Lähimaksun tietoturvan kanssa hällävälismiä
Postitse tipahti uusi pankkikortti. Kas vain, huomasin vasta perästäpäin, että kortissa oli paljon puhuttu, korttimaksamista helpottava lähimaksuominaisuus.
Homma meni väärin, ja voisinko sanoa, vikaan tieturvaperiaatteiden kannalta raskauttavain asianhaarain vallitessa.
Ensinnäkään en ollut päättänyt tällaista epävarmaa pankkiyhteysprotokollaa hankkia, eikä sellaisen maksutoiminnon liittämisestä korttiini ollut kysytty lupaa. Ja pahinta lie, että edes uuden kortin saatekirjeessä ei tiedotettu minulle lähimaksutoiminnosta. Ehkä tästä jossain pankin nettisivuilla kerrotaan, en tiedä.
Takaisin reaalimaailmaan. Korttiin integroitu moinen ominaisuus selvisi vasta asioidessani tutussa ravintolassa. Ei voi olla totta! Lähimaksaminen testattiin, ja euro tililtä lähti ihan tuosta vain ilman minkäänlaisia tunnuslukuvaatimuksia tai muuta kujetta.
Siinä tietoturvariskit tulivat maksimoitua.
Suomessa on käytössä jo satojatuhansia lähimaksuominaisuudella varustettuja pankkikortteja. Ne eivät ole turvallisia yhdenkään tietoturva-asiantuntijan mielestä. Ei edes asiantuntijan mukaan, joka tämän maksutavan tieturvakäytännöt pankeille konsultoi.
Pankit eivät sisäisistä kontrolleistaan juuri puhu, mutta tiedetään, että he ovat tilanneet ammattitasoisesti tuotetun tietoturvakonseptin. Siksi amatöörimäisyys tuntuukin hämmentävältä.
Jos lähimaksukortti luetaan etänä, esimerkiksi lompakon läpi, kalasteluun riittää maksuissa normaalisti käytetty lähimaksupääte. Testitietojen perusteella tietojen kalasteluun riittää myös lukuohjelmalla varustettu älypuhelin ja riskit realisoituvat.
Kalastellut tiedot syötetään tiettyyn mobiilisovellukseen, jonka jälkeen kolminumeroinen CVV-turvakoodi murretaan, jos sitä edes tarvitaan.
Olen käyttänyt korttiani puolen tusinaa kertaa ilman, että mitään koodeja tai salasanoja olisi kyselty maksun yhteydessä.
Tämän tyyppinen sovelluksen ”käytön helpottaminen” ei varmasti seiso tietoturva-asiantuntija Niki Klausin laatimissa lähimaksuprotokollan käytön tietoturvaperiaatteissa.
Brittiläisessä Newcastlen yliopistossa tehty kattava tutkimus osoitti lähimaksusovelluksessa ja sen protokollassa useita haavoittuvuuksia. Kokeissa on käynyt ilmi, että folio kortin ympärillä muodostaa säteilyfysiikasta tutun Faradayn häkin, joka estää kortin lukemisen salaa suoraan lompakosta tai taskusta.
