RFID-skimmaus

Wikipediasta
Siirry navigaatioon Siirry hakuun

RFID-skimmaus on menetelmä, jolla laittomasti kerätään jonkun maksukortin tai muun RFID-tekniikkaa käyttävän laitteen (kuten kulkukortin) tietoja.

Huhut RFID-skimmausten yleisyydestä juontavat juurensa Yhdysvalloista, jossa tehtiin vuonna 2014 lähes puolet maailman luottokorttihuijauksista. Yhdysvalloissa käytettiin turvatonta magneettijuovateknologiaa vielä tuolloin yleisesti. Mastercard ja Visa ilmoittivat helmikuussa 2014 siirtyvänsä kaikkialla maailmassa käyttämään EMV-siruteknologiaa ja sopivat, että niiden yhdysvaltalaisissa korteissa otettaisiin käyttöön turvallinen EMV-siruteknologiaa vuoden 2015 lokakuuhun mennessä[1]. Euroopassa sitä on käytetty vuodesta 1992[2]. Suomessa Finanssialan Keskusliitto (nyk. Finanssiala ry) asetti huhtikuussa 2012 siirtymäsuunnitelman, jonka mukaan Suomessa siirrytään vuoden loppuun mennessä käyttämään SEPA-maksukortteja, joissa on kaikissa EMV-siru[3].

Miten RFID-skimmaus tehdään

[muokkaa | muokkaa wikitekstiä]

Suomessa ja muualla Euroopassa lähimaksamiseen käytetään sirukorttia, jossa on sisäänrakennettu NFC-siru, joka lähettää korttien tiedot langattomasti. Jotta tätä teknologiaa voisi käyttää varastamaan NFC-sirulliselta lähimaksuominaisuudella varustetulta maksukortilta rahaa, varkaan tulisi hankkia itselleen korttimaksupääte ja rekisteröidä se[4].

Lähimaksuominaisuudella varustetut korttimaksupäätteet on sertifioitu siten, että pääte saa luettua maksukortin korkeintaan neljän senttimetrin etäisyydeltä. Tehokkaalla laitteella lähimaksuominaisuudella varustetun kortin pystyy skimmaamaan jopa metrin päästä, mutta tähän vaadittava laite vie paljon tilaa. Saadakseen korttimaksupäätteen toimimaan siten, että sille pystyy siirtämään rahaa, korttimaksupäätteen omistajan ja pankin välillä tulee olla korttitilityssopimus[5]. Korttitilityssopimuksen myötä maksun saajan nimi ja tilinumero tulevat maksujen välittäjän ja pankin tietoon, mistä syystä RFID-skimmausta ei voi tehdä jäämättä kiinni[4].

Skimmaamalla ei voi saada selville maksukortin CVV-koodia, jota jotkin verkkokaupat vaativat maksutapahtuman suorittamiseen. Toisaalta osa verkkokaupoista ei vaadi CVV-koodia, vaan maksutapahtuma onnistuu niissä pelkästään syöttämällä korttinumeron ja kortin voimassaolopäivän[5].

Nykyaikaisilla maksukorteilla on sisäänrakennettu siru, joka lähettää korttien tiedot langattomasti.lähde? Tämä on välttämätöntä lähimaksamiselle,lähde? jonka suosio on vain kasvanut viime vuosina[6]. Rikolliset voivat hyödyntää tätä uutta teknologiaa käyttämällä skanneria, joka skannaa uhrin maksukortin samalla tavoin kuin maksupääte skannaa sen normaalin maksun suorittamisen yhteydessä[7].

Yleinen myytti, jota kortinmyöntäjät mainitsevat usein on, että rikollinen voi vain varastaa sen mitä etämaksuna korkeintaan voi maksaa. Tämä summa on yleensä 30-100 dollarin välillä ja vaihtelee maittain. Tämä on osoitettu virheelliseksi tiedoksi brittiläisen kuluttajalehti Which?:n testissä. Testissä he onnistuivat etävarkauden kautta hankkimaan maksukorttitietoja ja tekemään yli 3 000 punnan arvoisen verkkokauppaostoksen[8].

Vuonna 2017 lähimaksuja tehtiin Suomessa yli kaksi kertaa edellisvuotta enemmän ja kaikkien lähimaksujen osuus kaikista korttimaksuista oli 23 prosenttia[9]. Vuoteen 2017 mennessä Suomessa toimivien pankki-, vakuutus- ja rahoitusalan yhtiöiden etujärjestö Finanssiala ry:n (ent. Finanssialan Keskusliitto) tietoon ei kuitenkaan ole tullut yhtään petosta, joka olisi tehty lähimaksuominaisuutta hyödyntämällä[10].

Digital Trends -verkkosivusto selvitti maaliskuussa 2019 julkaistua RFID-skimmausta käsittelevää juttuaan varten, oliko Yhdistyneessä kuningaskunnassa tai Yhdysvalloissa esiintynyt varmistetusti RFID-skimmaustapauksia. Yhdistyneessä kuningaskunnassa ei pankkialan toimialajärjestö UK Financen mukaan ole varmistettu yhtään tapausta eikä yhdysvaltalaisen maksupetosten uhreja tukevan epäkaupallisen Identity Theft Resource Center -organisaation mukaan myöskään Yhdysvalloissa. Vaikka RFID-skimmaus on teknisesti mahdollista, todellisuudessa riski on varsin teoreettinen.[11]

Metodit RFID-skimmauksen estämiseksi

[muokkaa | muokkaa wikitekstiä]

RFID-skimmauksen voi estää useilla keinoilla, minkä lisäksi koko maksukortin NFC-siru on mahdollista tehdä lukukelvottomaksi. Monilla pankeilla on valikoimissaan maksukortteja, joissa ei ole NCF-sirua ja joita ei siten voi käyttää lähimaksamisessa.

RFID-sirun tekeminen lukukelvottomaksi

[muokkaa | muokkaa wikitekstiä]

Maksukortin RFID-siru on mahdollista tehdä pysyvästi lukukelvottomaksi useilla tavoilla. RFID-kortti menee viidessä sekunnissa lukukelvottomaksi mikroaaltouunissa[12]. Maksukortin mikrotus kuitenkin aiheuttaa tulipalovaaran[13] ja saataa tehdä vahinkoa myös muuhun osaan maksukorttia kuin RFID-siruun.[12] Maksukortin sirun voi tehdä lukukelvottomaksi myös lävistämällä se terävällä esineellä, mutta tällöin pitää tietää sirun tarkka paikka. Antennin leikkaaminen hyvin läheltä sirua estää sitä saamasta sähköä eikä siru siten kykene välittämään signaaleja. Molemmat näistä tekniikoista kuitenkin aiheuttavat pientä näkyvää vahinkoa.[12]

Kääriminen alumiinifolioon

[muokkaa | muokkaa wikitekstiä]

Suojaus on mahdollista tehdä käärimällä maksukortti alumiinifolioon[5]. Alumiinifolio kuitenkin kuluu yleensä nopeasti.

Usean NCF-kortin pitäminen päällekkäin

[muokkaa | muokkaa wikitekstiä]

Pitämällä montaa NFC-sirua käyttävää korttia päällekkäin yksittäisen kortin lukeminen on hankalaa tai jopa mahdotonta.[14]

Valmiit suojat

[muokkaa | muokkaa wikitekstiä]

RFID-skimmausten estämiseksi on olemassa myynnissä monenlaisia valmiita suojia, kuten väitetysti RFID-skimmauksen estäviä lompakoita, kukkaroita, suojakortteja ja jopa RFID-skimmaussuojauksen sisäänrakennetusti sisältäviä farkkuja, joiden valmistaminen on useiden miljoonien dollarien bisnes.[11][15] Osa maksukorttien RFIM-skimmauksen estämiseen tarkoitetuista lompakoista ja muista varusteista on kuitenkin osoittautunut joissain testeissä vähemmän luotettavaksi tavaksi torjua RFIM-skimmaus kuin kortin kääriminen alumiinifolioon.[16]

  1. Storås, Niclas: Turvattomasta magneettijuovasta päästään vihdoin eroon Tivi. 10.2.2014. Viitattu 26.1.2019.
  2. Floum, Jessica: Consumers’ online information needs better protection, Senate committee says Upi.com. 5.2.2014. Viitattu 27.1.2019. (englanniksi)
  3. Yhtenäisen euromaksualueen toteutuminen Suomessa, s. 14. Finanssialan Keskusliitto, 16.4.2012. Verkkoversio (PDF) (viitattu 26.1.2019). (Arkistoitu – Internet Archive)
  4. a b Hämäläinen, Jukka: Lähimaksamisen suosio kasvaa vauhdilla – vilauttamista pelätään yhä turhaan Vantaan Sanomat. 2.8.2017. Viitattu 18.9.2018.
  5. a b c Lassila, Anni: Tekniikan maailma -lehti onnistui lukemaan lähimaksukortin tiedot metrin päästä – pitääkö siitä olla huolissaan? Helsingin Sanomat. 6.4.2017. Viitattu 18.9.2018.
  6. Suomen Pankki: Payments statistics Suomen Pankki. Viitattu 6.1.2019. (englanniksi)
  7. Så kan tjuven skimma ditt nya bankkort SVT Nyheter. 26.4.2017. Viitattu 6.1.2019. (ruotsiksi)
  8. Contactless card fraud is too easy, says Which? theguardian.com.
  9. Vuoden 2017 maksuliiketilastot 2.7.2018. Suomen Pankki. Viitattu 18.9.2018.
  10. Nieminen, Joni: Digitreenit: Lähimaksaminen yleistyy vauhdilla Yle Digitreenit. 5.4.2018. Viitattu 18.9.2018.
  11. a b Hill, Simon: RFID-blocking products are practically worthless. Here’s why Digital Friends. 3.3.2019. Viitattu 24.5.2020. (englanniksi)
  12. a b c How to Block/kill RFID Chips instructables.com. Viitattu 24.5.2020. (englanniksi)
  13. Ceville, Robert: How to Destroy an RFID Chip itstillworks.com. Viitattu 24.5.2020. (englanniksi)
  14. Vänskä, Olli: Lähimaksamisen vaaroista pelotellaan Mikrobitti. 1.11.2017. Viitattu 24.5.2020.
  15. Silverman, Lauren: There Are Plenty Of RFID-Blocking Products, But Do You Need Them? NPR. 4.7.2017. Viitattu 24.5.2020. (englanniksi)
  16. Grimes, Roger: Why you don't need an RFID-blocking wallet NCO Online. 22.11.2017. Viitattu 24.5.2020. (englanniksi)

Aiheesta muualla

[muokkaa | muokkaa wikitekstiä]