Publicerad Lämna en kommentar

Behöver man verkligen ett skimmingskydd?

På Chipster tycker vi att ett skimmingskydd är ett enkelt sätt att skydda sig mot den typ av skimming som sker kontaktlöst. Detta eftersom att det finns flera säkerhetsrisker med blipparna som finns på bankkorten.

För det första går det att ta betalt via blippen upp till en viss summa utan man behöver ange pinkoden. Denna summa bestäms på nationell nivå, men i Sverige kan man betala upp till 200 kr via blippen utan att ange pinkoden. Tjuvar skulle kunna använda en betalterminal för att gå runt och blippa folks kort. Det brukar argumenteras att man måste vara väldigt närgången med en sådan terminal för att det ska fungera. Inom ett par centimeter. Och att det kommer inte gå att bli så närgången för att blippa någons skinka. Men tjuvar är smartare än så och det har nu rapporterats att tjuvar i Frankrike ger sig ut på stränder där det finns turister och lägger sig nära andra personers väskor och försöker blippa korten i väskorna.

För det andra så ligger informationen på blippen i klartext. Vem som helst med en mobiltelefon och en app kan läsa av informationen på ett kort som har blipp. Även om all information inte ligger på blippen (bland annat finns inte CVV-koden på blippen) så går det ändå att handla med informationen man får ut eftersom det finns många butiker på nätet som inte kräver all information. SVT testade, med hjälp av säkerhetsexperter, om de på avstånd kunde skanna betalkort och sedan använda informationen för att handla på internet, vilket de lyckades med att göra.

Det finns dock som sagt en begränsning i hur mycket som går att betala med blippen utan att behöva ange pinkoden. Men om tjuven har läst av dina uppgifter med en app och kommit över kortnumret och så vidare så kan de handla med uppgifterna på internet utan begränsningen. Säkerhetsforskare har också visat att på VISA-korten så går det att komma runt denna begränsning så länge man får en kopia på informationen på kortet, eftersom VISA inte genomför alla nödvändiga kontroller.

Risken är möjligen fortfarande ganska liten att bli utsatt för denna typ av skimming i Sverige. Men tjuvar är inte de som ger upp i första taget. De utvecklar sina metoder i samma takt som det kommer nya tekniker. I detta fall behöver de bara en betalterminal eller en mobiltelefon med en app, och vi ser redan att det är just dessa strategier som tjuvarna använder i Frankrike. Men även svenska Utrikesdepartementet uppmuntrade svenskar att använda skimmingskydd vid utrikesresor för ett par år sedan.

Sammantaget tycker vi på Chipster att det finns ett värde i att använda ett skimmingskydd. Även om summa som man riskerar är relativt litet så hjälper ett skimmingskydd åtminstone mot huvudvärken att behöva gå igenom processen att behöva be sin bank att ersätta förlusten. I värsta fall lyckas tjuvarna tömma hela kontot. Även om risken är litet så är ett skimmingskydd ett billigt skydd mot att bli utsatt för den här typen av brott.

Publicerad Lämna en kommentar

Tjuvar har börjat blippa kontokort

Som vi tidigare har skrivit är alla moderna kontokort utrustade med blipp. Blippen används för att betala genom en kontaktlösteknik. I praktiken kan man betala genom att lägga sitt kort på betalterminal. Det som händer är att betalterminalen läser av kontokortsnumret, datumet och namnet trådlöst och genomför en betalning, utan att man behöver slå in sin pinkod. Betalningar som sker kontaktlöst mellan kortet och terminalen är begränsade till max 200 kr i Sverige. I andra länder kan summorna vara högre. I USA kan man till exempel betala uppemot $100 utan att behöva slå in sin pinkod.

Detta har lett till en oro för att brottslingar potentiellt skulle kunna skimma ett kontokort på avstånd och på så sätt komma över en annan persons kontouppgifter. Därför finns det nu ett motmedel mot att kunna läsa kontokort på avstånd. Med ett RFID-skydd kan man blockera alla signaler som potentiellt skulle kunna läsa av informationen på ens kontokort.

Det har däremot funnits en kritik mot att det inte finns några kända fall av att brottslingar använt trådlösa betalterminaler och gått runt och “skannat rumpan på folk”. Det man får tänka på är att tekniken med att betala genom att blippa sitt kontokort på en terminal är väldigt nytt och det brukar alltid ta brottslingar en viss tid att anpassa sig till nya förhållanden och hitta hålen i systemen. När man gick ifrån de osäkra magnetremsorna till den mer säkra chipp och pin-tekniken (också kallat EMV-tekniken) trodde man att den tidens skimming-brott skulle upphöra helt och hållet, vilket de också gjorde under några månader. Sedan hade skurkarna hittat nya vägar att skimma även den nya tekniken, vilket ledde till att skimmingbrotten sköt i höjden igen.

Detta är vad man kan förvänta sig kommer hända även med blippen, speciellt eftersom det är så lätt att göra det så är förväntningen att det bara är en tidsfråga innan det kommer fall då kriminella kommer skimma kort via blippen. Och i dagarna rapporterade Aftonbladet att på franska stränder har polisen märkt att kriminella trålar stränderna för att skimma kontokorten trådlöst. I praktiken lägger de sig nära andra på ligger på stranden och har sin väska liggandes bredvid sig. Brottslingen kan då med en trådlös terminal försöka blippa på väskan och hoppas på att det finns ett kontokort med blipp som reagerar på terminalen. Polisen säger att det är ett ovanligt fenomen men att det har växt på senare tid.

