27. syyskuuta 2016

Luotto- ja maksukorttien suojausvinkkejä

Olen kirjoittanut aikaisemminkin blogissani luottokorteista, mutta keskittyen vain niiden "lähimaksu" (NFC) ominaisuuteen, jonka tietoturva on olematonta (1 ja 2). Tarkoitukseni on nyt käydä läpi luotto- ja maksukorttien muita tietoturvajuttuja ja antaa eräitä suojautumisvinkkejä yleisempiä ongelmia vastaan.

Pidemmittä puheitta videon pariin:

Pikakertaus:
  1. Älä hanki yhdistelmäkorttia (luotto/pankki), vaan hanki kaksi eri korttia: Visa Electron ja Mastercard luotto. Näin vältät lähimaksuominaisuuden ja sinulla on kaksi eri korttia, mikä antaa lisäturvaa. edit: Osuuspankilla ja Säästöpankilla on ilmeisesti myös Visa Electronissa jostain kumman syystä ja keinolla lähimaksuominaisuus!
  2. Pidä huolta, että kortissasi ei ole ns. lähimaksuominaisuutta (NFC), koska se on täysin tietoturvaton paska ja vaarantaa vakavasti korttisi ja tililläsi olevien rahojen turvallisuuden. Jos teet kohdan 1. mukaan niin tätä ongelmaahan ei tietenkään ole.
  3. Visa Electronista nettimaksaminen pois käytöstä ja maarajaus Suomeen (jos et aio matkustella), sekä turvarajat.
  4. Mastercardista nettimaksaminen pitää jättää päälle ja maarajaus jättää pois, mutta turvaraja kannattaa laittaa.
  5. Vältä luottokortin käyttämistä nettimaksamisessa. Käytä mieluummin PayPayliä tai Bitcoineja, jos ostat ulkomailta ja jos ostat kotimaasta, käytä mieluummin tilisiirtoa tai postiennakkoa.
  6. Visa Electronista voi peittää suurimman osan numeroista edestä ja takaa (ilmastointiteipillä), jolloin niitä ei voi urkkia korttia kuvaamalla tai katsomalla.
  7. Visa Electronista voi pyyhkiä magneettiraidankin pois magneetilla, jos et aio käyttää sitä esim. polttoaineen ostamiseen kylmäasemilta tms.
  8. Mastercardista voi peittää suurimman osan numeroista edestä ja takaa (ilmastointiteipillä), jolloin niitä ei voi urkkia korttia kuvaamalla tai katsomalla...kirjoita ne kuitenkin jonnekin ylös jos aiot käyttää korttia nettimaksamiseen (jos käytät PayPaylia, tätäkään ongelmaa ei ole).
  9. Mikäli joudut jostain syystä käyttämään korttien magneettiraitaa, pidä huoli, että kortinlukulaitteessa ei ole ns. skimmereitä: Revi, heiluta, tunnustelu kortinlukuaukkoa ja näppäimistöä, että ne ovat tukevat.
  10. Suojaa aina PIN-koodisi toisella kädelläsi kaikissa tilanteissa, äläkä koskaan, ikinä, milloinkaan anna sitä kenellekään mistään syystä missään tilanteessa.

16 kommenttia:

Anonyymi kirjoitti...

Minulla on pelkkä visa electron ja olin yllättynyt että siinä itse asiassa on lähimaksuominaisuus vaikka en sellaista olisi siihen halunnut enkä tiennyt että siinä voi sellainen olla! Osuuspankin kortti meinaan

Anonyymi kirjoitti...

Hyvä vinkkivideo!
..mutta...
Miten niin "Visa Electronissa ei ole lähimaksuominaisuutta" ?
Minulla on aika uusi OP:n Visa Electron, jossa on lähimaksuominaisuus!

Paula kirjoitti...

Kiitos, hyviä ohjeita. Mulla ollutkin aina kaksi erillistä korttia, juuri kertomistasi syistä. Nyt lähti debitistä numerot piiloon ja magneetti jo vierailikin kortin lähellä... niin, debit, ei electron. Täytyy kai sellainen ottaa seuraavaksi. Vaihdoin aikoinani debitiin siksi, kun se oli electronia nopeampi ja toimintavarmempi. Ja niin, siihen tuli etäluku. Pidin sitä aluksi hyvänä, mutta tämä video ehkä sitten antaa ymmärtää ettei ole niin vänkä kuin luulisi...

Tuota noin, onko sulla tarkempaa tietoa noista etäluvun ongelmista tai murtoyrityksistä?

