maanantai 28. maaliskuuta 2016

Käytössäsi olevan kortin uusinta

Nordea muisti kirjeellä, jonka otsikkona oli yksinkertaisesti Käytössäsi olevan kortin uusinta. Viestinä kerrottiin, että kortti uusitaan turvallisuussyistä. "Käytössäsi olevan kortin tiedot ovat mahdollisesti vaarantuneet tietomurron yhteydessä. Tästä syystä saatamme joutua turvallisuussyistä estämään nykyisen kortin credit-ominaisuuden käytön. Olemme tilanneet sinulle uuden kortin uudella korttinumerolla".

Olisi kiinnostavaa tietää, mikä tietomurto on kyseessä. Sitä kirje ei kerro. Oliko korttinumero oikeasti päätynyt vääriin käsiin? Sitäkään ei mainita. Voisinko jatkossa olla varovaisempi? Ei aavistustakaan. Toivottavasti uusi tietosuojadirektiivi lisää yritysten velvollisuutta tietojen kertomiseen.

Nordea lohduttaa lihavoidulla väliotsikolla että "Uusi kortti, sama tunnusluku". Onhan sekin jo jotain. Aktiiviselle verkko-ostajalle suurempi ongelma on kortin numeron, voimassaoloajan ja sen toisen tunnusluvun (CCV) muuttuminen. Niiden opettelu vie aikansa, ja uuden kortin tiedot on päivitettävä kaikkiin niihin palveluihin, joissa on jatkuva kuukausiveloitus. Netflix ja Spotify ovat jo muistuttaneet sähköpostilla veloituksen epäonnistumisesta ja kehottaneet korjaamaan tiedot.

Kiinnostavaa on, että Nordean uusi kortti tuli tavallisessa kirjekuoressa kadun vieressä olevaan postilaatikkoon. Mukana oli vain ohjeteksti "Allekirjoita korttisi ennen käyttöönottoa."

Postin tuoma kortti on allekirjoituksen jälkeen valmis käyttöön.
Jos joku olisi napannut kirjekuoren laatikosta, hän olisi saanut käyttövalmiin kortin. Sillä olisi voinut tilata tavaroita ulkomaisista verkkokaupoista, koska numero, voimassaoloaika ja CCV-koodi ovat tiedossa. Kotimaiset kaupat varmistavat luottokorttiostokset yleensä pankkitunnuksilla, mikä antaa lisää suojaa.

Silti odottaisi, että kortti pitäisi vähintään kuitata verkkopankissa ennen käyttöönottoa. Pankit ovat erittäin tarkkoja tietomurroista ja verkkorikoksista, ja vaihtavat kortteja jopa varmuuden vuoksi, mutta lähettävät silti kortteja tavallisissa kirjekuorissa, vaikka postivarkauden riski on ilmeinen.

Vielä toinen asia verkkopankeista. Tänään 2. pääsiäispäivänä sähköpostiin ilmestyi viesti OP-pankilta:

Näyttää tiedonkalastelulta.
Yleinen muistisääntö on, etteivät suomalaiset pankit koskaan lähetä oma-aloitteisesti sähköpostia asiakkailleen. Niinpä tämänkin täytyy olla huijausviesti, joka kalastelee tunnuksia. Eikä viesteissä ainakaan pitäisi olla linkkiä nettipalveluun!

OP:n viesti on ymmärtääkseni aito, vaikka näyttääkin erittäin epäilyttävältä. Pankin pyhäpäivänä lähettämä viesti, jossa on toimiva linkki, rikkoo kaikkia tietoturvasta annettuja ohjeita. Linkki tosin on sähköpostiohjelman itsensä luoma -- Outlook ei sitä näytä, mutta Macin Mail näyttää:
Macin Mail-sähköposti näyttää jopa toimivan linkin.
OP:n viesti ei ole varsinainen tietoturvariski, mutta vastaanottajan kannalta se on erittäin hämäävä. Olisikohan myös OP:lla syytä tarkistaa menetelmiään?

11 kommenttia:

Teppo kirjoitti...

