HS: Tekniikan maailma -lehti onnistui lukemaan lähimaksukortin tiedot metrin päästä – pitääkö siitä olla huolissaan?

18.4.2017

Onko lähimaksukortti turvallinen vai ei?

Siitä asti, kun nfc-sirulla varustettuja lähimaksukortteja alkoi ilmestyä suomalaisten lompakoihin, on myös liikkunut huhuja ja huolia niiden turvaongelmista. Tätä nykyä melkein jokaisen suomalaisen taskusta löytyy lähimaksukortti. Moni on ottanut käyttöön myös nfc-sirua käyttävän mobiilimaksun matkapuhelimessaan.

Keskustelupalstoilla ja nettivideoissa on esitelty, miten kannettavalla maksupäätteellä on imuroitu maksuja ohikulkijoiden tai metromatkustajien korteista.

Keskiviikkona Tekniikan maailma -lehti kertoi, että se oli onnistunut tehokkaalla radiolaitteella lukemaan nfc-sirulla varustetun luottokortin tietoja jopa metrin etäisyydeltä. Lehti varoitteli artikkelissaan myös maksujen imuroinnin vaarasta.

Pitääkö näistä väitteistä olla huolissaan?

Ensinnäkin kyse on kahdesta vähän eri asiasta. Lähimaksujen imuroiminen maksupäätteellä ohikulkijoiden korteista ei ole edes teknisesti helppoa. Päätteen pitää olla hyvin lähellä korttia, käytännössä lähes kiinni kortissa, niin kuin jokainen lähimaksua käyttänyt on voinut havaita.

”Päätteet on sertifioitu niin, että maksimilukuetäisyys on neljä senttiä ja pääte piippaa kun lukeminen tapahtuu”, sanoo korttipalveluyhtiö Netsin kaupallinen johtaja Sami Toivonen.

Maksujen lukeminen päätteellä ei kuitenkaan riitä. Jotta maksujen imuroija saisi kortin omistajan rahat omalle tililleen, hänellä pitäisi olla korttitilityssopimus pankin kanssa.

”Jo pankkitilin saaminen edellyttää aina asiakkaan tuntemiskyselyn täyttämistä ja tunnistamista. Korttiyhtiöt Visa ja Mastercard tekevät myös tiettyjä tarkistuksia ja ovat määritelleet tarkasti korttitilityssopimusten ehdot”, Toivonen sanoo.

Käytännössä maksupäätteen vilauttelija jäisi siis heti kiinni, koska pankki tietäisi kenen tilille maksut ovat päätyneet. Niinpä tämän tyyppisiä rikoksia ei ole ainakaan Suomessa tehty yhtään.

”Tiedossamme ei ole lähimaksuihin liittyvää rikollisuutta. Korttia voi käyttää aivan huoletta kunhan pitää huolen siitä, että ilmoittaa välittömästi, jos kortti katoaa. Tämä koskee maksukortteja tietysti noin yleisestikin”, sanoo korttimaksamisen asiantuntija Kirsi Klepp Finanssialan keskusliitosta.

Lähimaksukortilla voi maksaa kerralla enintään 25 euron ostokset, ja pääte pyytää asiakasta joka tapauksessa aika ajoin syöttämään myös tunnusluvun.

Maksukortin tietojen eli luottokorttinumeron ja voimassaolopäivän lukeminen eli skimmaaminen jopa metrin päästä tehokkaalla radiolaitteella sen sijaan on Toivosen mukaan teknisesti mahdollista.

”Laboratorio-oloissa se on varmasti ainakin mahdollista, mutta siihen tarvitaan tehokas laite. Millään taskukokoisella laitteella se ei onnistu.”

Kortin takapuolelta löytyvää CVV- eli turvakoodia skimmaamalla ei saa selville.

Kaikki verkkokaupat eivät vaadi CVV-koodia tai muuta varmistusta korttiostajalta. Niissä voi siis ainakin teoriassa ostaa pelkällä korttinumerolla ja voimassaolopäivällä.

Toivosen mukaan korttimaksuja varmistetaan näissäkin tapauksissa myös pinnan alla kulkevalla riskianalyysillä, joka analysoi kortin käyttöä suhteessa esimerkiksi asiakkaan aiempaan käyttöön ja kortinhaltijan osoitteeseen.

Joissain tapauksissa kortti saatetaan jopa sulkea automaattisesti tai ainakin soittaa kortin haltijalle ja varmistaa ettei kortti ole rikollisen hallussa.

”Ja jos varastettujen korttitietojen käyttäminen tästä huolimatta onnistuisi, vastuu ei ole kuluttajalla vaan kaupalla tai luottokorttiyhtiöllä”, Toivonen sanoo.

Kaupoissa on myynnissä erilaisia nfc-sirun lukemisen estäviä lompakoita ja kuoria. Myös kortin kääriminen alumiinifolioon riittää eristämään sirun. Toivosen mukaan suojautuminen ei ole tarpeen.

”Jo kahden nfc-kortin pitäminen päällekkäin lompakossa sekoittaa aika hyvin yritykset lukea korttia”, Toivonen sanoo.

Tämän on havainnut jokainen, joka on yrittänyt maksaa mobiilimaksua kännykällä, jonka kotelossa on muita maksukortteja. Se ei onnistu.

Lue uutinen: Helsingin Sanomat