Tietokirjailija Petteri Järvinen ei usko sähköisten varkauksien estämiseen erikoistuneen yrityksen maalailemia kauhukuvia.
Lähimaksuominaisuus tarkoittaa sitä, että kuluttaja voi maksaa alle 25 euron suuruisia ostoksia helposti ja nopeasti viemällä maksukorttinsa lähelle maksupäätettä. Kuluttajan ei tarvitse laittaa korttia maksupäätteeseen eikä näppäillä PIN-tunnuslukua.
Lähimaksaminen on mahdollista kaikissa maksupäätteissä, joissa on lähimaksamisesta kertova kaarisymboli ja jotka hyväksyvät lähimaksuja.
Yritys testasi väärinkäytön mahdollisuutta
Pitkäkyntisillä on useita tapoja käyttää lähimaksukorttien tietoja rikolliseen tarkoitukseen, väittää kotimainen sähköisten taskuvarkauksien estämisen erikoistunut PaySec Finland Oy.
Varkaat voivat lukea lähimaksukorttien tietoja Tekniikan Maailman (07/2017) testien mukaan jopa metrin etäisyydeltä niitä koskematta tai näkemättä, yhtiö kertoo tiedotteessaan.
Yritys testasi väärinkäyttöä ja rakensi netistä löytyvillä ohjeilla laitteiston, jolla voi maksaa toisen maksukortilla reaaliaikaisesti.
Katso video testistä alla:
”Testin tulokset olivat huolestuttavia. Kuka vaan voi lukea kortin etänä ja lähettää kortin tiedot toiseen matkapuhelimeen ja käyttää niitä samanaikaisesti kaupan kassalla ostosten maksuun ilman kiinnijäämisriskiä. Tämä varkauden mahdollistava, uusi tapa on kuluttajille erityisen haastava todistustaakan vuoksi. Asiakas on esimerkiksi asioinut samassa kaupassa, joten miten todistat väärin tehdyt ostokset, kun maksu on kummassakin tapauksessa tehty lähimaksulla”, kertoo turva-alan asiantuntija Kent Åkerberg PaySec Finlandista.
Yhtiön mukaan etäluku-varkaudet voidaan estää asettamalla yhtiön CardProtect-suojakortti lompakkoon maksukorttien lähelle.
”Tämä on ylivoimaisesti kätevin suojautumiskeino etäluku-varkauksia vastaan. Yksi suojauselektroniikkaa sisältävä kortti suojaa testien mukaan kätevästi koko lompakon sisällön”, yhtiö väittää.
Tietokirjailija ei usko lähikorttien ongelmiin
Tunnettu it-alan tietokirjailija Petteri Järvinen ihmettelee yrityksen väitteitä lähimaksamisen turvattomuudesta.
”Ensinnäkään kortin lukeminen ei tietääkseni ole mahdollista metrin päästä — ei millään laitteella. Lukuherkkyyden lisääminen ei riitä, koska siru on passiivinen ja lukijan pitää lähettää siihen myös energiaa. Siksi metrin päästä lukemisen voi unohtaa. Joka toista väittää, näyttäköön siihen pystyvän laitteen sen sijaan, että siteeraa netissä liikkuvia väitteitä”, Järvinen lataa blogissaan.
Järvinen testasi itse PaySec Finlandin videossa käytettyä Credit Card Reader Android-sovellusta.
Mastercard-kortin luku onnistui pitämällä puhelinta enintään muutaman millin päässä kortista, eikä puhelin saanut liikkua yhtään. Kortin pitää olla puhelimen keskellä, missä NFC-lukija sijaitsee.
Lisäksi laite luki Järvisen mukaan vääriä tietoja. Luottokortin numero oli aivan väärin, eikä kortilla olevaa nimeä saati kääntöpuolen CVV-koodia ei saatu luettua.
”Jopa valheellisia perusteluja”
Korttitietojen kaappaamisen riski on Järvisen kukaan vähäinen.
”Lähimaksun kokonaisturvallisuus on hyvä, sillä riskialtis PIN-koodin syöttö jää pois ja lähimaksun ostos on rajattu 25 euroon.”
Älypuhelinten lähimaksut (Apple Pay, Nordea Pay) ovat Järvisen mukaan vielä turvallisempia, koska niissä maksu aktivoidaan vasta kassalla, eikä tietoja voi lukea salaa.
Järvinen kritisoi myös PaySec Finlandin videota, joka on tietokirjailijan mukaan liioittelevia ja osin jopa valheellisia perusteluja esittävä mainos.
”Mainos väittää, ettei kaksi päällekkäistä lähimaksukorttia estäisi etälukua. Olen kokeillut asiaa kassakoneella ja todennut, että kyllä estää. Korttien pitää kuitenkin olla oikein päin, niin että sirut osuvat päällekkäin.”
Usean lähimaksu- (tai NFC-) kortin pitäminen vierekkäin estää lukemisen vain kaupan kassalla tai peruslukijalla.
Lukija jossa on ns. ”Anti-collision” -toiminto ei hämäänny useasta kortista.
Artikkelissa mainitaankin että kyseinen monen kortin tekniikka tekee lukemisesta ”vaikeaa”… joskaan ei mahdotonta. Tätä siis ei voi pitää luotettavana suojauskeinona.
Vain suojalompakko tai elektroniikkaa sisältävä suojakortti on 100% turvallinen.
Petteri Järvisen blogissa oli muutenkin hyvin monta suoraa asiavirhettä ja ”omaan mielipiteeseen” pohjautuvaa väitettä jotka osoittavat ettei aiheeseen ole välttämättä tutustuttu riittävän hyvin.