TigerTeam - suomalainen tietoturvablogi

Yksi luottokorttiturvallisuuteen liittyvistä suomen kieleen kulkeutuneista sanoista on englanninkielisestä skimming-verbistä johdettu skimmaus. Myös skimmaajista ja skimmausjengeistä puhutaan.

Skimmaus tarkoittaa luotto- tai pankkikortin kopiointia tyypillisesti pankkiautomaattiin liitetyllä laitteistolla. Jotta kopioitua korttia voitaisiin käyttää rahan nostamiseen automaatista hankkivat rikolliset yleensä myös tunnusluvun eli PIN-koodin automaattiin kytkemällään kameralla. Skimmaus-termiä käytetään myös tapauksissa, jossa kortti kopioidaan huoltoaseman korttiautomaatilla. Tällöin kohteena on useimmiten miehittämätön eli ns. kylmäasema, koska laitteiston asennus voidaan tehdä helpommin henkilökunnalta salassa.

Skimmaaja on henkilö, joka luvattomasti kopioi maksukortin tiedot kortin kopion valmistamiseksi.

Aina ei mikrokokoinen kamera kuitenkaan ole skimmaajien käytössä. Tiedetään useita tapauksia, joissa tunnusluku on saatu numeronäppäimistön päälle asennetulla valenäppäimistöllä.

Kuinka sitten skimmaukselta voi suojautua?

1. Peitä näppäimistö kädellä näppäillessäsi PIN-koodia. Näppäilyn kuvaava kamera voi kuvata näppäilyn muualtakin kuin suoraan näppäimistön yläpuolelta.

2. Ota yhteyttä poliisiin ja automaatin ylläpitäjään mikäli epäilet löytäneesi kopiointilaitteen automaatista. Kopiointilaitteet on usein teipattu automaatteihin ja Suomen ilmastossa ne voivat irrota kiinnityksistään.

3. Tarkista tiliotteet ja luottokorttilaskut. Mikäli nostoja tai ostoja on tehty epäilyttävinä ajankohtina tarkista niiden oikeellisuus.

Payment Card Industry Security Standards Council (PCI SSC) on julkaissut dokumentin “Skimming Prevention – Best Practices for Merchants”. Tiedosto on saatavissa sekä PDF-muodossa että pakatussa ZIP-muodossa (sisältää 27-sivuisen .doc-tiedoston).

Kyse on maksukorttien kopioinnin estämiseen ja sen riskin arvioimiseen ohjeistavasta dokumentista, jonka on tuottanut PCI SSC PIN Transaction Security Working Group. Dokumentissa kuvataan parhaita käytäntöjä, joilla kopiointia voi vaikeuttaa tai kopiointi voidaan estää. Lisäksi pisteytystaulukon avulla kauppias voi määritellä kuinka suuri riski kopiointi kauppiaalle on.

Dokumentti sisältää listan tietoturvasuosituksista, joiden avulla kauppias voi:

• tiedostaa kopiointiin liittyvät riskit

• tiedostaa maksupäätteiden- ja terminaalien käyttöön sisältyvistä uhkat

• tiedostaa uhkat, jotka liittyvät asiakkaiden maksukortteja suoraan käsittelevään henkilökuntaan

• estää tai vaikeuttaa rikollisten hyökkäyksiä maksupääte- ja terminaalilaitteita tai maksuinfrastruktuuria kohtaan

• tunnistaa mahdollisimman nopeasti muokatun (compromized) laitteen ja pienentää onnistuneen hyökkäyksen vaikutusta

Dokumentissa on myös kuvia kopiointiin käytettävistä laitteista ja esimerkkejä tapahtuneista rikoksista. Näiden esimerkkien avulla pyritään auttamaan kauppiasta hyökkäyksien tunnistamisessa ja kasvattamaan tietoisuutta rikollisten käyttämistä tavoista.