Lööppi kybervaarasta ampui yli
Marketissa lööppi varoitteli, että satojen tuhansien lähimaksukorttien tiedot ovat vaarassa. Jos tietoturvan termeillä puhutaan, tiedot ovat vaarassa aina. Uutta on vain se, että kyberuhkalla voi myydä iltapäivälehtiä.
Mutta ovatko satojen tuhansien tiedot todella vaarassa? Tietoturvan perussäännön mukaan ei pidä ottaa käyttöön yhtään päivitystä tai uutta sovellusta, jos herää pienikin epäilys ohjelmistobugista tai kyberuhasta. Lähimaksukortin kanssa uhka on olemassa, sitä ei kiellä kukaan.
Maksujärjestelmien turvallisuutta tutkinut espoolainen tietoturvayhtiö Nixu on todennut, että kaikki kaupat eivät vaadi vahvaa tunnistautumista. ”Vahvalla tunnistautumisella” yleensä tarkoitetaan kuitenkin vain pankkitunnuksen tai kortin takana olevan kolminumeroisen CVV2-koodin syöttämistä oston yhteydessä.
Nyt tiedämme, että 20 euroa maksavalla pikku kortinlukijakojeella saa siepattua kortin numerosarjat, omistajan nimen sekä kortin viimeisen voimassaolopäivän. Lähimaksukortti luetaan etänä, esimerkiksi lompakon läpi. Tiedot syötetään tiettyyn mobiilisovellukseen, jonka jälkeen kolminumeroista CVV-turvakoodia aletaan testata yksi kerrallaan. Vaihtoehtoja on yhteensä tuhat. Botti murtaa suojauksen noin sekunnissa. Pankkien hälytysjärjestelmät huomaavat myöhässä tapahtuneen. Helppoa, sanoo Newcastlen yliopistossa tehty tutkimus.
Korttikanta on uusiutunut neljän vuoden ajan näillä ominaisuuksilla: uusiin kortteihin ominaisuus tulee pyytämättä. Jos pankki panee lähimaksukortin seurantaan, se ei näy kortinhaltijalle. Hälytysjärjestelmää on tiettävästi herkistetty.
Rikolliset yrittävät hyötyä lähimaksukortin haavoittuvuudesta. Väärinkäytöksissä kortin käyttäjän kuluttajansuoja on kuitenkin hyvä. Jos asiakas noudattaa kortin liikkeellelaskijan ohjeita ja sopimuksia, pankki korvaa vahingot. Faradayn häkki estää kortin lukemisen salaa: käytännössä se on pala foliota sirun päällä lomapakossa.
Pankkialan mielestä korttien turva on likimain kunnossa, mutta tieturva-asiantuntijat ovat kas toista mieltä. Tiedot ovat vaarassa, mikä taas ei tarkoita, että vaara olisi vielä realisoitunut. Pankit välttelevät aihetta, kun iltapäivälehti revittelee. Mieluummin näkisi asiallisia turvaohjeistuksia sensaatiohakuisen pelon lietsonnan asemesta.
Tiedoksenne vielä: Googlen sovelluskaupasta on levinnyt Android-puhelimiin ärhäkkä haittaohjelma, joka toimii puhelimessa käyttäjän huomaamatta. Malttia tarvitaan ainakin toistaiseksi latailun kanssa.
