Nets: Ja, trådløse betalingskort kan scannes med en smartphone

Forleden kunne canadiske CBC News fortælle, at det skulle være muligt at samle oplysninger fra betalingskort ind med en smartphone med NFC og en app. Der er tale om de såkaldte kontaktløse kort af den type, som blandt andet Visa og Mastercard udsteder flere steder i udlandet, blandt andet Storbritannien. Kortene benyttes til småbetalinger og gør det muligt at gennemføre betalingen blot ved at holde kortet tæt på automaten.

Danske Nets, der blandt andet driver Dankort-systemet, bekræfter nu, at oplysningerne rent faktisk kan læses fra kortene med en smartphone med NFC og en app.

»Det kan formentlig lade sig gøre at opsamle kortnummer, navn og udløbsdato på den måde, som er beskrevet i tilfældet fra Canada. Men ikke eksempelvis kontrolcifrene på den anden side af kortet. Og uden dem har jeg svært ved at se, hvordan det skal kunne misbruges,« siger pressechef hos Nets Søren Winge.

Han henviser til de såkaldte CVC-cifre, de tre tal, som skal indtastes i forbindelse med mange betalinger. Søren Winge vil ikke afvise, at det kan lade sig gøre at betale med kortet i enkelte netbutikker uden en CVC-kode, men som udgangspunkt vil oplysningerne, der kan indhentes med NFC, ikke være anvendelige i sig selv, påpeger han.

»Desuden er det jo de samme oplysninger, man kan få, bare ved at kigge på kortet.«

Læs også: Kontaktløse betalingskort kan aflures med en mobiltelefon og en app

De kontaktløse kort kommer formentlig til Danmark før eller siden. I hvert er de automater, der i supermarkeder og andre steder tager imod Dankort-betalinger, i fuld gang med at blive udskiftet, så de også i stand til at håndtere betalinger med de kontaktløse betalingskort. Den stadig stigende udbredelse af mobiltelefoner med NFC-læsere får ikke Nets til at ryste på hånden.

»Vi ser ikke den form for svindel som en reel trussel mod sikkerheden. Man vil ikke kunne bruge informationerne indhentet via NFC i en telefon til at fremstille en klon af kortet. Det er systemerne sikret imod. Hver enkel NFC-transaktion er i princippet unik, ligesom det er tilfældet, når der sker en fysisk aflæsning af chippen. Så det vil ikke lykkes at gennemføre en kontaktløs betaling ved at have lavet en kopi,« siger Søren Winge og fortsætter:

»Desuden vil det være nødvendigt med en pinkode ved betalinger af alt andet end småbeløb med et kontaktløst kort.«

Søren Winge mener heller ikke, det er et problem, at informationerne fra betalingskortene i princippet kan aflæses, selvom kortet ligger i en lomme eller en taske:

»Det er rigtigt, at man med NFC ikke nødvendigvis behøver være i direkte fysisk berøring med ofret. Men som sagt: Skulle det lykkes at opsnappe informationer fra et kort, uden ofret opdager det, vil disse informationer uden CVC-nummeret næppe være særligt anvendelige.«

Et spørgsmål om privatliv

Rune Domsten, indehaver af teknologifirmaet domsten.dk, finder det bekymrende, at betalingskortoplysninger på den måde kan opsamles, også selvom de ikke kan bruges til at gennemføre betalinger.

»Jeg synes, det er et privacy issue,« siger han.

Rune Domsten fortæller, at der findes teknologi, som kan beskytte dataene på kortet, så de ikke uden videre kan aflæses af alle og enhver med det rigtige udstyr.

»Jeg er klar over, at man har valgt at gøre sådan. Men rent teknisk kan man gemme data bag passwords og andre ting, så der er ikke noget i vejen for at have langt større sikkerhed,« siger han.

sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

»Det kan formentlig lade sig gøre at opsamle kortnummer, navn og udløbsdato på den måde, som er beskrevet i tilfældet fra Canada. Men ikke eksempelvis kontrolcifrene på den anden side af kortet. Og uden dem har jeg svært ved at se, hvordan det skal kunne misbruges,« siger pressechef hos Nets Søren Winge.

Det er da fedt med en applikation, der kan fortælle navnet på personer der går tæt forbi, hvis de har et kontaktløst betalingskort.

Søren Winge siger, at det ikke kan bruges til transaktioner, da de hver især er unikke. At transaktionerne er unikke betyder, at du ud fra transaktionens oplysninger ikke kan kopiere kortet. Ikke, at det ikke kan misbruges, og at du ikke kan hæve penge på kortet. Du kan hæve penge på kortet så længe mobiltelefonen er i kontakt med kortet.

