Keskusrikospoliisi > Rikosilmiöitä > Maksukorttirikollisuus

Lisätietoa turvallisesta maksukortin käytöstä >www.korttiturvallisuus.fi -sivustolta

• Etusivu
  • Tietoa KRP:stä »
    • Organisaatio
    • Henkilöstö
    • Rekrytointi
    • Arvot ja visio
    • Toiminnan suunnittelu ja seuranta
    • Rikosmuseo
    • Julkaisut ja raportit
    • Uhrintunnistus
    • Asiakirjahinnasto
    • Laskutustiedot
  • Rikostorjunta »
    • Järjestäytynyt rikollisuus
    • Talousrikokset
    • Tietotekniikkarikokset »
      • Tietotekniikkarikosten tunnusmerkistöjä
      • Nettivinkki
    • Huumausainerikollisuus
    • Huijaukset
    • Ihmiskauppa
    • Lapsipornografiasivuille pääsyn estäminen
  • Rikosilmiöitä »
    • Muuli-ilmiö
    • Maksukorttirikollisuus
    • Tietorikoksia
    • Ajoneuvorikollisuus 2012
    • Sähköpostihuijauksia
    • Nettiauervaara huijaa kukkasin
    • Huumausainerikokset 2012
  • Rahanpesun torjunta »
    • Rahanpesun selvittelykeskus
    • Rahanpesuilmoituksen tekeminen »
      • Ilmoitusvelvolliset
      • XML-skeema
    • Kansainvälinen yhteistyö
    • Julkaisut »
      • Vuosikertomukset
    • Linkit
  • Kansainvälinen toiminta »
    • Oikeus- ja virka-apu
    • Kansainväliset yhteistyökanavat »
      • Infra-Red
    • Poliisin yhdyshenkilöt
  • Rikostekninen laboratorio
  • Yhteystiedot »
  • Yritysturvallisuus »
    • Toimintamalli
    • Kysymyssarja

Maksukorttirikollisuus on kasvava rikosilmiö

Päivitetty 1/2013

Yhä useammat ostokset maksetaan erilaisilla maksukorteilla. Korttien käytön lisääntyessä kasvaa myös kortteihin kohdistuva rikollisuus. Sen keinot ovat monet, mutta tavoitteena on aina saada haltuun kortilla olevat tiedot, joiden avulla rikolliset pääsevät käsiksi kortinhaltijan pankkitilillä oleviin rahoihin.

Maksukortit ovat teknisesti ajateltuna datan- eli tiedonsiirtovälineitä. Maksukorteiksi luetaan esimerkiksi luottokortit, maksuaikakortit, pankkikortit, käteisautomaattikortit ja debit-kortit. Niiden käyttö maksuvälineenä perustuu siihen, että jokaisessa kortissa on sen yksilölliseksi tekevä numerosarja. Kortilla tehdyt ostokset tai käteisnostot velottavat korttiin liitettyä pankki- tai luottotiliä.

Useimmissa maksukorteissa on ainakin kaksi rinnakkain olevaa teknistä sovellusta, jotka välittävät maksutapahtumaan tarvittavaa kortin yksilöivää datasisältöä:

1. Kortin takapuolella oleva magneettijuova
2. Kortin etupuolella oleva mikrosiru
3. Kortin etupuolelle painettu kortin numero kohokirjoituksella (ei enää uusimmissa korteissa)

Magneettijuova on vanhaa tekniikkaa, siru uudempaa. Magneettijuovan suojaus kopiointia vastaan on olematon – sirua sen sijaan ei ole tiettävästi kukaan onnistunut kopioimaan. Teknologiaa hyväksikäyttävä rikollisuus ja sen torjunta onkin usein kuin kilpajuoksua; rikolliset yrittävät keksiä teknologisia porsaanreikiä ja maksuliikenneturvallisuutta ylläpitävät tahot yrittävät tukkia niitä. Uusien teknisten sovellusten turvallisuus testataan aina tahtomattakin viime kädessä rikollisten toimesta; löytävätkö rikolliset näitä porsaanreikiä tai tietoturva-aukkoja. Sirun osalta tällaisia ei ole vielä löytynyt. Magneettijuova sen sijaan on vanhana teknisenä sovelluksena varsin haavoittuva.