Ei ole Nordean käsialaa tuo teksti, sain syksyllä OP:n kortista samanlaisen viestin tekstiviestillä. Luottopuoli toimi noin viikon tuon jälkeen kunnes se kahta peräkkäistä junalippua ostaessa kieltäytyi jälkimmäisestä maksusta.

OP:lla kortti piti käydä hakemassa konttorista, tällä ensimmäisellä uusinnalla lähettivät verkkopalvelussa viestin kun kortti oli noutovalmis, ja konttorissa piti allekirjoittaa uusi korttiaopimus. Toinen uusintakerta oli tämän vuoden tammikuussa kun ilmeisesti hotels.com:n kautta oli korttinumero päätynyt vääriiin käsiin ja sillä oli myös veloituksia tehty. Tästä uusinnasta ei tullut muuta infoa kuin kotiin postitetussa tunnuslukukuoressa olut maininta että kortin voi noutaa noin viikon päästä konttorista, tälläkertaa ei tarvittu allekirjoitusta.

Jori kirjoitti...

Minulle on kaksi kertaa käynyt OP:n kortin kanssa niin, että kortti on noin vain kadonnut heidän järjestelmästään siten, että asiakaspalvelussa ei korttia ole näkynyt minun tiedoissani. Kaivelemalla se on toki löytynyt, mutta joku on sen käynyt sulkemassa jollain tavallista kovemmalla tavalla ja aina on ratkaisuna ollut vain uuden kortin tilaus. Viimeisimmällä kerralla kortin oli kuulemma sulkenut joku tietty henkilö tietyssä konttorissa ja vain hän yksin osaisi kertoa, mikä sulkemisen syynä oli. Kuinka ollakaan, ko. henkilö oli epämääräisen pituisella sairaslomalla, enkä ikinä saanut tilanteeseen mitään selvitystä toistuvista kyselyistä huolimatta. Kukin voi tuosta vetää omat johtopäätöksensä, minusta homma haiskahti pahasti.

Åke kirjoitti...

Olin juuri kolmen viikon matkalla Floridassa USA:ssa. Ihmettelin kovasti erilaisia käytäntöjä tuon luottokortin kanssa (Visa) pyrin aina käyttämään kredit-puolta.
Useinmiten kaupan kassalla riitti magneettijuovan pyyhkäisy - mitään allekirjoituksia tai pin-koodeja ei kyselty. Jossain sitten piti kuitti allekirjoittaa ja jossain näpytellä pin. Aivan satunnaisesti eri paikoissa.

Tankatessa ei automaatti kysy pin-koodia, vaan postinumeron?

Nyt siis ymmärrän miksi pelkkä luottokortinkin varastaminen ilman tunnuksia "kannattaa".

Aaro Sahari kirjoitti...

Tepon kommentti yllä saa tukea minulta. Hotels.com ollut käytössä syksyllä ja kortti meni uusintaan tekstiviesti-ilmoituksen perusteella. OP:n kortti piti hakea pankista ja kaikki tunnusluvut vaihtuivat. Eivät Nets Oy:stä sanoneet soittaessani muuta kuin tuon "tietomurto kansainväliseen verkkokauppaan" -litanian.

Petteri Järvinen kirjoitti...

Jossain sitten piti kuitti allekirjoittaa ja jossain näpytellä pin. Aivan satunnaisesti eri paikoissa.
Tankatessa ei automaatti kysy pin-koodia, vaan postinumeron?


USA on luottokorttimaksujen kehitysmaa, vasta nyt ovat siirtymässä sirullisiin kortteihin. Bensapumpulla kysytään zip-koodia ilmeisesti markkinointisyistä. Suomalainen joutuu Visan ja Mastercardin kanssa menemään tiskille maksamaan, automaatti ei kelpuuta korttia, mutta suomalainen American Express yleensä toimii pumpullakin.

Olen myös ollut Hotels.comin asiakas vuosien ajan enkä huomannut viime syksynä mitään ylimääräisiä veloituksia.

Anonyymi kirjoitti...

Miten voi olla, että USA on maksukorttien kehitysmaa - sieltähän käsin meille Eurooppaan juuri kaikenlaiset vaatimukset maksu- ja korttijärjestelmistä sanellaan?

Osuuspankin kanssa on itselläni ollut aina kortti- ja muita ongelmia. Uusi kortti saapui aina konttoriin noudettavaksi vanhan voimassaoloajan umpeutuessa, mutta asiasta ei mitenkään minua infottu. Joka kerta tästä pankin kanssa yhä uudelleen sovittiin, että uusi kortti lähetettäisiin jatkossa kotiin postitse, kun asun monen sadan kilometrin päässä tuosta konttorista, enkä pääse sitä helposti hakemaan. Ja joka kerta kortti päätyi silti pankin konttoriin ja unohtui sinne, eikä siitä kukaan mitään minulle ilmoitellut. Ja joka kerta sain kaupan kassalla karvaasti huomata voimassaoloajan päättyneen, eikä rahaa automaatistakaan saanut.

Viimeisin tempaus oli, että pankki irrotti pankkitilin Visa-kortista kesken kortin voimassaoloajan tämän vuoden alussa. Minulla kun on ollut ns. pelkkä Visa eli kortti, jossa on vain luottomaksuominaisuus. Automaatista on kuitenkin kortilla voinut nostaa käteistä pankkitililtä. Yllätyksenä tuli tämäkin asiakkaalle kesken automaattiasioinnin. Postitse tiedottaminen kun on niin vanhanaikaista. Pankki oli kyllä ilmoittanut asiasta joskus syksyllä verkkopankin viestissä. Enpä ole koskaan viestejä siellä lukenut. Mikäli halutaan varmistaa, että asiakas huomaa lukea tärkeät viestit, tulisi verkkopankki rakentaa niin, että eteenpäin ei pääsisi ennen viestien lukemista. Näinhän OP toimi oudon kyselynsä kanssa - laskuja ei päässyt maksamaan, ennen kuin oli vastannut kysymyksiin sukulaistensa asemista kotimaassa ja ulkomailla, ja missä pankeissa asiakkaalla itsellään on muita tilejä jne. OP myös sulki pääsyn verkkopankkiin, mikäli kyselyyn ei vastattu heidän asettamassaan aikarajassa. Tuohon Finanssivalvonta puuttui, sillä edes huono julkisuus ei saanut pankkia taipumaan.

OP:n kanssa oli tiliotteiden saantikin postitse jokavuotinen ponnistus. Yhdellä kertaa ei asetusta saatu pysymään niin, että tiliotteet tulisivat postitse, kunnes toisin sovitaan. Joka vuoden alussa tiliotteet alkoivat tulla sähköisesti, ja aina piti käydä tekemässä korjaus. Samoin maksujen puhelinvarmennus meni aika ajoin päälle, vaikka sen kävi verkkopankissa poistamassa. Pistokoeluontoista varmennusta ei saanut edes poistettua. Pankki siis oletti jylhästi, että kaikilla asiakkailla on yksityinen matkapuhelin, ja että he haluavat sen ilman muuta pankille antaa.

Luottamus on joko molemminpuolista, tai sitä ei ole.

Ana kirjoitti...

Kas kummaa, nyt Nordea sentään ilmoitti että vanha kortti ei ole käyttökelpoinen. Mulle kävi nelisen vuotta sitten niin, että korttini ei vaan enää kelvannutkaan kun olisi pitänyt maksaa Flickr-tili. Kysyin pankista selitystä, sain ympäripyöreän rivin mittaisen "vastauksen". Sitten pari kuukautta myöhemmin luettiin lehdistä jättimäisestä tietomurrosta, jossa oli kusahtanut noin diljoona luottokorttia. Aika helppo solmia langanpäitä sen jälkeen. Vaan eikö olisi pankki voinut kertoa saman ihan suoraan?

Tapz kirjoitti...