  • 2
  • 0

Mit kreditkort har både kortnummer, udløbsdato samt kontrolcifre på samme side (who the F*** got that ideá) - og et digitalkamera kan derved meget let tage et billede af disse oplysninger på relativ lang afstand uden man opdager det. Systemet har aldrig været sikkert. Heldigvis er man sikret som privatperson mod den slags udnyttelse (hvis man da opdager det).

Desuden er jeg mere bekymret om nem-id, hvor alle cpr numre langsomt kan brute forces (da den spørger om kode før nøgle, og man derved kan se om koden er rigtig - for dernæst at stjæle nøglekortet.

  • 0
  • 0

Stor humor, at bankernes sikkerhedsansvar bliver gjort til en slags problem for brugeren.

Enhver elektronisk eller papirsbetaling er i princippet bare en kontrakt om betaling. Hvis kontrakten er falsk, er det naturligvis et problem mellem betalingsmodtageren og banken, hvad der fik butikken til at falde for tricket, og hvem der hæfter for beløbet. Det bør aldrig være mit problem, at nogen andre har narret butikken eller banken.

En fejlagtig betaling som følge af en falsk kontrakt bør heller ikke være mit problem. Lidt ligesom et bankrøveri ikke er det.

Der eksisterer ikke elektroniske betalinger, som ikke kan føres tilbage, undtagen i et eneste tilfælde: Hvis banken ønsker at samarbejde med forbryderen i stedet for med kunden. Det er efter min mening ikke et bank-forretnings-problem, men en sag om sammensværgelse og dermed kollektivt ansvar.

Hvis min lokale bank overfører et beløb til en bank i Nigeria, og denne derefter erklærer, at pengene er "blevet væk", så er der ingen grund til panik. Min lokale bank bør hæfte for beløbet, og kan jo så eventuelt nægte at overføre beløb til Nigeria fremover. Hvis samme bank bliver narret mere end en gang, må en domstol jo formode, at de helt bevidst ønsker at deltage i sammensværgelsen.

I USA er vi ret forkælede: Vi kan uden videre afvise enhver kreditkortbetaling. Betalingsmodtageren kan så forsøge at inddrive beløbet plus afgifter fra mig på anden vis, hvis de tror, kontrakten faktisk er gyldig. Jeg har kun prøvet en enkelt gang, for de fleste butikker ønsker slet ikke at modtage stjålne kreditkort.

  • 0
  • 0

Hvordan er det lige det foregår på Storebælt?

Herudover, så kan man da kun blive nervøs når man høre Søren Winge udtale sig om det ikke er noget problem.

Fuldstændig som DDoS angreb heller ikke er noget problem, før man står med dem.

  • 0
  • 0

Nu har jeg ikke set dem, men de skal jo blot være lavet af metal, der jo reflekterer signalet. Til øvrige, der blot naitvt ikke kan se problemet, da banken "bare" dækker, jamen tak, og i tror så bare, at deres overskud bliver mindre ? De penge kommer jo til at betale før eller siden, bevares, kollektivt, men det er da godt nok en katastrofe, at der ikke er mere styr på sikkerheden end at disse data kan aflæses. Her er scneriet en mobil med en app, men det er jo heller ikke noget problem at udvide med en retningsbestemt antenne til sin laptop og så scanne langt flere personer..

  • 0
  • 0

Jeg er helt enig med Rune Domsten i at det er et privacy spørgsmål og ikke et spørgsmål om penge. Store butikskæder vil helt sikker bruge dette til at indsamle mange flere data om deres kunder. De kan nu tracke alle deres kunder rundt i butikken og koble disse data direkte til de køb som kunde foretager når de går ud af butikken. Der er virkeligt tale om Big Data her. Big Data som hovedsageligt de helt store kæder vil have ressourcer til at udnytte.

En anden mulighed er at udvikle en App hvor alle der har App'en installeret er med til i fællesskab at tracke alle NFC kort. Fælles offentlige Big Data.

  • 0
  • 0

I har ret i at man nemt kan scanne ting med NFC. Men på den anden side er NFC jo bare ret genialt, altså ikke for at man skal scanne andres kreditkort. Men nu kan man f.eks også få det i diverse musik modtager, så det lettere kan kobles på din smartphone: http://www.fona.dk/elektronik/elektronik-p.... Og det er jo mega smart. Så ved godt at der er ulemper ved det, men som de også skriver i artiklen, så er det jo ikke til at scanne alle oplysninger på ens kort, så det er svært at udnytte. Så jeg er altså lidt fan af NFC, bare folk bruger det til det rigtige.

  • 0
  • 0
Bidrag med din viden – log ind og deltag i debatten