Markus Jansson kirjoitti...

En ymmärrä, miten on edes teoriassa mahdollista, että Electronissa voisi olla lähimaksu. Electron vaatii, että tilin saldo on tarkistettava ennen maksua. Lähimaksussa se ei onnistu, vaan veloitus lähtee samantien. Kokeilkaapa huviksenne siirtää tilinne saldo nollaksi (eli rahat toiselle tilille) ja menkää sitten maksamaan joku alle 20€ ostos Electronin lähimaksulla, miten käy?

Etäluvun ongelmista on tietoa niissä kahdessa aikaisemmassa blogipostauksessani, kuten selkeästi tekstissäni kerron. Ja linkit ovat juurikin siinä, missä niistä kerron.

Paula kirjoitti...

Tuota, Osuuspankilla on todella NFC-electroneja. En tiedä sitten, miten toimivat.

Anonyymi kirjoitti...

Eikös Electron tarkistakin tilin saldon lähimaksua käytettäessä?
Joskus kokeilin lähimaksua ja konen screenillä taisi lukea "varmennetaan" tms. pari sekuntia.

MJ:
"Kokeilkaapa huviksenne siirtää tilinne saldo nollaksi (eli rahat toiselle tilille) ja menkää sitten maksamaan joku alle 20€ ostos Electronin lähimaksulla, miten käy?"

-Täytyy kokeilla. Jos onnistun viemään tilin saldon miinukselle, niin mielenkiintoiseksi menee. Arvatkaapa rullaanko siinä tapauksessa tyyliin 20+20+20+20+20+ jne jne... :)
Ja arvatkaapa onko se pankin virhe siinä tapauksessa.

PS.
Kortissani lukee "VISA Electron" ja "Debit" ja sitten on se lähimaksu merkki "))))"

Anonyymi kirjoitti...

Kävin juuri kokeilemassa:

-Visa Electron kortti lähimaksuominaisuudella ( )))) )
-Parin euron ostokset
-Tilin saldo +0,36 €

Tulos:
-Maksupääte: ..varmennetaan...Tapahtuma hylätty

Että semmoista.

Roskapuhetta, että "lähimaksussa tilin saldon tarkistus ei onnistu ja veloitus lähtee samantien"

Siis otetaanpa nyt skenaario, että esimerkiksi 100 000 Visa Electronin käyttäjää höylää tilin -20euroon.
Okei, pari miljoonaa...
Ja jos tekee saman kaksi kertaa...viisi kertaa...kymmenen kertaa...
Onhan se nyt selvä, että pankit ovat varautuneet tähän ja ilman varmennusta ei luottotiedottomille Electronin käyttäjä-retaleille myydä yhtikäs mitään!

Yleensä Markus J. sinun blogissa on ihan käyttökelpoisia vinkkejä ja faktapainoista asiaa, mutta nyt mennään kyllä ihan överisti turhaan foliohattuiluun.
En usko, että kortin etupuolella olevalla sarjanumerolla kukaan rikollinen tekee yhtikäs mitään.

Lisäksi:
-Paypal on paska (vaatii luottokortin nykyisin?)
-Bitcoin on paska (hämärä kaikin puolin)
-Tilisiirto aka Bank transfer toimii ulkomaan (EU/ETA alue yms) maksuissa ja on 100% varma
-Kotimaassa postiennakko on todellakin paras (niinkuin sanoitkin)

Oletko Markus J. kokeillut pankkikorttisi magneettijuovaa esim bensa-automaatilla ns. juovan tuohamisesi jälkeen?
Käytitkö positiivista vai negatiivista magneettia juovan tuhoamiseen?
Omistatko itse Visa Electronia?

No, turvallisuus ennen kaikkea jokatapauksessa!
Parempi virsta väärään kuin vaaksa vaaraan jne... :))

Anonyymi kirjoitti...

Suosittelen muuten ihan yksinkertaisesti pyöräyttämään sen foliohatun mielummin sen pankkikortin ympärille, kuin pään-. :)

Okei
-Kortin numerot piiloon
-Suojaa pin koodi kun näppäilet sen
-Kortti metallikoteloon

Ei tästä olisi tarvinnut puolen tunnin videota tehdä, vaikka hauskahan tätä irvistelyä ja moninkertaista asioiden painotusta on katsoa :D

Anonyymi kirjoitti...

Lisäsit näemmä edit -textin, että jostain kumman syystä OP Visa Electron kortissa on lähimaksuominaisuus. Editoippas lisää, että myös (ainakin vaimoni) Säästöpankin vastaavassa on myös mokoma!

