Cornucopia?

2017-04-21 12:35

Nya bankkort kan skimmas direkt från din plånbok

Bankernas nya trådlösa bankkort saknar kryptering och kan skimmas direkt från din plånbok, t ex med en gratisapp på en vanlig smartphone. Motsvarande gäller även många andra okrypterade RFID-chip, som t ex passerkort. En av bloggens läsare har tagit fram ett skyddskort som kallas Skimsafe.
De nya bankkorten (kredit eller betalkort) med trådlösa funktioner saknar alltså kryptering, och kortets uppgifter kan skimmas med allmänt tillgänglig utrustning, exempelvis en smartphone och en gratisapp. 

Har du plånboken i bakfickan kan dina kort t ex skimmas genom att någon håller sin mobiltelefon mot din bakficka när du står och knör på tunnelbanan. Man kan också med lite större utrustning och en antenn stor som en bok och tillhörande batteri kopplad till en läsare, t ex placerade i en ryggsäck eller en axelväska, skimma kort på flera meters avstånd.

Sedan är det bara att gå online och använda uppgifterna för köp online i sedvanlig ordning.

Bankerna prioriterar enkelhet och tjänar enorma pengar på korthanteringen. Så till den grad att när nu nästa generations betalkort införs så har man skippat kryptering och fysisk säkerhet, och inte bara gjort det enklare att betala genom att slippa stoppa in kortet i en kortläsare, utan också gjort det möjligt att skimma kortuppgifterna på distans.

Liknande problem existerar även med passerkort och andra RFID-kort, även om dessa kan ha krypteringsfunktioner om det handlar om specialiserade system. Eventuellt kan man t ex skimma folks kollektivtrafikkort. Jag tänker hotellrumsnycklar. Skimma småberusade hotellgäster med ståndsmässig klädsel i baren på deras rumskort och gå upp och töm rummet. 

Tillägg: Hotellnycklar bekräftas av en ledande säkerhetsexpert, de är i princip bara ett serienummer. Kollektivtrafiken kan skimmas, men man har ju inget korrekt kort vid kontroll av kontrollant, så det är knappast någon vits annat än för att komma genom spärrar på Stockholms tunnelbana. Åka fast för ogiltligt färdbevis gör man ändå.

Andra säkerhetsproblem är att man på detta vis kan identifiera vilka personer som rör sig på ett visst ställe.

Jag sprang igår på Business Arena Malmö ihop med bloggläsaren Carl, som driver SkimSafe, som har tagit fram en skärmande lösning som gör korten omöjliga att läsa av genom ett skyddande magnetfält på några centimeter. Demonstration nedan. 

Det ska som jag uppfattat det inte behövas två kort, om man nu inte har en väldigt tjock plånbok med flera kort.

Alla banker har ännu inte infört de trådlösa korten.

Numera krävs det inte ens PIN-kod vid köp under 200:- SEK på nyare terminaler, vilket även gäller för chip-kort. Banken eller handeln tar risken vid dessa transaktioner, men det krävs många timmars arbete - polisanmälan, kontakt med bank mm - för att få tillbaka sina pengar. Inte bara onödigt arbete, utan också dålig timpenning.


Frågan är vad som framöver kommer klassas som vårdslöshet med kortet när man kan få kortet skimmat utan att ens ta fram det och om "visa sig utanför hemmet" kommer klassas som vårdslöshet och inte ge ersättning för förluster från skimmade kort?

Detta inlägg är inte reklam, utan skrivs av mig som allmän upplysning om vad som verkar vara en vettig produkt, som bankernas inkompetens har gjort nödvändig. Jag har fått ett Skimsafekort för att testa produkten.
Nedanstående kommentarer är inte en del av det redaktionella innehållet och användare ansvarar själva för sina kommentarer. Se även kommentarsreglerna, inklusive listan med kommentatorer som automatiskt kommer raderas på grund av brott mot dessa.

73 kommentarer:

  1. Skrapa bort CVV-koden.
    Problem solved.

    SvaraRadera
    Svar
    1. Hu va rädd jag blir.
      Är det inte invandrarna är det kortbedragare.
      Vart är Sverige på väg?!?!?!

