Publicerad 2 kommentarer

Blippen på bankkorten har hackats

Bakgrund

Det var inte så länge sedan som alla bankkort utrustades med blippfunktion, som gör att man kan betala ett begränsat belopp genom att blippa sig kort på betalterminalen. Det som många kallar för blippen på bankkorten är egentligen den teknik som kallas för RFID. Denna teknik har funnits länge och används när två enheter behöver kommunicera med varandra över korta avstånd. Specifikt använder man RFID-tekniken när man har en situation då det behöver ske en identifikation. Det kan till exempel vara när man ska öppna dörrar där bara vissa ska ha tillgång (kontor, bostadshus, gym och så vidare). För några år sedan började en ny version av RFID-tekniken som kallas för NFC att rullas ut och nuförtiden finns det NFC-läsare i alla mobiltelefoner. Det finns än så länge inte så många användningsområden för NFC-läsaren i Sverige, men utvecklare kan har fri tillgång denna hårdvara och fritt utveckla appar som kommunicerar med NFC-läsaren i mobiltelefonen.

NFC – En ny RFID-teknik

NFC har på senare tid även alltså byggts in i bankkorten så att man bara behöver blippa sitt kort, och om summan är 200 kr eller mindre (i skrivande stund i Sverige) så behöver man inte ange någon pinkod. Detta är helt perfekt för till exempel lunch-restauranger som behöver hantera många människor på kort tid och där alla betalar med kort. Processen blir kännbart snabbare om kunderna använder blippen.

Skimming och säkerhetshålen

Nackdelen med blippfunktionen är att den till stor del saknar säkerhetsfunktioner. Information om kortnumret, datum och namn ligger som klartext på kortet. Och eftersom utvecklare av appar kan använda NFC-läsaren på mobiltelefoner för att utveckla vilka appar som helst så finns det redan en uppsjö av appar som kan läsa av informationen på ett bankkort via blippfunktionen och visa denna information i klartext. Den tre-siffriga säkerhetskoden går förvisso inte att läsa via blippen, men vad många inte vet är att det inte alltid är ett krav att ange den tre-siffriga koden när man handlar i webbutiker. Enligt vissa uppskattningar kan man handla på 43% av världens webbutiker utan att ange den tre-siffriga koden. Den enda säkerheten som egentligen finns inbyggt är att man bara kan handla för en väldigt begränsad summa via blippen. I Sverige är denna summa som sagt 200 kr och om man handlar för mer än det så måste man ange pinkoden.

Men tjuvar och hackare brukar inte ligga på latsidan. Ända sedan bankkorten blev populära och använde magnetremsan så har människor med dåliga avsikter på ett eller annat sätt kopierat andra människor bankkortsuppgifter. Ett brott som kallas för skimming. När de osäkra magnetkorten försvann och den mer säkra “chip and pin” eller EMV-tekniken infördes så minskade skimmingbrotten kortsiktigt men sköt sedan i höjden igen när brottslingarna hittade vägar runt de nya säkerhetsfunktionerna.

Nya säkerhetshål ökar oro för ökad skimming

Så igår rapporterade Forbes det som bara var en tidsfråga, att säkerhetsforskare hittat en väg för att komma runt den beloppsbegräsningen som finns på blipparna. Enligt forskarna behöver de inte fysisk tillgång till kortet, och de kan i teorin tömma kontot med en enda blipp. I praktiken går hacket till genom att en brottsling läser av informationen på kortet med en mobiltelefon. När tjuven har tillgång till informationen kan informationen skickas genom en enhet som agerar mellanhand vidare till en tredje enhet där köpet genomförs. Enheten som agerar mellanhand lurar betalterminalen att det inte finns någon begränsning för hur stort belopp som får dras.

Det ska sägas att det hittills inte rapporterats om några skimmingbrott där korten lästs av på avstånd, men nu har det visats att det är möjligt.

Hur du kan skydda dig mot skimming

För den som vill ligga steget före tjuvarna och hackarna är den enda lösningen ett så kallat skyddskort eller RFID-skydd. Det fungerar genom att skapat ett motfält som hindrar en läsare (som till exempel en mobiltelefon) att läsa av informationen på ett bankkort. Man stoppar in skyddskortet i plånboken tillsammans med sina övriga kort och sedan behöver man inte oroa sig mer för att någon kommer läsa av kortet på avstånd. Se videon nedan för hur detta fungerar.

Vi på Chipster erbjuder vårt eget skyddskort mot skimming som man kan hitta i vår webbutik. Det skyddar upp till fyra kort på varje sida om skyddskortet och har en livslängd på fem år.

Skyddskort mot skimming
Chipsters skyddskort mot skimming. Stoppas i plånboken och hindrar läsare från att läsa av bankkort.

2 reaktioner på “Blippen på bankkorten har hackats

  1. […] att stanna, utan kommer fortsätta utvecklas så den bli snabbare och enklare att använda. Men som vi har skrivit om tidigare är blipptekniken en teknik som har en del uppenbara svagheter vad gäller säkerheten. Det är en […]

  2. […] över kortnumret och så vidare så kan de handla med uppgifterna på internet utan begränsningen. Säkerhetsforskare har också visat att på VISA-korten så går det att komma runt denna begränsning så länge man får en kopia på informationen på […]

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *