Sisältöön

Maksuvälinepetos - SecMeter

Ohita valikko
Ohita valikko

Maksuvälinepetos

Yritysturvallisuus > Compliance
Ohita valikko
Maksuvälinepetos



Maksuvälinepetokset on määritelty ja säädetty rangaistaviksi rikoslain 37 luvussa. Tekomuotoja on neljä.

  1. lievä maksuvälinepetos 10 § (24.8.1990/769)
  2. maksuvälinepetos 8 § (24.8.1990/769)
  3. törkeä maksuvälinepetos 9 § (24.8.1990/769)
  4. maksupetoksen valmistelu 11 § (13.6.2003/514)

Maksuväline
Maksuvälineellä tarkoitetaan pankki-, maksu- tai luottokorttia, shekkiä tai muuta välinettä taikka tallennetta, jolla voidaan suorittaa maksuja, tilinostoja tai tilisiirtoja tai jonka käyttäminen on välttämätön edellytys mainittujen suoritusten tekemiseksi

Maksuvälinelomake
Maksuvälinelomakkeella tarkoitetaan painettua maksuvälineeksi täydennettävää lomaketta, jota ei pidetä yleisön vapaasti saatavissa, taikka sellaista korttia tai korttiaihiota, joka erityisesti soveltuu maksuvälineen valmistamiseen.
Tehtävälista
Teknologiset suojatoimet

  1. Maksujärjestelmien salaus (SSL/TLS)
  2. Monivaiheinen todennus (MFA) asiakas- ja työntekijäkirjautumisissa
  3. Tokenisaatio ja salaus korttitiedoille
  4. Petosten tunnistusalgoritmit ja tekoälypohjainen valvonta
  5. IP-osoitteiden, laitteiden ja käyttäytymisen analytiikka

Henkilöstön koulutus ja sisäiset prosessit

  1. Säännöllinen tietoturvakoulutus työntekijöille
  2. Tietojen käyttöoikeuksien rajoittaminen (vain tarpeellinen pääsy)
  3. Sisäiset tarkastusprosessit epäilyttävien maksujen osalta
  4. Pakollinen kahden henkilön hyväksyntä suurille tai poikkeaville maksuoperaatioille

Asiakastietojen suojaus

  1. PCI DSS -standardien noudattaminen (maksukorttialan turvallisuusstandardi)
  2. Tietojen anonymisointi ja säilytyksen minimointi
  3. Säännölliset auditoinnit ja haavoittuvuusskannaukset

Kumppaneiden ja maksunvälittäjien hallinta

  1. Hyvämaineiset ja sertifioidut maksupalveluntarjoajat
  2. Sopimuksiin sisällytetyt tietoturvavaatimukset
  3. Kolmannen osapuolen riskinarvioinnit ja tarkastukset

Reagointi ja palautuminen

  1. Petosepäilyjen ilmoituskanava työntekijöille ja asiakkaille
  2. Nopea reagointi- ja tutkintaprosessi (incident response plan)
  3. Vakuutukset kyberpetoksia ja maksupetoksia vastaan
  4. Tietovuotojen ilmoittaminen viranomaisille ja asiakkaille

Asiakkaiden suojaaminen

  1. Reaaliaikaiset maksuilmoitukset ja hälytykset
  2. Helppo kortin jäädytys ja uudelleenaktivointi
  3. Turvalliset kirjautumismenetelmät asiakasportaaleihin
  4. Vahva asiakasvarmennus (Strong Customer Authentication, SCA)
Asia Tapauksia
Maksuvälinepetoksiin liittyvät rikosnimikkeet

Maksuvälinepetoksen valmistelu
Tekoon syyllistyy henkilö, joka valmistaa, hankkii, tuo maahan, vastaanottaa, hallussapitää, myy tai luovuttaa:

  • maksuvälinelomakkeen,
  • maksuvälinelomakkeen valmistamiseen soveltuvan välineen tai tarvikkeen,
  • tietoverkoissa tapahtuvaan maksuliikenteeseen soveltuvan tallenteen, ohjelmiston, välineen tai tarvikkeen, tarkoituksenaan tehdä maksuvälinepetos.