Hyötymekanismi

Maksukorttirikollisuudessa hyötymismekanismina on maksukorteilla olevan maksuliikennettä ja korttien identiteettiä yksilöivän datan hankkiminen ja väärinkäyttö. Rikollisia kiinnostavat nimenomaan maksukorttien sisältämät tiedot. Korttidataa rikolliset hankkivat muun muassa Internetissä haittaohjelmilla (virukset, vakoiluohjelmat) sekä reaalimaailmassa maksukorttiautomaatteja manipuloimalla.

Haltuunsa saamallaan maksukorttidatalla tai korttinumeroilla rikolliset voivat valmistaa väärennettyjä luottokortteja, joilla voidaan tehdä ostoksia tai käteisnostoja. Maksukorttirikollisuus on osoittautunut rikollisille erittäin houkuttelevaksi alaksi, jonka on arvioitu lisääntyvän edelleen lähitulevaisuudessa. Valtioiden rajat ylittävän rikollistaktiikan ja huomattavien hyötymismahdollisuuksien vuoksi maksukorttirikollisuuden toimijat kuuluvat lähes poikkeuksetta organisoituihin rikollisryhmiin.

Motiivina raha

Raha on järjestäytyneen rikollisuuden ensisijainen kiinnostuksen kohde. Maksukortit kiinnostavat rikollisia, sillä ne ovat suora linkki rahaan. Neljä yleisintä maksukorttien väärinkäyttötapaa ovat:

1. Maksukorttien numeroiden ja muiden tunnistetietojen kopioiminen haittaohjelmilla internetissä. Korteilla tilataan nettikaupoista helposti rahaksi muutettavaa tavaraa tai lentolippuja.
2. Maksukorttien magneettinauhoja kopioidaan korttiautomaateilla. Toimintaa kutsutaan skimmaukseksi. Skimmatuilla korteilla yritetään nostaa käteistä rahaa.
3. Kopioiduista korttitiedoista tehdään aidon näköisiä luottokorttiväärennöksiä, joilla ostetaan tavaraa kaupan tiskillä.
4. Automaatilla asioivan kansalaisen PIN-koodi kurkitaan olan yli hänen sitä näppäillessään ja tämän jälkeen hänen maksukorttinsa varastetaan hämäystä käyttämällä. Varastetulla kortilla nostetaan käteistä automaatilta.

Järjestäytyneen maksukorttirikollisuuden ymmärtämisessä, analysoimisessa ja torjunnassa on tärkeätä ottaa huomioon ilmiön kansainvälinen, rajat ylittävä luonne. Useimmat maksu- ja luottokortit ovat kansainvälisiä maksuvälineitä, jotka on kehitetty sitä varten, että korttien haltijat voisivat käyttää niitä maksuvälineinä lähes missä tahansa. Usein luottokorttia käytetään pääasiallisena maksuvälineenä esimerkiksi ulkomaille suuntautuvilla matkoilla. Tällöin jokaiseen korttiostokseen liittyvä korttidata kulkee usean valtionrajan yli.

Maksukorttirikolliset käyttävät hyväkseen kansallisen viranomaistoiminnan hitautta ja lainsäädäntöjen eroja. Maksukorttidata kiertää maapallon muutamassa sekunnissa, mutta jälkikäteen ilmitulleen maksukorttirikoksen kansallisessa tutkinnassa tarvittavat tiedot ovat usein pankkisalaisuuden piirissä, ja niiden saaminen toisesta maasta edellyttää usein vähintäänkin oikeusapupyyntöä.

Datavuodot

Suurin osa vääriin käsiin joutuneesta maksukorttidatasta kaapataan tietoverkoista haittaohjelmilla tai suorilla tunkeutumisilla (hakkerointi eli hacking) johonkin dataa sisältävään palvelimeen. Etenkin kassapalvelimet ja erilaiset nettipalvelujen käyttäjätilit ovat olleet viime vuosina rikollisten kohteena.

