maanantai 30. lokakuuta 2017

NFC-maksu (lähimaksu) ja tietoturva kortilla - älä usko kaikkea

Lähimaksun turvallisuudesta kysytään usein. Kun maksu tapahtuu niin nopeasti ja helposti, eikä edes PIN-koodia kysytä, se ei mitenkään voi olla turvallista, eihän? Kerrotaan, että maailmalla rikolliset skannaavat laitteillaan ohikulkijoiden korttitiedot lompakosta tai käsilaukusta.

STT:n välittämän "uutisen" mukaan lähimaksun hakkerointi on helppoa ja onnistuu jopa metrin päästä. Tiedote on mennyt läpi ainakin Verkkouutisilla, joka julkaisi sen. Uutisessa viitataan yrityksen markkinointivideoon, joka alalle ominaiseen tapaan liioittelee ja dramatisoi.

Ensinnäkään kortin lukeminen ei tietääkseni ole mahdollista metrin päästä -- ei millään laitteella. Lukuherkkyyden lisääminen ei riitä, koska siru on passiivinen ja lukijan pitää lähettää siihen myös energiaa. Siksi metrin päästä lukemisen voi unohtaa. Joka toista väittää, näyttäköön siihen pystyvän laitteen sen sijaan, että siteeraa netissä liikkuvia väitteitä.

Videolla hakkeri istuu toisen henkilön viereen, sijoittaa puhelimensa uhrin käsilaukun lähelle ja lukee kortin tiedot langattomasti. Ilmeisesti puhelin toimii proxy-laitteena, joka välittää kortin tiedot langattomasti hakkerin kumppanin puhelimeen, joka samanaikaisesti maksaa tiskillä oluet.

"Uusin tapa" liittynee siis korttitietojen välittämiseen puhelimesta toiseen ja suoraan kassalla tapahtuvaan maksamiseen. Idea on sama kuin autojen älyavainten huijaamisessa proxyn avulla. Tämä on kieltämättä näppärää: jos temppu onnistuu, uhrin on vaikea huomata ylimääräisiä veloituksia, koska hän on itsekin asioinut kyseisessä kaupassa. Vielä vaikeampaa olisi todistaa, että kahviosto oli kyllä oma, mutta oluita en ostanut.

Video näyttää aivan suomalaiselta, mutta on kansainvälinen mainos ja siitä on eri kielisiä versioita, mm. englanti ja ruotsi.

Näin helppoa on maksukortin etäluku ja varkaus - väitetään.
Videolla mainitaan myös Credit Card Reader -niminen Android-sovellus. Kokeilin oman Nordean Mastercard-kortin lukemista sillä. Luku onnistui pitämällä puhelinta enintään muutaman millin päässä kortista, eikä puhelin saanut liikkua yhtään. Kortin pitää olla puhelimen keskellä, missä NFC-lukija sijaitsee.

Luku onnistuu vain, mikäli puhelin pysyy aivan paikallaan. 
Se siitä metrossa tai bussissa ohimennen lukemisesta. Ei onnistu ainakaan tavallisella puhelimella. Erikoislaite voi olla tehokkaampi ja nopeampi.

Kun luku sitten onnistui, tuloksena oli oikea voimassaoloaika, mutta kortilta saatu numero oli debit-numero, jota ei voi käyttää ulkomaisista verkkokaupoista tilaamiseen (tämä korjattu 8.11.2017). Myöskään kortilla olevaa nimeä saati kääntöpuolen CVV-koodia ei saatu luettua. Varmuuden vuoksi tiedot on kuvassa osittain peitetty.

Kortilta luetut tiedot.
Kiinnostavaa kyllä, Transactions-sivulla näkyi todellakin kortilla tehdyt viimeiset ostokset päivämäärineen ja summineen, sekä maksullisessa (5,49 euroa) Pro-versiossa myös transaktioiden laskuri (1839).

Voi olla, että jokin toinen ohjelma lukisi numeron oikein. Ja on muutamia harvoja nettikauppoja, joista voi ostaa pelkällä kortin numerolla ja voimassaoloajalla. Silti korttitietojen kaappaamisen riski on vähäinen. Lähimaksun kokonaisturvallisuus on hyvä, sillä riskialtis PIN-koodin syöttö jää pois ja lähimaksun ostos on rajattu 25 euroon.