Tyvärr ser vi alltså att det börjar komma konkreta exempel på skimming via kontokortens blippar nu. Det enda sättet att skydda sig i dagsläget är en plånbok med RFID-skydd eller ett skimmingskydd för bankkorten.

Publicerad 2 kommentarer

Blippen på bankkorten har hackats

Bakgrund

Det var inte så länge sedan som alla bankkort utrustades med blippfunktion, som gör att man kan betala ett begränsat belopp genom att blippa sig kort på betalterminalen. Det som många kallar för blippen på bankkorten är egentligen den teknik som kallas för RFID. Denna teknik har funnits länge och används när två enheter behöver kommunicera med varandra över korta avstånd. Specifikt använder man RFID-tekniken när man har en situation då det behöver ske en identifikation. Det kan till exempel vara när man ska öppna dörrar där bara vissa ska ha tillgång (kontor, bostadshus, gym och så vidare). För några år sedan började en ny version av RFID-tekniken som kallas för NFC att rullas ut och nuförtiden finns det NFC-läsare i alla mobiltelefoner. Det finns än så länge inte så många användningsområden för NFC-läsaren i Sverige, men utvecklare kan har fri tillgång denna hårdvara och fritt utveckla appar som kommunicerar med NFC-läsaren i mobiltelefonen.

NFC – En ny RFID-teknik

NFC har på senare tid även alltså byggts in i bankkorten så att man bara behöver blippa sitt kort, och om summan är 200 kr eller mindre (i skrivande stund i Sverige) så behöver man inte ange någon pinkod. Detta är helt perfekt för till exempel lunch-restauranger som behöver hantera många människor på kort tid och där alla betalar med kort. Processen blir kännbart snabbare om kunderna använder blippen.

Skimming och säkerhetshålen

Nackdelen med blippfunktionen är att den till stor del saknar säkerhetsfunktioner. Information om kortnumret, datum och namn ligger som klartext på kortet. Och eftersom utvecklare av appar kan använda NFC-läsaren på mobiltelefoner för att utveckla vilka appar som helst så finns det redan en uppsjö av appar som kan läsa av informationen på ett bankkort via blippfunktionen och visa denna information i klartext. Den tre-siffriga säkerhetskoden går förvisso inte att läsa via blippen, men vad många inte vet är att det inte alltid är ett krav att ange den tre-siffriga koden när man handlar i webbutiker. Enligt vissa uppskattningar kan man handla på 43% av världens webbutiker utan att ange den tre-siffriga koden. Den enda säkerheten som egentligen finns inbyggt är att man bara kan handla för en väldigt begränsad summa via blippen. I Sverige är denna summa som sagt 200 kr och om man handlar för mer än det så måste man ange pinkoden.

Men tjuvar och hackare brukar inte ligga på latsidan. Ända sedan bankkorten blev populära och använde magnetremsan så har människor med dåliga avsikter på ett eller annat sätt kopierat andra människor bankkortsuppgifter. Ett brott som kallas för skimming. När de osäkra magnetkorten försvann och den mer säkra “chip and pin” eller EMV-tekniken infördes så minskade skimmingbrotten kortsiktigt men sköt sedan i höjden igen när brottslingarna hittade vägar runt de nya säkerhetsfunktionerna.

Nya säkerhetshål ökar oro för ökad skimming

Så igår rapporterade Forbes det som bara var en tidsfråga, att säkerhetsforskare hittat en väg för att komma runt den beloppsbegräsningen som finns på blipparna. Enligt forskarna behöver de inte fysisk tillgång till kortet, och de kan i teorin tömma kontot med en enda blipp. I praktiken går hacket till genom att en brottsling läser av informationen på kortet med en mobiltelefon. När tjuven har tillgång till informationen kan informationen skickas genom en enhet som agerar mellanhand vidare till en tredje enhet där köpet genomförs. Enheten som agerar mellanhand lurar betalterminalen att det inte finns någon begränsning för hur stort belopp som får dras.

Det ska sägas att det hittills inte rapporterats om några skimmingbrott där korten lästs av på avstånd, men nu har det visats att det är möjligt.

Hur du kan skydda dig mot skimming

För den som vill ligga steget före tjuvarna och hackarna är den enda lösningen ett så kallat skyddskort eller RFID-skydd. Det fungerar genom att skapat ett motfält som hindrar en läsare (som till exempel en mobiltelefon) att läsa av informationen på ett bankkort. Man stoppar in skyddskortet i plånboken tillsammans med sina övriga kort och sedan behöver man inte oroa sig mer för att någon kommer läsa av kortet på avstånd. Se videon nedan för hur detta fungerar.

Vi på Chipster erbjuder vårt eget skyddskort mot skimming som man kan hitta i vår webbutik. Det skyddar upp till fyra kort på varje sida om skyddskortet och har en livslängd på fem år.

Skyddskort mot skimming
Chipsters skyddskort mot skimming. Stoppas i plånboken och hindrar läsare från att läsa av bankkort.