Datakaappauksien ehkäisemiseksi onkin otettu käyttöön uusi tietoturvastandardi PCI DSS (Payment Card Industry Data Security Standard), joka tekee aiemmat rikosten tekotavat mahdottomiksi. Standardi määrittelee tarkasti missä ja millaisessa muodossa maksukorttidataa saa säilyttää. Käytännössä data on kryptattua, eli se ei vääriin käsiin joutuessaankaan ole käyttökelpoista.

Skimmaus

Magneettinauhoilla olevaa korttidataa hankkiakseen rikolliset asentavat maksukorttiautomaatteihin myös niin sanottuja skimmauslaitteita. Skimmaus tulee englanninkielen sanasta skimming, joka viittaa luottokortin magneettinauhan kopioimiseen ja siihen, että kortinlukijan lukupää liukuu pitkin magneettinauhaa lukiessaan nauhalla olevaa korttidataa.

Rikolliset asentavat skimmauslaitteita etenkin vilkkailla paikoilla oleviin käteisautomaatteihin tai miehittämättömien polttoainejakelupisteiden maksukorttiautomaatteihin. Skimmauslaitteilla rikolliset pyrkivät saamaan haltuun asiakkaiden luottokorttien magneettijuovatiedon ja tunnusluvun. Skimmauslaitteiden suunnittelu ja valmistus on ammattimaista rikollista toimintaa Itä- ja Kaakkois-Euroopassa.

Korttiautomaattien skimmauksissa on kyse siitä, että tekijöillä on etukäteen suunniteltu ja valmistettu sähkötekninen laite tai laitekokonaisuus, joka asennetaan pankkiautomaattiin alkuperäisten komponenttien päälle manipuloimatta alkuperäistä laitteistoa.

Skimmauslaitteen tarkoitus on kopioida pankkiautomaatissa käytettävän maksukortin magneettijuovan tiedot sekä näppäilty tunnusluku. Skimmauslaitteeseen tallentuneilla tiedoilla tekijät ovat pystyneet valmistamaan väärennettyjä korttikopioita, joilla on tehty käteisnostoja ulkomailla etenkin EU-alueen ulkopuolella.

Tämä johtuu EU:n alueella käytössä olevasta turvallisesta sirutekniikasta ja sirukorttiyhteensopivista käteisautomaateista. Uudet automaatit ja kortit ovat teknisesti erittäin turvallisia, mutta EU:n ulkopuolella käytössä olevat pelkkää kortin magneettijuovaa lukevat käteisautomaatit mahdollistavat tällä hetkellä Euroopassa kopioitujen magneettijuovien käytön käteisnostoihin. Rikollisryhmät suorittavatkin suurimman osan Euroopassa kopioiduilla korteilla tehdyistä käteisnostoista Atlantin toisella puolella, etenkin Yhdysvalloissa.

Korttiväärinkäytön siirtymisestä pois EU-alueelta käytetään ilmaisua fraud migration.
Skimmaus on Suomessa aiemminkin ollut harvinaisempaa kuin muualla Euroopassa ja vuonna 2012 se väheni lähes nollaan. Syynä oli pankkiautomaattien turvallisuuden parantuminen. Laajassa mittakaavassa skimmaus on vähentymässä koko EU-alueella, mutta lisääntyy Yhdysvalloissa. Tämä johtuu pääosin Euroopassa käyttöön otettujen sirukorttien ja -automaattien paremmasta turvallisuudesta.

Toiminnan luonne

Laillisen yritystoiminnan piiristä opitut riskien hajauttamisen periaatteet toimivat myös rikollismaailmassa. Korttidatan väärinkäyttäjä on usein eri henkilö kuin sen kaappaaja ja datan väärinkäyttö tapahtuu eri maassa kuin mistä se on kaapattu. Näin pyritään hankaloittamaan rikosten torjuntaa.

Maksukorttirikollisuudessa on kyse suurimittaisesta rikollisesta toiminnasta. Europolin vuonna 2010 tekemän arvion mukaan maksukorttirikollisuus aiheuttaa Euroopan unionin alueella noin 1,5 miljardin euron tappiot vuosittain.