Lievä maksuvälinepetos
Tekoon syyllistyy henkilö, jonka maksuvälinepetos on kokonaisuutena arvioiden vähäinen esimerkiksi tavoitellun hyödyn tai aiheutetun vahingon perusteella.

Maksuvälinepetos
Tekoon syyllistyy henkilö, joka pyrkii oikeudettomaan hyötyyn käyttämällä maksuvälinettä:

  • ilman laillisen haltijan lupaa,
  • ylittäen saamansa luvan,
  • ilman muuta laillista oikeutta,
  • tai luovuttamalla maksuvälineen toiselle käytettäväksi ilman lupaa.

Petokseen syyllistyy myös henkilö, joka käyttää maksuvälinettä tilin katteen tai sovitun luottorajan ylittäen ja aiheuttaa taloudellista vahinkoa, ellei hänellä ole aikomusta viipymättä korvata vahinkoa.

Maksuvälinepetoksen tunnusmerkistö ei edellytä erehdyttämistä, erehdystä eikä vahingon syntymistä. Olennaista on, että maksuvälinettä on käytetty oikeudettomasti.

Törkeä maksuvälinepetos
Tekoon syyllistyy henkilö, joka

  • aiheuttaa huomattavaa tai erityisen tuntuvaa vahinkoa,
  • rikos tehdään erityisen suunnitelmallisesti,
  • rikoksen yhteydessä valmistetaan tai teetetään maksuvälinelomakkeita.

Skimmaus (skimming)
Skimmaus tarkoittaa maksukortin magneettijuovan tietojen kopioimista. Pankkiautomaattiin asennettu skimmeri voi kopioida kortin tiedot kortin ollessa lukijassa.

Ilmiö on tunnettu maailmalla jo 1980-luvulta. Esimerkiksi Iso-Britanniassa osa pankeista luopui magneettijuovakorteista jo varhaisessa vaiheessa. Interpol käsitteli ilmiötä kokouksissaan 1980-luvulla.

Skimmausta on havaittu mm. Venäjällä, USA:ssa, Iso-Britanniassa, Saksassa, Hollannissa, Espanjassa, Tanskassa ja Virossa. Tapauksissa on usein käytetty NCR-yhtiön valmistamia pankkiautomaatteja.

Ensimmäinen laaja skimmaustapaus Suomessa lokakuussa 1998

Tapahtumien kulku

  • 5.10.1998 Asiakkaat ilmoittivat virheellisistä tilitapahtumista.
  • 6.10.1998 Varmistui, että OKO:n pankkiautomaatilla oli kopioitu korttitietoja. Kortteja kuolettiin.
  • 7.–10.10.1998: Petoksilla saatiin haltuun yli 200.000 markkaa. Korttien kopioita käytettiin myös Tallinnassa.
  • 13.–15.10.1998: Uhrien määrä nousi yli 70:een. Poliisi epäili rikollisverkostoa. Kortit oli kopioitu useampana viikonloppuna.
  • 17.–23.10.1998: Poliisi epäili laitteen kopioineen sekä magneettijuovan että PIN-koodin. Yhteistyö Viron viranomaisten kanssa oli haasteellista.
  • 25.–27.10.1998: Liettuassa pidätettiin henkilöitä, mutta heidän yhteyttään Suomen tapaukseen ei pystytty vahvistamaan.
  • 17.3.1999: Helsingin rikospoliisi päätti lopettaa aktiiviset tutkintatoimet.

Petoksen tekninen toteutus
Petokseen käytettiin kahta laitetta:

  • Kortin magneettijuovan kopiointilaitetta,
  • PIN-koodin tallennuslaitetta.

Laitteet oli helppo asentaa pankkiautomaattiin huomaamattomasti.

