OP Ryhmä lähetti asiakkaalle Visa-laskun, vaikka tämä ei ollut käyttänyt luottokorttiaan ulkomailla tai edes Suomessa. Nyt pankki myöntää, että tuhansilta muiltakin luottokorteilta on yritetty lypsää rahaa.
– En ole käyttänyt tuota korttia yli vuoteen. Visa-laskussa oli silti kaksi Vietnamin valuutassa samana päivänä tehtyä vähän yli 20 euron ostoa, vaikka en ole käynyt edes ulkomailla yli seitsemään kuukauteen, asiakas kertoo.
Vietnam-ostot oli laskun mukaan tehty elokuussa. Asiakas pitää sitä outona, koska Visaa ei ole käytetty verkkokaupassa, sitä ei ole vilautettu maksupäätteellä, eikä sillä ole nostettu rahaa.
– Hämmästyin Vietnam-transaktioista ja otin yhteyttä OP-Korttiyhtiöön. Sieltä minulle kerrottiin, että muidenkin asiakkaiden korteille oli tehty samansuuruisia ostoja.
Asiakas teki rikosilmoituksen ja lähetti siitä kopion korttiyhtiölle.
– Reklamaatio oli määrä tehdä korttiyhtiön antamaan linkkiin, joten ongelman piti olla sillä selvä, asiakas kertoo.
Asiakas epäilee tietoturvan tasoa
Asiakas maksoi perusteettoman laskun alta pois ja jäi odottamaan rahojen palauttamista.
– Aivan yllättäen sainkin tässä vaiheessa OP-Korttiyhtiöltä kirjeen, joka muutti tilanteen.
Kirjeessä kerrottiin OP Visa-luottokortilla tapahtuneesta väärinkäytöksestä.
– Tunnistetut tapahtumat olivat veloittajalta FACEBK***. Korttisi on suljettu lisäväärinkäytösten estämiseksi, kirjeessä kerrottiin.
Kirjeessä luvattiin, että tunnistetut tapahtumat hyvitetään automaattisesti. FACEBK*** -veloittajan tapahtumista ei tarvitsekaan reklamoida.
Asiakas miettii kaiken tapahtuneen jälkeen OP-Korttiyhtiön järjestämän tietoturvan tasoa. Hän pohtii, kuinka huijari on päässyt tunkeutumaan korttiyhtiön järjestelmiin.
– Kysyin tietoturvan tasosta, mutten saanut vastausta.
Koskee tuhansia OP:n asiakkaita
OP-Korttiyhtiön toimitusjohtaja Masa Peura vastaa tietoturvakysymyksiin ja puhuu ”väärinkäyttökokonaisuudesta”, joka koskee tuhansia asiakkaita.
Hän korostaa erikseen, ettei kyse ole OP:n korttijärjestelmään kohdistuvasta virhe- tai tietomurrosta.
Peuran mukaan korttiväärinkäytökset aiheutuvat yleensä seuraavista syistä: asiakas on kadottanut kortin tai sitten asiakkaan korttitiedot on saatu asiakasta harhauttamalla esimerkiksi väärennetyllä verkkosivulla tai haittaohjelmalla.
– Kyse voi myös olla laajemman tietomurron kautta korttitietoja hallitsevan ulkoisen palveluntarjoajan järjestelmästä tai korttinumeron BINiin kohdistuvasta systemaattisesta hyökkäyksestä eri yhdistelmiä kokeilemalla.
Peura kertoo, että hyökkäyksissä voidaan pyrkiä hyödyntämään verkkosivuston tai palveluntarjoajan heikkouksia ja esimerkiksi vahvan tunnistamisen puuttumista.
– Näissä tapauksissa vastuu ei koskaan ole asiakkaalla, vaan kortin myöntäjä hoitaa prosessin asiakkaan puolesta. Tutkinnan tässä vaiheessa emme kommentoi väärinkäyttökokonaisuudessa käytettyä tekotapaa tarkemmin, Peura kertoo.
Uudet kortit 4 000 asiakkaalle
OP-Korttiyhtiön mukaan väärinkäyttökokonaisuus koskee vain pientä osaa koko korttikannasta. Tapahtumat ovat olleet pääsääntöisesti pieniä: ne vaihtelevat muutamasta eurosta muutamaan kymmeneen euroon.
– Koska kyse ei ollut yksittäistapauksesta, vaan havaitsemastamme väärinkäyttökokonaisuudesta, pystyimme tunnistamaan tapahtumat ja tekemään tarvittavat hyvitykset asiakkaille, Peura korostaa.
Turvallisuussyistä OP-Korttiyhtiö on lähettänyt uudet kortit noin 4 000 asiakkaalle ja tehnyt tarvittavat hyvitykset väärinkäyttötapahtumista.
– Asiakkaiden ei tarvitse tehdä muuta kuin ottaa uusi kortti käyttöön.
OP puuttuu väärinkäytöksiin
Peura kertoo, että OP monitoroi korttitapahtumia jatkuvasti. Pääsääntöisesti väärinkäyttöyritykset havaitaan jo väärinkäyttöä yritettäessä.
– Rikolliset kokeilevat jatkuvasti uusia tapoja ja pyrimme ensisijaisesti torjumaan ne ennakoivasti. Harvemmin väärinkäyttötapahtumia päätyy asiakkaan laskulle saakka.
Peuran mukaan huolellisesti korttia käyttävä asiakas ei ole tällaisista väärinkäytöksistä koskaan vastuussa.
– Suosittelemme kuitenkin, että asiakkaamme tarkistavat aina, että laskulla näkyvät tapahtumat ovat oikein.