooppalaisia.

– Monia väärinkäyttötapoja pystytään ehkäisemään. Kun saamme tiedon, että jokin huijaus onnistui Ranskassa tai Britanniassa, kerromme pankeille tai tietoturvayrityksille, jotka muuttavat tietoliikenneinfraa niin, että rikollisten konsti ei enää onnistukaan Suomessa. Näin ilmiö ei ikinä leviä Suomeen. Tämä on onnistunut Suomen poliisilta vuosien mittaan useasti.

Suomelle on etua sijainnistaan Euroopan laitamilla. Suomi ei ole rahakeskus eikä ohikulkupaikka. Tänne pitää varta vasten tulla.

– Mitään temppua ei kokeilla Suomessa ensimmäistä kertaa. 

Poliisi ja pankit perustivat kolme vuotta sitten yhteisen korttiturvallisuus.fi-sivun. Sieltä löytyvät muun muassa korttien sulkunumerot. Kun kortti katoaa, on kiire, ja silloin sulkunumeron pitäisi oitis löytyä puhelimesta.

Nostojen ja ostojen ylärajaa voi helposti säädellä verkkopankissa

OP:n riskienhallintapäällikkö Samuli Pehkonen sanoo, että pankkikorttien helposti kopioitavista magneettijuovista ei voida luopua, koska ne ovat käytössä Euroopan ulkopuolella. Ei tarvitse mennä kovinkaan kauas Euroopasta, kun siruista ei ole kuultukaan.

Oman kortin päivittäisiä turvarajoja on helppo säädellä verkkopankissa.

Riskienhallintapäällikkö itse pitää esimerkiksi verkko-ostosten käyttörajan nollassa ja käy nostamassa rajaa, mikäli aikoo shoppailla verkkokaupassa. OP:ssa muutos tulee kortin käteiskäyttöpuolella voimaan välittömästi, luottopuolella aikaa voi kulua pari tuntia.

Pehkosen mukaan monilla asiakkailla on turhan korkeat turvarajat myös käteisnostoille. Asiakkaan on syytä miettiä, tarvitseeko todellakin tuhansien eurojen nostorajan. Korkeista nostorajoista hyötyy rikollinen, joka onnistuu kopioimaan pankkikortin. Pankki korvaa mahdollisen vahingon asiakkaalle.

Pehkonen patistaa kortinkäyttäjiä muistamaan myös vanhan neuvon: tunnusluku on näppäiltävä kämmenen suojassa.

OP:ssa geoblokkaus ei vielä ole käytössä, mutta Nordeasta kerrotaan, että maarajauksen voi tehdä verkkopankissa, soittamalla asiakaspalveluun tai käymällä konttorissa.

Lue uutinen: Yle 8.12.2015