Älypuhelinten lähimaksut (Apple Pay, Nordea Pay) ovat vielä turvallisempia, koska niissä maksu aktivoidaan vasta kassalla, eikä tietoja voi lukea salaa.

Video mainostaa ratkaisuna Cardprotect-suojakuorta (www.cardprotect.fi, 19,90 euroa), joka estää kortin tietojen lukemista. Kyse on siis mainoksesta, jonka perustelut ovat vähintään liioittelevia ja osin jopa valheellisia.

Mainos väittää, ettei kaksi päällekkäistä lähimaksukorttia estäisi etälukua. Olen kokeillut asiaa kassakoneella ja todennut, että kyllä estää. Korttien pitää kuitenkin olla oikein päin, niin että sirut osuvat päällekkäin. Mainosvideolla alimpana käytetään HSL:n matkakorttia, joka ei toimi tässä tarkoituksessa. Mutta toinen pankki- tai luottokortti toimii, sillä etälukija ei pysty erottamaan korttien siruja toisistaan.

Ei siis kannata uskoa kaikkea pelottelua, mitä turvallisuuden nimissä harrastetaan! Tämän päivän tilanteessa lähimaksu on turvallista ja näppärää.

29 kommenttia:

Petteri Järvinen kirjoitti...

Lähes tuhat lukukertaa, eikä yhtään kommenttia. Eikö kukaan ole kokeillut asiaa itse, tai edes epäillyt joutuneensa korttiskannauksen uhriksi? Tuntuuko lähimaksaminen turvattomalta vai turvalliselta?

jeejee kirjoitti...

Itse olen epäillyt tätä lähimaksua, maalaisjärjellä ajatellen tuntuu että pelkkä vaivihkainen etäluku ei voi olla turvallista. Mutta julkisuudessa ei ole isommin retosteltu lähimaksu-huijauksilla, eli ilmeisesti taustaprosessi on fiksumpi kuin mitä näin kuluttajana pystyn hahmottamaan.

Nixula on muutamia kirjoituksia aiheesta:
https://www.nixu.com/fi/blogi/2013-05/etäluettavien-maksukorttien-turvallisuudesta
https://www.nixu.com/fi/blogi/2014-04/kysymyksia-ja-vastauksia-lahimaksukorteista

Huom jutut parin vuoden takaa, mutta oma lievästi skeptinen suhtautuminen asiaan perustuu juuri tuohon ensimmäiseen bloggaukseen.

Sen verran olen foliohattu että hommasin RDIF suojatun lompakon. En nyt varta vasten hankkinut, mutta vanha lompakko tuli tiensä päähän ja Amazonissa noiden hinta on ok niin ajattelin ainakin testata.

William Gallop kirjoitti...

Foliohattu tosiaan. Alumiinipaperi lompakon uloimmassa lokerossa ajaa saman asian.

Anonyymi kirjoitti...

http://www.rfidblog.org.uk/Hancke-RFIDsec08-Eavesdropping.pdf

Olen samaa mieltä että tämän suojakuoria myyvän firman markkinointi ("uutisointi") on liioittelevaa, mutta kyllä rfid-suojalompakon käyttäminen on ihan järkevä varokeino jo ihan yksityisyyssyistä (eli vaikka kortilta ei voisi varastaa mitään niin ainakin on mahdollista logittaa liikkumista erilaisten ovien ym. läpi). Niitä on saanut lukuisilta tavallisilta lompakkovalmistajilta jo vuosikausia ihan normaalin lompakon hinnalla.

Anonyymi kirjoitti...

Useampi lähiluettava kortti samassa lompakossa lienee myös oiva suojaus.

Anonyymi kirjoitti...

Suomalainen firma myy cardprotect kortteja lompakkoon. Testasimme ilman korttia, niin kaikki lähimaksukortit sai luettua kännykkäsovelluksella, mutta kun laitoimme cardprotect kortin lompakkoon, niin eipä pystytty lukemaan tietoja.