      Radera
    2. Så we are sthlm-grejen handladr alltså om kortbedrägerier hela tiden? Inte undra att armbanden inte funkade, de hade ju fel budskap

      Radera
    3. Fel budskap, fel kort.
      Snart går alla omkring med sin bitcoin wallet och säkerheten blir total.

      Radera
    4. Men om alla betalar med bitcoins hur skall du den asgrymma Maggan kunna sno våra stålar?

      Radera
  2. Tyvärr räcker inte CVV koden, det är via RFID data plockas ut.
    Trayvax har skrivit lite hur det fungerar med deras plånböcker:
    https://www.trayvax.com/blogs/news/84743492-rfid-protection

    SvaraRadera
    Svar
    1. Har du statistik på hur många som drabbats?

      Radera
    2. Bankerna döljer bedrägerierna bakom "banksekretess" och släpper inte sådana uppgifter.

      Radera
    3. Ah, det förklarar varför bankerna har så dåliga vinster nuförtiden.

      Radera
  3. Känner mig lite skeptisk till det här. Är det inte så att det är chipet som arbetar när man använder kortet trådlöst? Chipet är ju, som ni säkert vet, en dator, och poängen med den är att den bara ger en utsträng för en insträng. Kan man skimma detta över rfid? Skulle kryptering isf hjälpa? Datorn (chippet) är ju i sig ett slags kryptering.

    SvaraRadera
  4. Som tidigare anställd på ett av världens största företag som tillverkar betalkortsterminaler så vill han bara flika in att det stämmer. Pan (primary account number) och expire date ligger okrypterat på både kontakt chip och contactless chip.

    Problemet är internet där uppgifterna sen kan användas. Man kan alltså inte sno uppgifterna och sen göra en klon av kortet och använda i butik. Därför att annan data på kortet som inte går att kopiera används för att beräkna säkra kryptogram för att verifiera kortets äkthet.

    Samma borde gälla tex passerkort om de inte är superenkla (vilket många säkert är...).

    Det är beklagligt att man i emv standarden inte tog bort pan helt i contactless och ersatte med en guid som inte fungerar att använda på internet. Kryptering ställer till det med nyckelutväxling osv och gör transaktionen långsammare. Bättre med ett annat id som hos banken kan matchas med rätt konto och bara om giltigt kryptogram finns.

    Tråkigt men sant.
    P.s. Tex amazon frågar inte efter cvv kod... Men många banker nekar transaktioner utan cvv i Sverige. Så det kan vara svårt att handla på Amazon ibland. Sist fick jag testa 3 kort innan köpet gick igenom.


    SvaraRadera
    Svar
    1. Med så patetisk säkerhet har jag svårt att se hur kunden någonsin skulle kunna hållas ansvarig för en skimmning av det slaget. Att ha kortet utanför en faraday-bur kan väl inte anses som ovarsam hantering rättsligt?

      Radera
    2. Hmmm... Det här fick mig att googla på "portable faraday cage". Hittar dock ingen som känns nog portabel så jag skulle vilja ge mig ut på stan med den. Å andra sidan räcker det ju att själva kortet är skyddat och plånböcker med slika skydd verkar det finnas gott om.

      Radera
    3. En dräkt I läder och nitar á la Rob Halford borde fixa saken lätt

      Radera
    4. Är ju lika (eller ännu osäkrare) med synliga siffror på kortet?

      Räcker ju att någon tar ett kort med mobilen (eller memorerar uppgifterna).

      Den trådlösa funktionen på korten ska väl vara tänkt som de synliga siffrorna på kortet? Dvs - informationen du kan få tag på via trådlöst går inte att göra så mycket med (utan CVC-koden)?



      Radera
    5. Antar att tanken då är att PAN och datum egentligen inte är något hemligt utan att CVC-koden ska stå för säkerheten. Man kan ju tycka att man kunde fått en lite längre CVC-kod då. Och dessutom borde det vara helt oacceptabelt att banker (de som nu gör det) tillåter betalning på nätet utan CVC-kod.

      Radera
    6. "Som tidigare anställd på ett av världens största företag som tillverkar betalkortsterminaler" - appeal to authority,himself

      Radera
    7. Nja. På ett sätt är det rätt att tillåta betalningar utan cvv, cvc, c2v etc. Kärt barn har många namn.

