Kontaktløse betalingskort kan aflures med en mobiltelefon og en app

Kontaktløse betalingskort er taget i brug flere steder i udlandet, blandt andet i Canada. Men kortene, der kan kan sætte skub i køen, fordi betalinger af småbeløb kan klares ved blot at holde kortet tæt på en kompatibel betalingsterminal, er ikke helt sikre.

I hvert fald kan canadiske CBC News berette, at det er muligt at opsamle kortoplysninger fra et kontaktløst kort trådløst via en smartphone, der indeholder en NFC-chip. NFC står for Near Field Communication og gør det muligt for mobiltelefonen at kommunikere trådløst over helt korte afstande, som næsten forudsætter berøring.

CBC News har efter eget udsagn formået at opsnappe blandt andet kortnummer, udløbsdato og kortholderens navn fra kontaktløse betalingskort med en helt almindelig Samsung Galaxy SIII og en app fra Googles Play-butik installeret.

Informationerne kunne indsamles blot ved at holde smartphonen hen over et betalingskort. Og det skulle også kunne lade sig gøre at få fat i oplysningerne gennem en tegnebog, lommer eller punge.

Sikkerhedsekspert Michael Legary fra firmaet Seccuris siger, at virksomheden har efterforsket tilfælde, hvor denne type apps har været brugt til at begå kreditkortsvindel. Han fortæller, at det også er ved at blive et problem i Europa.

Hverken Visa eller Mastercard har ønsket at deltage i et interview med CBS News. I en mail oplyser Visa, at ‘flere sikkerhedslag og avancerede teknologier til at detektere svindel med i forbindelse med hver eneste Visa-transaktion har hjulpet Visa med at holde mængden af global svindel på et historisk lavt niveau’.

‘Faktisk har der ikke været nogen rapporter om svindel begået ved at aflæse Visa payWave (Visas kontaktløse kort, red.) som demonstreret af CBS.’

Mastercard påpeger, at virksomhedens kunder bliver holdt skadesløse, hvis der sker betalinger med falske kort eller enheder.

Google har ikke ønsket at kommentere direkte på app’en, som CBC altså har hentet via Google Play.

sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Jeg kan godt se, at det bør komme bag på alle, at telefoner med NFC-læser indbygget er i stand til at aflæse NFC-chips. Det må da straks forbydes ...

I øvrigt sidder NFC-chippen ikke i telefonen. Telefonen aflæser NFC-chippen. Det er den jo designet til at gøre. Overskriften er sensationspræget i stil med "Kortlæser kan aflæse magnetstriben på dit Dankort!!". Det interessante er, om oplysningerne så efterfølgende kan bruges til noget snyd. Kan de dét, skyldes det en designfejl hos udsteder af NFC-kortet. Ikke en tilfældig app (f.eks. NFC TagInfo) til en tilfældig smartphone.

  • 3
  • 0

Med min aldrende, og udskiftede, Nexus S kunne jeg aflæse både mit pas (så længe jeg udleverede pasnummer, fødselsdato og passets udløbsdato) og få adgang til Odenses KvikKort. KvikKortet var ganske vist krypteret og jeg kunne ikke læse noge - men jeg kunne da se at der var et antal hukommelsesblokke. Passet, derimod, frigav billede, navn, CPR-nummer og en masse andet info. Og jeg brugte kun en app fra Google Play.

  • 0
  • 0

Det lyder meget smart! - der har jeg ikke hørt om tidligere. Vi har benyttet eksisterende 'byggeklodser' men sammensat dem anderledes. Grundlæggende indeholder vores transaktioner ikke kritiske betalingsoplysninger i selve transaktionen som eks. kortnr. eller kontonummer. Transaktionen kan anvendes via eks. NFC - men vi baserer det som en reel cloud betaling som kan foretages via både WIFI og mobilt bredbånd. Transaktionen godkendes med en OTP (OneTimePaswword) som kun kan anvendes en gang og til netop den transaktion. Betaling og autorisation foretages via vores transaktionscenter i Aalborg.

  • 0
  • 0

I mange mange år har det ligeledes været enkelt at kopiere og danne nye info på magnetstriberne på kort. Politiet var jo nærmest chokeret, at det er std hyldevarer i enhver god elektronikbutik? Det sige vist mest om politiet!

  • 0
  • 0

Jeg kan godt se, at det bør komme bag på alle, at telefoner med NFC-læser indbygget er i stand til at aflæse NFC-chips. Det må da straks forbydes ...

Problemet er følgende: Mastercards kan bruges til småpengebetaling, uden brug af pinkode. Kortet kan aflæses igennem en frakke, uden det opdages - med mindre kortet anbringes i en RF sikret pung.

Mobiltelefonens NFC-læser, anvender åbenbart samme protokoltype som Mastercard (RFID behøver ikke at anvende samme aflæsningsstandard), og telefonerne kan bruges som mellem station.

Du kan stå ved en automat, der understøtter småpenge betaling, og trådløst kommunikere derfra til mobiltelefonens NFC aftaster, således du misbruger kortet. Data overføres i begge retninger, og automaten kan derfor ikke se, at den kun er i trådløs kontakt med kortet. En person, kan stå i København, mens kortet misbruges trådløst ved dagligvarekøb i Jylland, eller måske udlandet.

Dataoverførslen er ikke tilstrækkelig til, at kunne kopiere kortet, bortset fra personlige oplysninger som navn og kontonummer der er ukrypteret, og det er derfor kun muligt at lave en transaktion, når mobiltelefonen er tæt på kortet.

  • 0
  • 0
Bidrag med din viden – log ind og deltag i debatten