OP:n tapauksessa minua ärsytti se, että kortti piti hakea konttorista, eikä edes ilmoitettu milloin se oli siellä odottamassa. Kirjeessä luki vain, että jossain vaiheessa. Hain sitten, kun kortin credit-puoli lakkasi toimimasta. Olisin paljon mieluummin ottanut kortin postilaatikkoon, kuin hakenut sen pääkonttorista (ei edes tullut lähimpään konttoriin, vaan sinne missä tili on). Sitä en ymmärrä miksi täytyy syöttää myös CVC-koodi, jos vaaditaan verkkopankkivarmennus luottokorttimaksussa. Eihän siinä ole mitään järkeä, että yhden ostoksen takia pitää syöttää kortin numero, voimassaoloaika, CVC, verkkopankin tunnus, salasana ja avainluku! Melkoinen kynnys tehdä ainakaan pieniä maksuja.

Jenkeissä suomalaiset kortit toimivat suoraan pumpulla parhaiten Shellin asemilla ja Chevronilla yleensä eivät toimi. Toivottavasti jatkossa bensan voisi maksaa esim. Apple Pay:llä. Ei ole kovin kätevää viedä ajokorttia pantiksi sisälle ja pyytää avaamaan bensahana.

Anonyymi kirjoitti...

Tuo on raivostuttavaa, että pankki ei osaa lähettää (teksti)viestiä kortin kuolettamisesta, vaan asiasta saa tietää virallisesti vasta myöhemmin, kun pankista tulee kirje. Asiasta on todennäköisesti ensin jo saanut vihiä kiusallisen tilanteen kautta, kun kortti ei ole enää toiminut kaupassa.

"Silti odottaisi, että kortti pitäisi vähintään kuitata verkkopankissa ennen käyttöönottoa."

Kortin aktivointi käyttöön omassa verkkopankissa on aivan loistava idea - näin ei olisi mitään turvallisuuteen liittyvää ongelmaa toimittaa kortteja turvattoman postin kautta.

"Tänään 2. pääsiäispäivänä sähköpostiin ilmestyi viesti OP-pankilta. -- Olisikohan myös OP:lla syytä tarkistaa menetelmiään?"

Nämä pankin lähettämät ilmoitusviestit ovat erittäin hyödyllinen toiminto, jotta ei tarvitse käydä verkkopankissa säännöllisesti katsomassa, onko tullut viestejä tai laskuja. Turvallisuuden kannalta tuollaiset verkkopankin linkin sisältämät viestit ovat kuitenkin erittäin vaarallisia. Luulisi jo olevan liikkeellä huijausviestejä, jotka muistuttavat tuotakin OP:n ilmoitusviestiä. Ainoa ratkaisu ongelmaan taitaa olla, että viestien ei tulisi sisältää mitään linkkejä, ja asiakkaiden pitäisi opetella linkkien klikkailun sijasta kirjoittamaan verkkopankin osoite käsin tai avaamaan se jotain muuta kautta.

Anonyymi kirjoitti...

Palveluihin Paypalin kaltainen "välikerros" on hyvä, veloitus ei vanhene samalla tavalla fyysisesti korttien mukana ja toisaalta automaattiveloituksia on helpompi hallita.

Toinen vaihtoehto, jota kannattaa harkita, on Elisa Lompakkoon kuuluvat virtuaaliset luottokortit.

SMarjeta kirjoitti...

Mulle kävi viime syksynä samoin että OP:lta/Netsiltä tuli tekstari että kortti on turvallisyyssyistä pistetty jäähylle. Tulee noudettavaksi lähipankista. Ei kätevä sillä asun ulkomailla ja olin lähdössä matkalle jossa oli tarkoitus käyttää korttia. No, varakortilla pärjästin, mutta olin kolme viikkoa ilman varsinaista korttiani. Netsin asiakaspalvelu ei osannut sanoa yhtään syytä miksi kortti meni hylkyyn. Ikävä tapaus kaiken kaikkiaan. Ja typerää on että heille ei saa yhteyttä kuin soittamalla (ja odottamalla 20min), varsinkin kun on eri aikavyöhykkeellä ja hissimusiikin kuuntelu maksaa maltaita. Ja tosiaan PayPal:iin yms. piti uusia numerot ja opetella uusi tunnusluku.

Website Security Test