Etäluettavat maksukortit tukevat Visa PayWave- ja MasterCardin PayPass -määrityksiä, joiden avulla pieniä maksuja voi maksaa vain vilauttamalla korttia kaupan tai kioskin kassalla lukulaitteen lähellä.
Käytännössä lukulaite eli skanneri hakee kortilla sijaitsevalta sirulta samat tiedot, jotka on painettu kortin etupuolelle eli kortinhaltijan nimen, kortin numeron ja kortin viimeisen voimassaolopäivän. Kortin takana allekirjoituskentän vieressä sijaitsevaa kolminumeroista CVV2-tunnistetta eikä PIN-koodia skanneri ei sen sijaan pääse lukemaan.
Nixun maksukorttiturvallisuudesta vastaava vanhempi tietoturvakonsultti Niki Klaus kertoo, että maailmalta on jo kantautunut varoittavia kommentteja etäluettaviin maksukortteihin liittyvistä riskeistä, vaikka todellisia väärinkäytöksiä on tehty korttien pienen määrän takia vähän.
– Lukulaitteet ovat kuitenkin edullisia, ja saman asian ajavat NFC-ominaisuudella varustetut puhelimet yleistyvät kaiken aikaa. Niissä tarvitaan vain sopiva ohjelma korttien tietojen lukemiseksi. Sekä kortteja että lukulaitteita on pian jokaisen taskussa, hän sanoo.
Todellinen uhka
Etäluettavat korttitiedot eivät yleensä riitä verkkokauppaostosten tekoon, sillä tyypillisesti kaupat kysyvät asiakkaalta myös CVV2-tunnistetta. Kotimaisissa verkkokaupoissa ongelmaa ei ole, sillä asiakas joutuu korttitietojen lisäksi lähes poikkeuksetta tunnistautumaan pankkinsa antamilla verkkopankkitunnuksilla.
Joissakin ulkomaisissa verkkokaupoissa ei kuitenkaan kysytä edes CVV2-tunnistetta, sillä ostamisen helppous on niille niin tärkeä kilpailuetu.
– Päätimme kokeilla, miten ostosten teko onnistuu itse skannatuilla tiedoilla. Luimme vakioskannerilla yhden maksukortin tiedot ja teimme niiden avulla ostoksen yhdestä maailman suurimmista verkkokaupoista. Tilaus tehtiin työosoitteeseen, rahat menivät tililtä ja paketti on parhaillaan postissa tulossa Suomeen.
Klaus kertoo, että normaali lukulaite pystyi lukemaan tiedot kortista, joka oli farkkujen taskussa sijaitsevassa lompakossa. Skanneri oli noin sentin etäisyydellä farkuista.
– Todennäköisesti vähääkään viritellympi lukulaite pystyisi samaan kymmenien senttien päästä. Skannausaika oli sekunnin luokkaa, joten esimerkiksi bussissa vieressä istuvan henkilön tietojen luku tämän huomaamatta on täysin mahdollista, hän kertoo.
Tiedot varastaneen huijarin kiinnijäämisen riski on vähäinen, sillä omat jälkensä saa hävitettyä verkossa eikä kuriiriyhtiö kysele henkilöllisyystodistusta. Tietovarkauden uhri eli etäluettavan kortin haltija ei onneksi joudu korvausvastuuseen, vaan taloudellinen menetys jää luottokortin myöntäjän ja tuotteen myyneen verkkokaupan keskinäiseksi asiaksi.