Unknown kirjoitti...

Jos lompakossani on tälläkin hetkellä 4-6 etälukukorttia, niin minkä niistä kännykkäsovellus lukee? Kaikki päällekkäin ja siru samaan suuntaan. Eli sirut päällekkäin. Itse en saanut luettua kertaakaan yhtäkään. En myöskään silloin kun kääntelin niitä siruja, joka toinen toiseen suuntaan.

Virtuaalisosiaalinen kirjoitti...

En ole kokeillut kovin paljoa, mutta olen muuten tutustunut asiaan.
Päällekkäiset kortit ovat helppo tapa ja jos on kännykän kanssa samassa kotelossa ei maksu ainakaan onnistu kassalla.

Minusta se suurin ongelma on maksujen tarkistaminen. Tulee paljon pikkusälää jota ei kauaa muista.

Toinen ongelma tulee olemaan osalla ihmisistä rahan hallinnan katoaminen. Se sopii korttifirmoille hyvin koska saavat kalliita lainoja myytyä.
Siinä pitäisi kansan valitsemien johtajien ajatella sitä tavallista äänestäjää eikä kuunnella lobbareita.
Briteissä on jo herätty asiaan, mutta ei täällä. Taidetaan hävetä niin paljon.

Anonyymi kirjoitti...

Petteri, se on normaalia että NFC-sirulla on eri numero kuin painettuna kortille.

Anonyymi kirjoitti...

On muuten sekin tullut nähtyä kaupan kassalla että varashälyttimet huutavat ja asiaa ihmetellään myyjien kanssa kunnes viimein testailujen jälkeen selviää että sopivasti päällekäin olevat nfc-kortit lompakossa laukaisevat hälyttimen.

Lauri kirjoitti...

"Tuntuuko lähimaksaminen turvattomalta vai turvalliselta?"

Sekä - että, pääosin olen kyllä tuntenut lähimaksamisen turvalliseksi vaikka kyllähän tällaiset uutiset laittavat miettimään sitä turvallisuusnäkökulmaa. Mutta jos kerran pitää olla todella lähellä luettavaa korttia, niin en usko suureen riskiin.

Anonyymi kirjoitti...

Hei,

Näin blogiartikkelinne koskien mainostamme lähimaksukorttien tietoturva-aukosta. Haluaisin selventää muutamaa artikkelissa esiintyvää asiaa.

1. LUKUETÄISYYS
Pelkän herkkyyden lisääminen ei lukuetäisyyttä kasvata, kuten itsekin kerroitte, vaan se vaatii kortin aktivoimisen pidemmältä etäisyydeltä. Aktivoiminen tapahtuu antennia suurentamalla (ja täten magneettikenttää kasvattamalla).
Lukuetäisyyden on useassa tutkimuksessa todettu olevan noin metrin nurkilla. Tämä metrin lukuetäisyys on toki tehty hieman suuremmilla antenneilla (kuitenkin piilotettavissa olevilla). Itse kerromme metrin lukuetäisyydestä, viitaten Tekniikan Maailman tekemiin tutkimuksiin.

Esimerkkinä voimme kertoa että kauppojen hälytinporteissa oleva antenni toimii samalla aaltopituudella luottokorttien kanssa. Hälytin”tägit” aktivoidaan kaukaa (etäisyys niissäkin on metrin luokkaa) jolloin hälytin alkaa soimaan.

2. VIDEON TILANNE
Video on Suomalainen ja oikeilla laitteilla tehty. Proxy-maksu siis tapahtuu videolla aidosti ja maksupääte “luulee” sen päällä olevan puhelimen luottokortiksi.

3. CREDIT CARD READER-APLIKAATIO
Toisella videollamme esiintyy Credit Card Reader-aplikaatio jolla näytämme vain sen, että kortteja pystyy lukemaan etänä. Nämä kaksi videota eivät siis käsittele samaa asiaa, joten aplikaatiota ei pidä sekoittaa proxy-videon keskusteluun. Kortilta luetuilla tiedoilla on mahdollista (pankit ja europolkin ovat tämän julkisesti myöntäneet) suorittaa rikollista toimintaa sellaisissa paikoissa, joissa ei kolmenumeroista turvakoodia vaadita.

