*

Henri Mikkonen Pienen miehen asialla

PIN-koodi on naurettavan helppo urkkia

  • Suurin osa maksupäätteistä on täysin avoimia eivätkä tarjoa juuri minkäänlaista suojaa näppäimistölle
    Suurin osa maksupäätteistä on täysin avoimia eivätkä tarjoa juuri minkäänlaista suojaa näppäimistölle

Nyt ovat kaupallisen alan toimijatkin heränneet ongelmaan, josta itse olen puhunut jo vuosia ja jonka pitäisi olla kenelle tahansa näkevälle itsestäänselvä: PIN-koodin näppäily kassalla on turvallisuusriski. Yle uutisoi, että ravintolat ovat lisänneet varoituskylttejä sekä myös valvontaa:

http://yle.fi/uutiset/ravintolat_myontavat_vakavan_taskuvarkausongelman/6396195#

 

Avoimet korttimaksupäätteet ovat levinneet ympäri Suomea kuin kulovalkea. Vain pienimmissä yrityksissä, jotka vierastavat maksupäätteiden uusimisesta johtuvia kustannuksia, käytetään vielä perinteistä maksukuitin allekirjoitusta. Pian varmaan niidenkin on taivuttava, kun magneettinauhoista luovutaan. Ongelma on siis paljon, paljon laajempi kuin vain ravintoloita koskeva. Riski on olemassa aina kun ihmiset jonottavat kassalle ja maksavat ostoksiaan näppäilemällä kortin PIN-koodin. Ravintoloissa juopuneet ihmiset eivät yleensä tee mitään suojatakseen maksupäätteen näppäimistöä, ja päätteen sijainti korkealla tiskillä tekee ravintoloista kieltämättä houkuttelevia kohteita, koska ravintolassa kortti on myös helppo varastaa päihtyneeltä uhrilta.

 

PIN-koodin pystyy harjoittunut silmä lukemaan, vaikka maksupäätettä peitettäisiinkin toisella kädellä. Näppäimistössä on nimittäin vain 10 numeroa ja nekin fyysisesti aina samassa järjestyksessä. Käden liikkeistä pystyy lukemaan numeron. Itse olen välillä tätä taitoa harjoittanut kassajonossa tylsistyessäni. Yli 95% tunnusluvuista pystyn lukemaan vaivatta, vaikka seisoisin yli kahden metrin päässä maksupäätteestä ja mitenkään muuten urkkimatta, kuin yksinkertaisesti katsomalla maksupäätteen suuntaan. Alle 5% asiakkaista peittää tunnuslukunsa syöttöä siten, että kahden metrin päästä ei voi ihan varma olla.

 

Jos tällainen mattimeikäläinen on päässyt 95 % tunnistusvarmuuteen muutaman minuutin harjoittelulla, niin voin taata että ammattirikolliset pystyvät samaan. 

 

Nykyinen järjestelmä avaakin paljon mahdollisuuksia rikollisuudelle. Nähdäkseni baarit ovat vain yksi monista kohteista. Tuottavampi keino voisi olla muutaman miehen syndikaatti, joka urkkisi PIN-koodeja varakkaan asuinalueen marketissa. Uhreja seurattaisiin kun he menevät autoilleen ja rekisterinumeroiden perusteella etsittäisiin nimet ja osoitteet. Nimiä voitaisiin googlata ja siten valita varakkaimmat uhrit, joilla on todennäköisimmin paljon käteistä tilillään. Kortit voitaisiin sitten hankkia monin eri keinoin, kun uhrit ovat haavoittuvaisimmillaan. Kun kortit olisi hankittu, nostot tehtäisiin nopeasti ja syndikaatti häipyisi rahojen kanssa maasta vielä samana päivänä.

Piditkö tästä kirjoituksesta? Näytä se!

0Suosittele

Kukaan ei vielä ole suositellut tätä kirjoitusta.

NäytäPiilota kommentit (5 kommenttia)

Taisto Merilä

Luulisin, että monet ovat erhettyneet luulemaan omaa tunnuslukuani 2114 että se olisi 1142

Käyttäjän MarkoHaavisto kuva
Marko Haavisto

Saksassahan on ollut ainakin kokeilussa sellainen maksujärjestelmä joka tehdään sormenjäljellä on ainakin yhtä turvallinen kuin nykyinen järjeslmä ja lisäksi nopeuttaisi kassa tapahtumia. Nyt riskinä on että osa ihmisistä vielä kantaa sitä koodilappua mukana kun ei muista sitä...

Tapio Vehmaskoski

Nelinumeroinen PIN-koodi on liian yksinkertainen ja haavoittuva. On rakennettu hieno järjestelmä, johon pääsee aivan liian yksinkertaisella tunnuksella.

Olen samaa mieltä blogistin kanssa.

Käyttäjän moro kuva
Markku Tyry

Henri puuttuu olennaiseen.

Yksi ongelma, ja roistoille helppoa on se, kun numeroa painaessa kuuluu piippausääni.

Jos tunnusluku on vaikkapa 3771, tunnusluvun näppäilijä painaa sen seuraavanlaisella rytmillä: pip, pip-pip, pip.
Kaksi keskimmäistä numeroa siis nopeasti peräkkäin.

Takana tuleva tunnusluvun urkkijaroisto voi helposti päätellä, että kaksi keskimmäistä numeroa sama numero peräkkäin.

Jos numero on: 7731 rytmi kuuluu pip-pip, pip, pip ja taas urkkijan on helppoa päätellä, että kaksi ensimmäistä numeroa ovat sama peräkkäin.

Pitää muistaa että tunnusluvun urkkijaroistot ovat hyvin ovelia, ja taitavia numeron urkinnassa.

Kannattaa siis peräkkäisten numeroiden ollessa kysymyksessä pitää pieni epämääräinen tauko numeroiden painamisessa.

Käyttäjän moro kuva
Markku Tyry

Huomaa edellisen kommentin piipatuksissa pilkulla erotetut piippaukset, ja väliviivalla erotetut, joilla tarkoitetaan nopeasti peräkkäin painetut piippaukset.

Vaikeaselkoista, sorry...

Toimituksen poiminnat