EU-maiden kansalaisten ja rahoituslaitosten kokonaistappioita on vaikea tietää tarkasti, koska merkittävä osa maksukorttirikollisuudesta on piilorikollisuutta. Esimerkiksi käteisautomaatteja hallinnoivien tahojen perustama järjestö EAST (European ATM Security Team) ilmoittaa pelkästään käteisautomaatteihin kohdistuvan järjestäytyneen rikollisuuden aiheuttamiksi tappioiksi noin 425 miljoonaa euroa vuosittain. Lukuun ei ole laskettu esimerkiksi korttien uusimisen tuottamia kustannuksia.

Rikoslajin kehitys Suomessa

Poliisille maksukorttirikokset ilmoitetaan rikoslain 37. luvun kriminalisoimilla rikosnimikkeillä, jotka ovat

1. maksuvälinepetos 
2. lievä maksuvälinepetos 
3. törkeä maksuvälinepetos 
4. maksuvälinepetoksen valmistelu.

Maksuvälinepetoksiin kuuluu toki muitakin tekotapoja kuin korttirikoksia, esimerkiksi shekkien väärentäminen. Shekkien käyttö – ja varsinkin väärinkäyttö – on Suomessa kuitenkin sen verran vähäistä, että tilastosta voidaan päätellä nimenomaan maksukorttirikosten kehitystä.

Poliisille ilmoitetut maksuvälinepetokset kuukausittain vuosina 2010- 2012

Vuosittaiset kokonaismäärät 2007 - 2012

2007	2008	2009	2010	2011	2012
3784	3835	5166	4517	5670	6463

Tilastonousuihin – sekä hetkelliseen että pidempiaikaiseen - vaikuttaa niin rikollisten, poliisien kuin kansalaistenkin aktiivisuus. Rikosilmoituksia kirjataan sekä kansalaisten ilmoittamana että poliisin omassa tutkinnassa selvinneenä - riippuu kumpi taho asian ensin huomaa. Ilmoitusten määrä ei siis suoraan heijasta rikosten määrää, vaan kuvaa enemmänkin eri tahojen aktiivisuutta. Rikollisten aktiivisuus heijastuu välittömänä poliisien aktiivisuutena. Rikoksista kertovat poliisin lehdistötiedotteet puolestaan heijastuvat usein kansalaisten aktiivisuutena.

Vuonna 2011 lisääntyivät etenkin skimmaus ja korttivarkaudet. Tekijöinä oli pääasiassa ulkomaisten järjestäytyneiden rikollisryhmien jäseniä, joista poliisi sai kiinni valtaosan.

Skimmausten loppumisesta huolimatta maksuvälinerikosten kokonaismäärä kasvoi vuonna 2012, joskin loppuvuonna kuukausittaiset rikosten määrät olivat edellisvuotta pienempiä. Rikosten luonne muuttui, nettipetoksia ja lompakkovarkauksia ilmoitettiin aiempaa enemmän.

Kortinhaltijan huolellisuus tärkeää

• Paras suojautumiskeino niin skimmaukselta kuin muiltakin koodivarkailta on se, että aina PIN-koodia näppäillessään peittää näppäilevän käden toisella kädellä, lompakolla tai millä tahansa, mikä estää kuvaamasta näppäilyä tai kurkkimasta sivusta koodia. 


• Debit-kortille voi säätää päivittäisen nostorajan. Se kannattaa valita todellisen käteisentarpeen perusteella. Harva meistä tarvitsee yli 100 euroa käteistä päivässä.


• Jos havaitsee maksukorttiautomaatilla jotain outoa, kannattaa ottaa yhteys automaatissa näkyvään päivystysnumeroon. Usein kyse on väärästä hälytyksestä, mutta asian ilmoittaminen ei silti haittaa.

On hyvä muistaa, että skimmaus on kuitenkin harvinainen rikos. Paljon todennäköisempää on, että kortti katoaa tai se varastetaan. Kortin katoamisesta kannattaa ilmoittaa samantien kortinmyöntäjän sulkupalvelunumeroon, jonka löytää mm. oman pankin nettisivulta.

Takaisin | Tulosta sivu