Tällä aplikaatiolla ei siis ole muuta virkaa videossamme kuin olla helppo tapa osoittaa lukemisen mahdollisuus. Todellisuudessa yksikään varas ei suorita lukemista matkapuhelimella.

4. NUMERO VÄÄRIN LUETTU
Tämä ilmeisesti johtuu siitä että olette lukeneet korttia jossa on sekä Debit, että Credit -ominaisuus (kummallakin on oma korttinumero). Tällaisen kortin kanssa luettu numero saattaa olla painettu kortin taakse.

5. KAKSI LUOTTOKORTTIA PÄÄLLEKKÄIN
Maksupääte ei pysty lukemaan kahta korttia sillä kassan “tulee tietää” miltä kortilta veloitus halutaan suorittaa. Jos lukijassa on ns. “anti-collision” -toiminto, pystyy se lukemaan kortteja häiriintymättä muista korteista.
Jopa Credit Card Reader-aplikaatiolla on mahdollista lukea jos on kaksi luottokorttia päällekkäin. Toki tässä tapauksessa olette oikeassa että tällä aplikaatiolla luettavissa korttien tulee olla samoin päin, jotta estäisi lukemisen.

6. CARDPROTECT EI OLE SUOJAKUORI
CardProtect on luottokortin kokoinen muovikortti, jonka sisällä on häirintäelektroniikkaa. Tämä elektroniikka aktivoituu automaattisesti jos lukija tulee lähelle, estäen lähellä olevien korttien lukemisen. Se käytännössä suojaa koko lompakon sisällön yhdellä kertaa.

7. MISTÄ ME KERROMME
Meidän ainoa argumentti on että lähimaksuvarkaus on mahdollista. Asia mistä pankit kertovat toisin. Nykyään toki myös pankit ja Europol ovat myöntäneet mahdollisuudet lukemiseen ja luoettujen tietojen rikolliseen käyttöön. Proxy-maksut ovat tästä vielä uusi askel, eli mahdollisuus, joka on kiistatta olemassa.

Terveisin,
Kent Åkerberg
Paysec Finland Oy
041 5353433

jeejee kirjoitti...

Kehut täsmällisestä ja asiallisesta vastineesta.

Netissä näkee ihan liikaa tapauksia jossa arvostelun kohteeksi joutunut yritys rupeaa uhkailemaan lakimiehillä tai keskittyy vastauksessaan epäolennaisuuksiin.

Tämä oli niin hyvä vastine että rohkaistuin tilaamaan tuotteen.

Tero Lehto kirjoitti...

Petteri kirjoitti:
"Mainosvideolla alimpana käytetään HSL:n matkakorttia, joka ei toimi tässä tarkoituksessa."

Oletko kokeillut? Minä ihmettelin aikoinaan, kun Nordean NFC-kortilla maksaminen ei onnistunut. Sitten huomasin, että ongelmana oli, että HSL:n matkakorttini oli aivan Nordean korttini vieressä.

Sama juttu voi käydä toisinpäin, eli lompakossa oleva matkakortti ei välttämättä toimi, jos lompakossa on NFC-maksukortti aivan vieressä. Tein tuosta jutunkin taannoin: http://www.tekniikkatalous.fi/tekniikka/eiko-matkakorttisi-toimi-syy-voi-olla-pankkikortissa-6549597

Petteri Järvinen kirjoitti...

Kiitos Åkerbergille asiallisesta ja informatiivisesta vastauksesta. Tilasin itsekin CardProtectin, kokeilen miten se toimii - pari muuta suojakuorta minulla onkin jo ennestään.

Videolla kortin luku onnistuu käsilaukusta varsin kaukaa, olisi kiinnostavaa kokeilla omalla kortilla, onnistuuko tällainen temppu käytännössä.

Olen kovasti kiinnostunut näkemään omin silmin laitteen, jolla kortin voi lukea vaikkapa 50 cm tai metrin etäisyydeltä.

Meidän ainoa argumentti on että lähimaksuvarkaus on mahdollista. Asia mistä pankit kertovat toisin.