T: sama "trollaaja" joka on asiaa tutkinut nyt koko aamupäivän :)

Markus Jansson kirjoitti...

Todella outoa tuo Visa Electron ja lähimaksu. Kysyin nimittäin asiaa Nordeasta ja he selittivät, miten Visa Electroniin on todellakin mahdotonta saada lähimaksua. Nähtävästi muilla pankeilla ko. ominaisuus on kuitenkin toisinaan myös tuossa kortissa. Pitääkin olla tarkempi.

Joka tapauksessa Visa Electron on parempi kuin normaali debit-kortti, koska siinä ei voi tapahtua tilinylityksiä. Debitissä esimerkiksi varastettu kortti voidaan vetää miinuksille reilusti. Lisäksi kahden eri kortin edut ovat ja pysyvät edelleenkin kuten sanoinkin.

> Kortissani lukee "VISA Electron" ja "Debit" ja sitten on se lähimaksu merkki

Niin, eli sinulla on samassa kortissa sekä electron että normaali pankkikortti.

Markus Jansson kirjoitti...

> En usko, että kortin etupuolella olevalla sarjanumerolla kukaan
> rikollinen tekee yhtikäs mitään.

Uskomuksellasi ei ole mitään pohjaa. Niillä numeroilla voi kuka tahansa tehdä itselleen tyhjään korttiaihioon magneettijuovalla toimivan kortin, ts. kirjoittamalla ne numerot magneettijuovaan.

> -Paypal on paska (vaatii luottokortin nykyisin?)

Miten tämä on paskempi kuin se, että käytät luottokorttia sitten suoraan netissä? Öööhhh...? Paypalin tapauksessa luottokortin tiedot eivät mene myyjälle, joten vuodon riski on minimaalinen, siinä se koko idea onkin.

> -Bitcoin on paska (hämärä kaikin puolin)

LOL. Otappa selvää.

> -Tilisiirto aka Bank transfer toimii ulkomaan (EU/ETA alue yms) maksuissa
> ja on 100% varma

Tilisiirto kestää, eikä sisällä turvaa esim. toimittamattoman tuotteen osalta. Luottokorteissa on usein tuoteturvavakuutus.

> Oletko Markus J. kokeillut pankkikorttisi magneettijuovaa esim
> bensa-automaatilla ns. juovan tuohamisesi jälkeen?

Minä en itse ole, koska tarvitsen ko. ominaisuutta, mutta jos magneettijuovan vetää magneetilla sileäksi, se ei tietenkään toimi siellä.

Anonyymi kirjoitti...

Kyllä se siltä näyttää, että ainakin OP:n ja SP:n korteissa nykypäivänä on lähimaksuominaisuus ihan perusominaisuutena.

MJ:
"Joka tapauksessa Visa Electron on parempi kuin normaali debit-kortti, koska siinä ei voi tapahtua tilinylityksiä. Debitissä esimerkiksi varastettu kortti voidaan vetää miinuksille reilusti. Lisäksi kahden eri kortin edut ovat ja pysyvät edelleenkin kuten sanoinkin."

-Minulla ei ole mitään hajua, mitä tuo "Debit" tarkoittaa.
Itselläni lukee kortissa sekä Debit, että Visa Electron, mutta en voi vetää miinukselle.
Mutta varastettu kortti (jossa Debit) voidaan vetää miinukselle ja henkilön omistamaa korttia henkilö itse ei voi vetää miinukselle?..?..?.+? Ok.
Siis varastettu kortti voidaan vetää miinukselle, mutta omistettu kortti ei?

Korrrteista
MJ:
"Niin, eli sinulla on samassa kortissa sekä electron että normaali pankkikortti."

-Tämä omistamani kortti on varustettu ihan perusominaisuuksilla, eli:
-Voi nostaa rahaa pankkiautomaatilta
-Voi maksaa liikkeissä sirulla (vaatii pin koodin)
-Voi käyttää lähimaksua (eli vilautat korttia päätteen vasemmalla puolella)

MJ:
"Uskomuksellasi ei ole mitään pohjaa. Niillä numeroilla voi kuka tahansa tehdä itselleen tyhjään korttiaihioon magneettijuovalla toimivan kortin, ts. kirjoittamalla ne numerot magneettijuovaan."