Median ja viranomaisten terminologia tapahtuman yhteydessä

Lehdistön käyttämiä rikosnimikkeitä:

  • pankkikorttipetos
  • pankkiautomaattihuijaus
  • maksuvälinepetos (virallinen tutkintanimike)
  • väärennös
  • petos

Lehdistön käyttämiä tekijöiden nimityksiä:

  • korttihuijari
  • kavaltaja
  • huippuammattilainen
  • järjestäytynyt rikollinen

Lehdistön käyttämiä kuvauksia skimmauslaitteesta:

  • ylimääräinen laite
  • tekninen apuväline
  • jonkinlainen lukija
  • alkeellinen mutta tehokas tekniikka

Reaktiot ja seuraukset
Vuoteen 2012 asti skimmaaminen jatkui. Vasta silloin pankkiautomaattien kortinlukijat korvattiin turvallisemmilla malleilla. Kortit alkoivat mennä vain puoliväliin laitteessa, mikä esti magneettijuovan kopioinnin.

Johtopäätökset ja jälkipyykki
Skimmaustapaus osoitti, että suomalaiset pankit olivat aliarvioineet magneettijuovakorttien turvallisuusriskejä. Asiakkaita epäiltiin ensin huolimattomuudesta, vaikka tekninen toteutus viittasi järjestäytyneeseen rikollisuuteen.

Turvatoimia kiristettiin asteittain, mutta kesti yli vuosikymmen ennen kuin pankkiautomaattien turvallisuus saatiin nykyaikaiselle tasolle. Tapauksen opetus korostaa valvonnan ja teknologisen kehityksen tärkeyttä maksuvälineiden turvallisuudessa.

Jutussa uusi käänne
Ruotsissa Tukholman tulli oli pidättänyt kaksi maahan pyrkinyttä virolaismiestä, joiden autosta löytyi pankkikorttien luku- ja kopiointilaitteet. Tukholman poliisin rikostarkastaja epäili, että pidätetyillä oli yhteyksiä Helsingissä tapahtuneeseen maksuvälinepetokseen. Poliisin kuulusteluissa miehet ilmoittivat olevansa läpikulkumatkalla, joko Norjaan tai Tanskaan.

Miehet olivat piilottaneet laitteet Suzuki Balenon tavaratilaan suojamaton alle. Tukholman poliisi luonnehti laitteita "erittäin korkealuokkaisiksi ja edistyksellisiksi.

Föreningssparbankenin edustajan mukaan ruotsalaisten pankkikorttien kopioiminen ei onnistu, koska korteissa on kopioiden käytön estävä "vesileima". Lähde: (Ilta-Sanomat 23.1.1999) Laite koostui seuraavista pankkiautomaatin alkuperäisten osien näköisistä jäljitelmäosista:

  • Pankkiautomaatin näppäimistötason päälle asetettava korvaava pöytätaso, jossa näköisnäppäimistö (tason alle sijoitettu elektroniikkakomponentit ja normaaleista sauvaparistoista koostuva virtalähde).
  • Pankkikortin syöttö-/lukulaite.
  • Edelliset osat yhdistävä koteloitu kaapeli (ei normaalissa pankkiautomaatissa).

Korvaavan laitteiston asennus ei estänyt pankkiautomaattia toimimasta normaalisti. Asiakkaan tunnusluku kopioitiin näköisnäppäimistön avulla. Näköisnäppäimistön ja pankkiautomaatin näppäimistön toiminta synkronoitiin jokaisen näköisnäppäimen alapuolella olevan nastan avulla. Painalluksen seurauksena nasta painoi myös suoraan alapuolella sijaitsevaa oikeaa pankkiautomaatin näppäintä. Asiakkaan tietämättä PIN-koodi ja magneettijuova kopioituivat korvaavan pöytätason alle sijoitettuun muistilaitteeseen.

Pankkikortin magneettijuova kopioitiin pankkiautomaatissa olevan alkuperäisen pankkikortin syöttöaukon eteen tulevalla lukulaitteella. Lukulaite oli rakenteeltaan niin ohut, ettei se estänyt pankkiautomaatin oman lukulaitteen toimintoja.

Sopivalla hetkellä tekijät palasivat ja irrottivat laitteet pankkiautomaatista. Muistilaitteen tiedot kopioitiin välittömästi korttiaihioille. Asiakkaat eivät osanneet epäillä palvelutilanteessa petosta, koska saivat haluamansa palvelut automaatilta.