Ovatko pankit väittäneet, ettei korttivarkaus olisi missään olosuhteissa mahdollista? Aivan varmasti on. Eri asia sitten, mikä on riskin suuruus ja kaapattujen numeroiden hyödynnettävyys.

Proxy-maksut ovat tästä vielä uusi askel, eli mahdollisuus, joka on kiistatta olemassa.

Proxyideaa en ihan ymmärrä -- miksei yhtä hyvin voi lukea kortin tietoja ja siirtää ne omassa matkapuhelimessa kassalle? Proxyssä tarvitaan avuksi rikoskumppani enkä heti hahmota, mitä etua saati uutta tässä on.

Anonyymi kirjoitti...

EEVBlogin Dave on tehnyt muutaman informatiivisen videon aiheesta.

Yleistä tekniikasta ja passiivinen suojaus:
https://www.youtube.com/watch?v=kp63MZ6RudE

Aktiivinen jammer-card & teardown:
https://www.youtube.com/watch?v=rnOuEFR6qoM

Unknown kirjoitti...

Mistään en löydä yhtään juttua, jossa huijaamisessa olisi onnistuttu.
Olisko Åkerbergilla esittää yhtään todistettua onnistunutta kortin väärinkäyttöä?

Anonyymi kirjoitti...

"Mistään en löydä yhtään juttua, jossa huijaamisessa olisi onnistuttu.
Olisko Åkerbergilla esittää yhtään todistettua onnistunutta kortin väärinkäyttöä?"

Tänään keskusrikospoliisin rikosylikonstaapeli Juuso Tschokkisen on kertonut, KRP:n järjestelmä ei erottele petoksia riittävällä tarkkuudella, jotta asiasta voisi esittää varsinaisia tilastoja.

Ongelmana on siis, että skimmaamalla, etälukemalla ja nettihakkeroimalla tehdyt rikokset eivät jätä tekotapaan viittaavaa jälkeä. Eli ei pysty erottelemaan mikä rikos on tehty milläkin menetelmällä. Ainoa jälki mikä jää on että tilillä on vähemmän rahaa.

Osmo kirjoitti...

Sinänsä erikoista turvallisuuden kannalta, että kännykkämaksaminen sallitaan. Se antaa enemmän mahdollisuuksia huijaukselle kuin korttimaksaminen.

Petteri Järvinen kirjoitti...

Miksi kännykkä antaisi enemmän huijausmahdollisuuksia?

SB kirjoitti...

Osmo sanoi...
Se antaa enemmän mahdollisuuksia huijaukselle kuin korttimaksaminen.


Samat sanat Petterin kanssa. Miten se mahdollistaa helpompia huijauksia?

Itse asiassa se on turvallisempi kuin kortti. Jos hukkaan pankkikorttini voi löytäjä maksaa lähimaksulla jonkin aikaa. Jos taas hukkaan puhelimeni, ei löytäjä voi maksaa sillä mitään tietämättä pinkoodia (maksusovellus kysyy pinkoodia).

Markus kirjoitti...

Itse pidän nykyajan mobiiliapplikaatioita ja lähilukua turvallisempana vaihtoehtona kuin kortteja. Ensimmäinen vika korteissa on, että kaikki nettiostoksiin liittyvät tiedot lukevat itse kortissa? Mikä järki siinä on? Miksi CVV-numeroa ei voisi laittaa erillistoimitukseen ihan niin kuin pin-koodikin on. Pankit vahtaavat suu vaahdossa "ei saa säilyttää pin-koodia lompakossa kortin kanssa". Samat pankit kuitenkin printtaavat itse korttiin toisen "ostoavaimen"...

Bensa-asemilla on turvallisempaa nykyisin kun ei tarvitse korttia. Neste tai S-ryhmän appsi hoitaa tankkaamisen. Ajan vain auton pumpulle, avaan bensaluukun, kuittaan kännykällä pumpun numeron ja sillä hyvä.

Samoin myös kaupoissa lähimaksaminen toimii hienosti. Kaikessa tässä on myös ylimääräinen turvakerros. Kännykällä ei pääse itse maksamis-appsiinkaan käsiksi ilman näytön lukituiksen avaamista.

