Näin OP:n asiakkaiden kortti­tiedot vietiin – kierolta petokselta ei voi suojautua

Viikonloppuna nähty hyökkäys OP:n korttiasiakkaita vastaan herättää kysymyksen rikollisten todellisesta motiivista. Oliko kyseessä testi?

Viranomainen pitää hyökkäystä harvinaisena yksittäistapauksena.

18.8. 8:35

OP joutuu sulkemaan lähemmäs 2000 asiakkaan yhdistelmäkortit, kun niiden numerot onnistuttiin selvittämään arvaamalla niitä koneellisesti. Asiakkaiden korteille tehtiin yhden euron veloituksia, joilla rikolliset todensivat kortin toimivan.

Lue lisää: Lähes 2000 OP:n asiakkaan luotto­kortti­numerot paljastuivat – näin tarkistat, koskeeko sinua

Viranomaiselle tällainen hyökkäystapa on vieras.

– Hyvin harvinaista tällainen on. Tämä on yksittäistapaus, ja pidän epätodennäköisenä, että tällaista tapahtuisi jatkossa enemmän, arvioi johtava riskiasiantuntija Petri Aalto Finanssivalvonnasta.

Tämä on yksittäistapaus, ja pidän epätodennäköisenä, että tällaista tapahtuisi jatkossa enemmän.

OP:n korttiliiketoiminnasta vastaava johtaja Teemu Korte puolestaan kuvaili tapahtunutta eilen IS Digitodaylle normaaliksi ”kilpajuoksuksi rikollisten kanssa” sekä ”arkipäiväksi tässä liiketoiminnassa”.

IS Digitodayn tiedossa on myös epäily, jossa vastaava hyökkäys olisi tehty suomalaisen asiakkaan Bank Norwegianin myöntämää luottokorttia vastaan. Olemme pyytäneet pankilta lisätietoja.

Aalto pitää mahdollisena, että hyökkääjät yrittivät tällä tavalla selvittää suomalaisen pankkijärjestelmän reagointikykyä. Tavoitteena ei välttämättä ollut nopea rikastuminen uhrien korttien avulla. Tämä on kuitenkin spekulointia, eikä hyökkääjien tavoitteita tiedetä.

Asiantuntijan on vaikea sanoa, mitkä pankit voivat joutua muita todennäköisemmin tällaisen hyökkäyksen kohteeksi. Mikäli finanssilaitoksella on paljon kuluttaja-asiakkaita, se sinänsä riittänee.

Näin hyökkäys toimii, uhri on voimaton

  • Hyökkäys ei perustu tietomurtoon tai tietojen kalasteluun uhrilta.

  • Hyökkäyksessä kokeillaan lukemattomia määriä maksukorttien numeroita. Tätä on kutsuttu korttien generoimiseksi tai korttitehtailuksi.

  • Generointi tarkoittaa, että tietokone arpoo satunnaisen pankki- tai luottokortin numerosarjan ja tunnusluvun esimerkiksi nettipelisivustolle.

  • Kun luvut osuvat kohdalleen, rikollinen voi alkaa toimia. Käytännössä tämä tarkoittaa sitä, että yksikään ihminen ei ole turvassa maksuvälinepetokselta, jos huono tuuri sattuu kohdalle.

  • Hyökkäys tunnetaan myös nimellä brute force eli raaka voima. Menetelmä on sama jolla usein yritetään arvata salasanoja.

  • Koska maksukorttien numerosarjat muodostetaan tietyn logiikan mukaan, kaikkia numeroita ei tarvitse käydä läpi arvausprosessissa.

  • Koko kortin numerosarjaa ei tarvitse arvata. Esimerkiksi kortteja myöntävien pankkien tapauksessa 6 ensimmäistä numeroa ovat aina samana pysyvä pankin yksilöllinen tunniste.

  • Newcastlen yliopiston taannoisessa selvityksessä todettiin, että yksittäisen maksukortin numero on arvattavissa 6 sekunnissa.

  • Uhri on kuitenkin yleensä suojassa tällä tavalla tehdyiltä vääriltä veloituksilta ja saa rahansa takaisin.

Luottokorttien tapauksessa kuluttaja on hyvin suojassa vääriltä veloituksilta. Aalto muistuttaa tilanteen olevan hankalampi debit-eli pankkikorttien kanssa, koska silloin ostot veloitetaan nopeammin suoraan pankkitililtä. Tosin kuluttaja ei silloinkaan ole vastuussa tällä tavalla tehdyistä oikeudettomista veloituksista.

Aalto ei näe syitä, miksi tällainen hyökkäys ei voisi kohdistua myös pankkikortteja vastaan.

– Kyllä se on ihan mahdollista, Aalto sanoo.

Usein samassa kortissa on kuitenkin sekä credit- että debit-ominaisuus, kuten OP:n mitätöimien korttien tapauksessa.

Toimintaa on hankala torjua ennalta, mutta Aalto kiittelee suomalaispankkien kykyä reagoida tällaisiin ja muihin huijauksiin.

– Tässäkin tapauksessa OP oli hereillä, Aalto huomauttaa.

Teoriassa hyökkääjät saattavat siis todeta, että ehkä suomalaisia vastaan ei kannata hyökätä tällä tavalla.

Jos kuluttaja näkee mitä tahansa outoja veloituksia luotto- tai pankkikortiltaan, Aalto neuvoo olemaan viipymättä yhteydessä pankkiin kortin sulkemiseksi.

Nopea toiminta on oleellista.

Jos hyökkäys on käynnissä, aikaa rahojen pelastamiseksi voi joskus olla todella vähän. Usein konnat ajoittavat varkauden viikonloppuun tai yöaikaan, jotta uhri ei heti huomaisi sitä.

– Nopea toiminta on oleellista, Aalto tähdentää.

Osion tuoreimmat

Luitko jo nämä?