keskiviikko 17. maaliskuuta 2010

Kuka korvaa, jos rosvo tyhjentää tilin?

Hesarin kuluttajasivuilla kerrotaan naisesta, jolta varastettiin lompakko ja sen mukana sirullinen pankkikortti. Tunnuslukua ei ollut lompakossa, mutta silti rosvo oli tyhjentänyt tilin alle tunnissa. Pankin mielestä vahinko oli naisen omaa syytä. Pankissa ei uskottu, että tiliä olisi voitu tyhjentää ilman tunnuslukua.

Kun pankkia vastassa on vain asiakkaan sana, tilanne on hankala. Miten asiakas voisi todistaa, että on säilyttänyt tunnuslukua riittävän huolellisesti? Kyse voi olla henkilökohtaisen talouden kannalta isoHelppoa ratkaisua ei ole. ista summista.

Periaatteessa tiliä ei voi tyhjentää pelkällä kortilla. Tunnusluku on saatava jostain. Luku voidaan urkkia automaatilla asioinnin yhteydessä, mutta tässä tapauksessa henkilö kertoi käyneensä automaatilla viimeksi kaksi päivää aikaisemmin.

On mahdollista, että rosvot ovat olleet suunnitelmallisia ja seuranneet uhria kahden päivän ajan. Tai jos henkilö on liikkunut saman reitin junalla töistä kotiin joka päivä, tekijät ovat saattaneet jäädä odottamaan sopivaa tilaisuutta. Kun vastustajana on ihminen, toisto on tietoturvan vihollinen.

On toinenkin selitys: tunnusluvun joutuu syöttämään lähes aina, kun korttia käyttää kaupassa, taksissa tai jossain muussa paikassa. Näissä tilanteissa näppäimistöä on vaikea peittää niin, ettei kukaan muu näkisi sitä.

Viime kädessä ongelma kuuluu pankille. Sen kannalta olisi ikävää, jos luottamus korttimaksamiseen ja pankkipalveluihin kärsisi, tai jos ihmiset siirtyisivät takaisin käteiseen (totta, sitä on vielä helpompi varastaa, mutta ainakin uhri tietää mitä on tapahtunut ja pystyy rajoittamaan vahingon määrää).

Epäselvissä tapauksissa riita pitäisi aina ratkaista asiakkaan eduksi. Lisäksi pankkien pitäisi mainostaa aktiivisesti nostorajoituksia ja muita suojakeinoja. Varsinkin kauppojen maksupäätteiden urkintasuojausta tulisi kehittää. Nyt urkinta on aivan liian helppoa. Käyttämässäni kahvilassa numeronäppäimistön ympärillä ei ole mitään näkösuojaa.

Yksi keino olisi kehittää jonkinlainen vahinkovakuutus, vähän kuin autoissa. Mutta niissäkin maksaminen perustuu syyllisyyden selvittämiseen. Jos asiakas huomaa tilinsä tyhjentyneen, ei syyllisyyttä voi todistaa.

Toinen keino olisi jonkinlainen pankkien yhteinen korvausrahasto. Sekään ei ole ongelmaton. Jos korvaus olisi automaattinen, ihmisten oma huolellisuus voisi vähentyä.

3 kommenttia:

Anonyymi kirjoitti...

I
Eikö maksupäätteen näppäimen painnallus aiheuta tietyn taajuisen pulssijonon, ja näin ei tarvitsisi katsella mitä näppäintä painaa, vaan kuunnella.

II
Kuinka voidaan havaita tahallinen maksukortin kadottaminen.

Kadotan harkitusti maksukorttini ensimmäisen kortin käytön jälkeen, ja tämän jälkeen tili tyhjennettiin. Maksukortin löytää sopimushenkilö ja väitän, että ketään ei ollut lähettyvillä kun kortilla maksoin, ja lisäksi suojasin näppäinten painallukset niin hyvin kuin osasin.

Jälkeenpäin jaan potin sopimushenkilön kanssa ja jään odottamaan pankin korvausta.

Eli, kuinka pankit tunnistavat tahalliset ja tahattomat korttien kadottamiset?

Anonyymi kirjoitti...

Ravintolat ovat kaikkein helpoin paikka saada ihmisten tunnuslukuja tietoonsa. Humalaiset asiakkaat eivät kiinnitä mitään huomiota näppäimistön peittämiseen, ja ruuhkaisella baaritiskillä ollaan jo valmiiksi aivan tappituntumassa, eli 'hyökkääjän' ei tarvitse edes aktiivisesti urkkia, sen kuin katselee kun ihmiset antavat tunnuslukunsa pois. Myöhemmin illalla avautuu varmasti useita tilaisuuksia näpistää itse kortit.

Jostain syystä ihmiset haluavat maksaa muutamien eurojen drinkkitilauksensa kortilla vaikka käteinen olisi selvästi nopeampi, vaivattomampi ja turvallisempi vaihtoehto.

Anonyymi kirjoitti...

Monessa suhteessa sirukorttiin siirtyminen on askel taaksepäin, todellinen turvallisuus on yksi näistä.

Kyllähän ennenkin on voinut kuittiin kirjoittaa vaikkapa Matti Vanhanen ja se on mennyt läpi, mutta tuolla nimikirjoituksella ei ole sentään voinut tyhjentää vieraan tiliä samaan tapaan kuin nuorisosäätiön tilit. Nyt pin-koodin saaminen tietoon, mikä on aika helppoa kun sitä joudutaan syöttämään monessa paikassa, riittää kaikkeen.

Monellakohan taksin videotallenteella näkyy asiakkaan pin-koodi?

Irtolaitteissa ei ole yleensä otettu mitenkään huomioon koodin syöttämisen suojaamista, asiakkaan kädet ovat yleensä varattuja laitteen pitelemisessä ja näppäilyissä.

Website Security Test