Käytän myös insmatin NFC-estävää kuorta kännykän suojana. Korttikolot on siis suojattu etäluvulta. Silti kuitenkin itse kännykkämaksaminen toimii. Fiksusti suunniteltu kuori.

Nyt vielä kun tulee ensi vuonna mobiiliajokortti, voi luopua muovikorteista jokapäiväisessä käytössä kokonaan. Niin. Ne kauppojen bonukset. Jos eivät keksi hyvinkin nopeasti keinoa, miten myös bonukset saa sähköiseen etälukumuotoon (android plussa-sovellus on jo) voi olla bonuksille heikompi suosio tulevaisuudessa...

Jungle kirjoitti...
Kirjoittaja on poistanut tämän kommentin.
Jungle kirjoitti...

Tässä linkki videoon jossa luettu 50-60 cm päästä erittäin luotettavasti.
https://www.youtube.com/watch?v=9QjxwejBPHs

Petteri voisi vastata kuinka paljon pankit petterin palveluita käyttävät?

Petteri Järvinen kirjoitti...

Kyse oli siitä, miltä etäisyydeltä kortin tiedot voidaan skannata omistajan huomaamatta. Linkittämäsi video on eri tilanteesta: siinä salakuunnellaan lukijan ja kortin välistä liikennettä, mihin riittää passiivinen antenni. Kortin lukeminen lompakosta tai käsilaukusta on oleellisesti vaikeampaa, koska lukijan pitää lähettää kortille myös energia vastausta varten.

Unknown kirjoitti...

En nähnyt tuolla videolla missään kun jollain laitteella luettiin kortti lompakosta joka oli joko taskussa tai laukussa.
En läheltä enkä kaukaa.
Ilmesesti linkkisi meneekin johonkin muuhun juttuun?

Anonyymi kirjoitti...

Proxyideaa en ihan ymmärrä -- miksei yhtä hyvin voi lukea kortin tietoja ja siirtää ne omassa matkapuhelimessa kassalle? Proxyssä tarvitaan avuksi rikoskumppani enkä heti hahmota, mitä etua saati uutta tässä on.

Käsittääkseni sirumaksaminen ei perustu pelkkään kortilta luettavaan tietoon vaan sirun pitää tavallaan allekirjoittaa maksutapahtuma, jotta se hyväksyttäisiin. Pitkälti tämän vuoksi sirujen kloonaaminen lienee edelleenkin hyvin harvinaista, ainakin magneettiraidan kopiointiin verrattuna.

Proxy-järjestelyssä ideana on luoda konfiguraatio, jossa maksupääte ja kortti luulevat kommunikoivansa suoraan keskenään vaikka välissä onkin tavalla tai toisella toteutettu linkki, vaikka nyt sitten kännyköiden ja mobiilidatan avulla. Tässä esimerkki muutaman vuoden takaa, jossa asiaa on demottu sirukorteilla: http://www.cl.cam.ac.uk/research/security/banking/relay/

Jos NFC-maksamisen kommunikaatio toimii yhtään samaan tapaan, proxy-hyökkäyksen voi toteuttaa aika tavalla huomaamattomammin kuin sirukortilla.

Anonyymi kirjoitti...

"Linkittämäsi video on eri tilanteesta: siinä salakuunnellaan lukijan ja kortin välistä liikennettä, mihin riittää passiivinen antenni. Kortin lukeminen lompakosta tai käsilaukusta on oleellisesti vaikeampaa, koska lukijan pitää lähettää kortille myös energia vastausta varten."

Mutta valitettavasti tuo ajaa rikollisen kannalta prikulleen saman asian. Jos myymälän aulassa on mahdollista istua passiivilukijalla lukemassa kortin tiedot kassalla ostoksia toisensa perään maksavasta ihmisvirrasta, niin ei se paljoa lohduta vaikka niitä ei suoraan laukusta pystyisikään lukemaan.

Petteri Järvinen kirjoitti...

Tästäkin on jo yli kolme vuotta. Silmiini ei ole osunut yhtään uutista NFC-korttien urkkimisesta Suomessa.