-Okei, ehkä teoriassa, mutta eikö silloinkin tarvita pin koodi? Kaikinpuolin kyllä hullu saat olla, että menet asemalle tankkaamaan valvontakameroiden eteen kopioidulla pankkikortilla, etenkin omistamallasi autolla rekisterikilpinesi. Petos-/maksuvälinepetossyytteet ovat aika tuntuvia, enkä ole kyllä kuullut tämänlaisista tapauksista.
Sitäpaitsi riski-/hyötysuhde olisi tällaisessa aika tappiollinen. Ok, bensatankki vetää sen max 100 L (jos ei puhuta mistään monsteri rekka-autoista) ja petostuomiot (sekä perus- että maksuvälinepetos) ovat korkeimmillaan siellä neljän vuoden hujakoilla.

Paypalista
MJ:
"Miten tämä on paskempi kuin se, että käytät luottokorttia sitten suoraan netissä? Öööhhh...? Paypalin tapauksessa luottokortin tiedot eivät mene myyjälle, joten vuodon riski on minimaalinen, siinä se koko idea onkin"

-Paska siinä mielessä, että entäs luottokortittomat henkilöt? Itse käytin Paypalia mm. peliserverin vuokraamiseen ja kätevä se olikin siihen asti, kunnes alkoi vaatia luottokortin numeroa ja kotiosoitetta ym. yksityiskohtia ja mitään luottokorttia minulla ei ole.
Eli: Paypal ei ole luottokortittomille = minulle = minulle paska.

Okei Bitcoinista ei ole suuria kokemuksia, mutta vaistoni sanoo että loppupeleissä liero.
Joskus olin kokeilemassa ja aika hämärältä näytti. Ei vakautta, ei takeita...saattaa hävitä koko pulju kuin tuhka tuuleen ihan minä hetkenä hyvänsä.

Tilisiirrosta
MJ:
"Tilisiirto kestää, eikä sisällä turvaa esim. toimittamattoman tuotteen osalta. Luottokorteissa on usein tuoteturvavakuutus."

ja tilisiirrosta
MJ:
"Tilisiirto kestää, eikä sisällä turvaa esim. toimittamattoman tuotteen osalta. Luottokorteissa on usein tuoteturvavakuutus."

-NIIN, mutta nyt puhutaankin maksuvälineturvasta ja omaisuuden turvasta, eikä ostoturvasta tai tuoteturvasta. On totta, että pankkisiirto kestää vielä nykyisinkin törkeän kauan, mutta itselläni ei todellakaan ole pahoja kokemuksia YHDESTÄKÄÄN pankkisiirtokokemuksesta.
Ainakin rahat ovat aina menneet/tulleet perille.
Siitähän tässä oli kyse.

Ja Magneettijuovasta
MJ:
"Minä en itse ole, koska tarvitsen ko. ominaisuutta, mutta jos magneettijuovan vetää magneetilla sileäksi, se ei tietenkään toimi siellä"

-Jos et itse ole kokeillut, niin miten olet sitten noin varma että, "ei tietenkään toimi.." ?



Paula kirjoitti...

Amazon on siinä mielessä erikoinen niinkin jättisuureksi verkkokaupaksi, että PayPal ei ole siellä käytössä. Sinne vielä joutuu siis luottokortin tiedot laittamaan.

Anonyymi kirjoitti...

Noita Visa debit-korttejakin on varmentamattomia ja varmentavia. Sattuneista syistä S-pankki vaihtoi korttini jälkimmäiseen. Sillä ei voi tiliä ylittää, ei edes NFC-maksulla.

Google playsta muuten löytyy NFC-pankkikortinlukija ja NFC-passin lukija. Jos kokeilee, ei välttämättä huono idea kokeilla laitteessa, joka ei ole nettiin kytkettynä kun takeitahan ei ole minne tiedot muuten päätyy!

Anonyymi kirjoitti...

"Yleensä Markus J. sinun blogissa on ihan käyttökelpoisia vinkkejä ja faktapainoista asiaa, mutta nyt mennään kyllä ihan överisti turhaan foliohattuiluun.
En usko, että kortin etupuolella olevalla sarjanumerolla kukaan rikollinen tekee yhtikäs mitään.

Lisäksi:
-Paypal on paska (vaatii luottokortin nykyisin?)"

A) PayPal ei ole paska

B) Ei vaadi luottokorttia

C) Vittu SINÄ olet PASKA

D) Fuck off - Painu vittuun

Anonyymi kirjoitti...

Amazonissa ei toimi PayPal todennäköisesti sen takia, että se on kilpailijan (eBay) systeemi.