Helsingin rikospoliisin tutkijat matkustivat Ruotsiin
Kaksi Helsingin rikospoliisin tutkijaa matkusti Tukholmaan kuulustelemaan miehiä ja tutustumaan Tukholman tullin takavarikoimaan laitteistoon. Laitteiston uskottiin olevan samanlainen kuin Helsingin Aleksanterinkadun OKO-automaatilla käytetty laitteisto.

Viron poliisi oli luovuttanut aiemmin teosta epäiltyjen 4-5 virolaismiehen nimet ja valokuvat. Molemmat Tukholmassa pidätetyt miehet olivat tällä listalla. Lähde: (Iltalehti 25.3.1999)

Epäillyt vangittu
Helsingin käräjäoikeus vangitsi kaksi maksuvälinepetoksesta epäiltyä Viron venäläistä miestä. Epäillyt luovutettiin Suomen poliisin haltuun Tukholmasta sunnuntaina 18.4.1999. Poliisilla oli vahvoja epäilyksiä miesten osallisuudesta Helsingissä tapahtuneisiin maksuvälinepetoksiin. Lähde: (Ilta-Sanomat 22.4.1999, sivu 15)

Syytteet luettu
Virossa asuville venäläisille miehille luettiin syytteet Helsingin käräjäoikeudessa 10.8 1999. Syytteet koskivat maksuvälinepetosta ja törkeää väärennöstä. Asianosaisina jutussa oli 73 yksityishenkilöä (Helsingin Sanomien 11.8.1999 mukaan yli 75 yksityishenkilöä), OKO, Osuuspankki, Leonia, Merita, Luottokunta ja Automatia Automaatit Oy. Lähde: (Helsingin Sanomat 10.8.1999 B3, Iltalehti 10.8.1999 sivut 4-5).

TV1 -uutislähetyksen 10.8.1999 klo 20.30 mukaan syytteet olivat törkeä maksuvälinepetos ja törkeä väärennös. Petoksilla saatu summa nousi lopulta 317.000 markkaan. Lisäksi syytetyiltä vaadittiin korvausta tapauksen selvittelystä aiheutuneista (880.000 markkaa) kuluista. Syytetyt kiistivät syytteet.

Syytetyt kertoivat uskoneensa kuljettaneen vain tietokoneen osia. Toinen syytetyistä vakuutti "Minulla ei ole mitään tekemistä tämän rikoksen kanssa". Lähteet: (Helsingin Sanomat 11.8.1999. Iltalehti 10.8.1999, sivut 4-5. TV1 -uutislähetys 10.8.1999 klo 20.30. Helsingin Sanomat 14.8.1999)

Helsingin käräjäoikeus antoi jutussa tuomion
Poliisin esitutkinnassa keräämä näyttö oli riittävä. Helsingin käräjäoikeus tuomitsi syytetyt 27.8.1999 kolmeksi vuodeksi vankeuteen. Lisäksi käräjäoikeus tuomitsi syytetyt korvaamaan jutun tutkimuksesta aiheutuneet kulut sekä pankeille ja Luottokunta Oy:lle aiheutuneet menetykset lähes 600.000 markkaa.

Nyt tuomitut henkilöt ilmoittivat ammateikseen merimies ja huonekalupuuseppä. Kolmas epäilty henkilö istui tuomion aikana Virossa vankeusrangaistustaan. Muut avustajat olivat edelleen vapaalla jalalla. Lähteet: (Iltalehti 28.8.1999. Ilta-Sanomat 28.8.1999, TV3 -uutislähetys 27.8.1999 klo 22.00, YLE Teksti-TV 27.8.1999)

Johtopäätös
Pankit siirtävät liiketoimintaprosessiinsa liittyvän riskin sopimusmenettelyllä asiakkaan kannettavaksi. On luonnollista, että asiakkaalla on kohtuullinen vastuu PIN-koodin salassapidosta. Mikäli PIN-koodi ja kortti joutuisi esimerkiksi asiakkaan höynäytyksen seurauksena vääriin käsiin ja ulkopuolinen onnistuu tyhjentämään tilin, vastaa asiakas lähtökohtaisesti itse mahdollisista taloudellisista seurauksista.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön