Lähimaksun turvallisuudesta kysytään usein. Kun maksu tapahtuu niin nopeasti ja helposti, eikä edes PIN-koodia kysytä, se ei mitenkään voi olla turvallista, eihän? Kerrotaan, että maailmalla rikolliset skannaavat laitteillaan ohikulkijoiden korttitiedot lompakosta tai käsilaukusta.
STT:n välittämän "uutisen" mukaan lähimaksun hakkerointi on helppoa ja onnistuu jopa metrin päästä. Tiedote on mennyt läpi ainakin Verkkouutisilla, joka julkaisi sen. Uutisessa viitataan yrityksen markkinointivideoon, joka alalle ominaiseen tapaan liioittelee ja dramatisoi.
Ensinnäkään kortin lukeminen ei tietääkseni ole mahdollista metrin päästä -- ei millään laitteella. Lukuherkkyyden lisääminen ei riitä, koska siru on passiivinen ja lukijan pitää lähettää siihen myös energiaa. Siksi metrin päästä lukemisen voi unohtaa. Joka toista väittää, näyttäköön siihen pystyvän laitteen sen sijaan, että siteeraa netissä liikkuvia väitteitä.
Videolla hakkeri istuu toisen henkilön viereen, sijoittaa puhelimensa uhrin käsilaukun lähelle ja lukee kortin tiedot langattomasti. Ilmeisesti puhelin toimii proxy-laitteena, joka välittää kortin tiedot langattomasti hakkerin kumppanin puhelimeen, joka samanaikaisesti maksaa tiskillä oluet.
"Uusin tapa" liittynee siis korttitietojen välittämiseen puhelimesta toiseen ja suoraan kassalla tapahtuvaan maksamiseen. Idea on sama kuin autojen älyavainten huijaamisessa proxyn avulla. Tämä on kieltämättä näppärää: jos temppu onnistuu, uhrin on vaikea huomata ylimääräisiä veloituksia, koska hän on itsekin asioinut kyseisessä kaupassa. Vielä vaikeampaa olisi todistaa, että kahviosto oli kyllä oma, mutta oluita en ostanut.
Video näyttää aivan suomalaiselta, mutta on kansainvälinen mainos ja siitä on eri kielisiä versioita, mm. englanti ja ruotsi.
Videolla mainitaan myös Credit Card Reader -niminen Android-sovellus. Kokeilin oman Nordean Mastercard-kortin lukemista sillä. Luku onnistui pitämällä puhelinta enintään muutaman millin päässä kortista, eikä puhelin saanut liikkua yhtään. Kortin pitää olla puhelimen keskellä, missä NFC-lukija sijaitsee.
Se siitä metrossa tai bussissa ohimennen lukemisesta. Ei onnistu ainakaan tavallisella puhelimella. Erikoislaite voi olla tehokkaampi ja nopeampi.
Kun luku sitten onnistui, tuloksena oli oikea voimassaoloaika, mutta kortilta saatu numero oli debit-numero, jota ei voi käyttää ulkomaisista verkkokaupoista tilaamiseen (tämä korjattu 8.11.2017). Myöskään kortilla olevaa nimeä saati kääntöpuolen CVV-koodia ei saatu luettua. Varmuuden vuoksi tiedot on kuvassa osittain peitetty.
Kiinnostavaa kyllä, Transactions-sivulla näkyi todellakin kortilla tehdyt viimeiset ostokset päivämäärineen ja summineen, sekä maksullisessa (5,49 euroa) Pro-versiossa myös transaktioiden laskuri (1839).
Voi olla, että jokin toinen ohjelma lukisi numeron oikein. Ja on muutamia harvoja nettikauppoja, joista voi ostaa pelkällä kortin numerolla ja voimassaoloajalla. Silti korttitietojen kaappaamisen riski on vähäinen. Lähimaksun kokonaisturvallisuus on hyvä, sillä riskialtis PIN-koodin syöttö jää pois ja lähimaksun ostos on rajattu 25 euroon.
Älypuhelinten lähimaksut (Apple Pay, Nordea Pay) ovat vielä turvallisempia, koska niissä maksu aktivoidaan vasta kassalla, eikä tietoja voi lukea salaa.
Video mainostaa ratkaisuna Cardprotect-suojakuorta (www.cardprotect.fi, 19,90 euroa), joka estää kortin tietojen lukemista. Kyse on siis mainoksesta, jonka perustelut ovat vähintään liioittelevia ja osin jopa valheellisia.
Mainos väittää, ettei kaksi päällekkäistä lähimaksukorttia estäisi etälukua. Olen kokeillut asiaa kassakoneella ja todennut, että kyllä estää. Korttien pitää kuitenkin olla oikein päin, niin että sirut osuvat päällekkäin. Mainosvideolla alimpana käytetään HSL:n matkakorttia, joka ei toimi tässä tarkoituksessa. Mutta toinen pankki- tai luottokortti toimii, sillä etälukija ei pysty erottamaan korttien siruja toisistaan.
Ei siis kannata uskoa kaikkea pelottelua, mitä turvallisuuden nimissä harrastetaan! Tämän päivän tilanteessa lähimaksu on turvallista ja näppärää.
STT:n välittämän "uutisen" mukaan lähimaksun hakkerointi on helppoa ja onnistuu jopa metrin päästä. Tiedote on mennyt läpi ainakin Verkkouutisilla, joka julkaisi sen. Uutisessa viitataan yrityksen markkinointivideoon, joka alalle ominaiseen tapaan liioittelee ja dramatisoi.
Ensinnäkään kortin lukeminen ei tietääkseni ole mahdollista metrin päästä -- ei millään laitteella. Lukuherkkyyden lisääminen ei riitä, koska siru on passiivinen ja lukijan pitää lähettää siihen myös energiaa. Siksi metrin päästä lukemisen voi unohtaa. Joka toista väittää, näyttäköön siihen pystyvän laitteen sen sijaan, että siteeraa netissä liikkuvia väitteitä.
Videolla hakkeri istuu toisen henkilön viereen, sijoittaa puhelimensa uhrin käsilaukun lähelle ja lukee kortin tiedot langattomasti. Ilmeisesti puhelin toimii proxy-laitteena, joka välittää kortin tiedot langattomasti hakkerin kumppanin puhelimeen, joka samanaikaisesti maksaa tiskillä oluet.
"Uusin tapa" liittynee siis korttitietojen välittämiseen puhelimesta toiseen ja suoraan kassalla tapahtuvaan maksamiseen. Idea on sama kuin autojen älyavainten huijaamisessa proxyn avulla. Tämä on kieltämättä näppärää: jos temppu onnistuu, uhrin on vaikea huomata ylimääräisiä veloituksia, koska hän on itsekin asioinut kyseisessä kaupassa. Vielä vaikeampaa olisi todistaa, että kahviosto oli kyllä oma, mutta oluita en ostanut.
Video näyttää aivan suomalaiselta, mutta on kansainvälinen mainos ja siitä on eri kielisiä versioita, mm. englanti ja ruotsi.
 |
| Näin helppoa on maksukortin etäluku ja varkaus - väitetään. |
 |
| Luku onnistuu vain, mikäli puhelin pysyy aivan paikallaan. |
Kun luku sitten onnistui, tuloksena oli oikea voimassaoloaika, mutta kortilta saatu numero oli debit-numero, jota ei voi käyttää ulkomaisista verkkokaupoista tilaamiseen (tämä korjattu 8.11.2017). Myöskään kortilla olevaa nimeä saati kääntöpuolen CVV-koodia ei saatu luettua. Varmuuden vuoksi tiedot on kuvassa osittain peitetty.
 |
| Kortilta luetut tiedot. |
Voi olla, että jokin toinen ohjelma lukisi numeron oikein. Ja on muutamia harvoja nettikauppoja, joista voi ostaa pelkällä kortin numerolla ja voimassaoloajalla. Silti korttitietojen kaappaamisen riski on vähäinen. Lähimaksun kokonaisturvallisuus on hyvä, sillä riskialtis PIN-koodin syöttö jää pois ja lähimaksun ostos on rajattu 25 euroon.
Älypuhelinten lähimaksut (Apple Pay, Nordea Pay) ovat vielä turvallisempia, koska niissä maksu aktivoidaan vasta kassalla, eikä tietoja voi lukea salaa.
Video mainostaa ratkaisuna Cardprotect-suojakuorta (www.cardprotect.fi, 19,90 euroa), joka estää kortin tietojen lukemista. Kyse on siis mainoksesta, jonka perustelut ovat vähintään liioittelevia ja osin jopa valheellisia.
Mainos väittää, ettei kaksi päällekkäistä lähimaksukorttia estäisi etälukua. Olen kokeillut asiaa kassakoneella ja todennut, että kyllä estää. Korttien pitää kuitenkin olla oikein päin, niin että sirut osuvat päällekkäin. Mainosvideolla alimpana käytetään HSL:n matkakorttia, joka ei toimi tässä tarkoituksessa. Mutta toinen pankki- tai luottokortti toimii, sillä etälukija ei pysty erottamaan korttien siruja toisistaan.
Ei siis kannata uskoa kaikkea pelottelua, mitä turvallisuuden nimissä harrastetaan! Tämän päivän tilanteessa lähimaksu on turvallista ja näppärää.