      Koden är till för att signalera "cardholder present" vid en transaktion.

      Om du tex har en prenumeration med återkommande betalningar så är du inte närvarande när fortsatta debitering sker och därmed ska inte cvv kod egentligen skickas med då.

      Qwerty. Fattar inte vad du menar?

      Och jo. PAN är att anse som hemligt (ingår i SAD - sensitive account data) . Dock inte expiry date.

      Enligt pci pa-dss (payment card industry payment application data security standard) är bara de första 6 och sista 4 siffrorna i PAN tillåtna att exponeras utan kryptering.

      Idag kan tex kassörskan på mataffären inte knappa in ditt nummer om kortet inte funkar eftersom ditt nummer då blir exponerat i en enhet utan tillförlitlig e2e (end to end) kryptering.

      Radera
    8. Kan väl tillägga också varför det skulle vara svårt att införa kryptering av kortnumret.

      Kryptering utan autentisering tillför ingenting. Dvs om man utväxlar nycklar on the fly med tex diffie hellman. Det förhindrar någon att läsa av datat men skurkens apparat behöver bara dekryptera det.

      Men idag kan ju terminalen verifiera att kortet är äkta och kortet kan verifiera att terminalen är äkta. Så hur fungerar det?

      Jo, med hjälp av public private keys. terminalen är laddad med massor av publika nycklar som kan användas för att verifiera att kortet är vem kortet utger sig för att vara. Men hur vet terminalen vilken publik nyckel den ska använda till ett visst kort? Jo, genom att slå upp kortnumret i en tabell!

      Alltså behövs kortnumret (som systemet är byggt idag) för att hitta rätt nyckel...

      Radera
  5. Så om man har bly i benen, är man skyddad då?

    SvaraRadera
    Svar
    1. Ät mycket fisk alltså!

      Radera
    2. Det ärväl mer kvicksilver I fisk

      Radera
  6. Dagens tips då: betala med kreditkort där man betalar utan ränta i slutet på varje månad. Risken hamnar då på kortutgivaren och denne får ligga ute med pengar tills de bevisat att du gjort köp eller hanterat kortet ovarsamt. Har hjälpt mig ett par gånger när kort blivit skimmade i utlandet.

    Som grädde på moset får du på flera ställen tillbaks nån procent av allt du handlar i bonus.

    SvaraRadera
    Svar
    1. Löser skimmingproblematik med samma metod. Risken ligger ej hos mig med kassa kort utan hos min kortutgivare.

      Radera
    2. Säkerligen gör du det.

      Sist jag blev skimmad (innan jul förra året) fick jag ligga ute med 12000:- SEK i två månader innan jag fick dem tillbakabetalda. Därtill tog det ett antal timmars arbetstid för mig, som jag ej fick betalt av banken för.

      Radera
    3. Hur har det gått för dig när du blivit skimmad?

      Radera
    4. Sist handlade någon guld för 20 lax i Indien med mitt kort. Sannolikt skimmat på nån restaurang i Malaysia. Jag anmälde det till polisen och betalade inget. Kortfirman hörde av sig efter 3 månader och sa att jag inte gjort nåt fel. (Eller att dom inte kunde bevisa det)

      Radera
    5. Ja de där guldbaggarna är inte att lita på.
      Ringgit is king!

      Radera
    6. Kan väl tillägga att det ligger både en magnetkort- och flashprogrammerare hemma i lådorna. Kostar några hundralappar. I rent underhållningssyfte förstås. :)

      När vi ändå är inne på tips. Lås er brevlåda. ID kapning är mycket vanligare än man tror och 100 gånger jobbigare än kortkapning..

      Radera
    7. Blivit skimmad i gissningsvis Polen och Lettland. I båda fallen (nästan) hörde jag av mig till amex direkt när jag fick sammanställningen av månadsfakturan (har autogiro) ungefär i mitten av månaden kring 15e.

      De kunde i båda fallen geolokalisera inköp gjorda i USA och något annat land jag inte minns och på så sätt uteslöt de att jag var ansvarig för köpen. Andra gången ringde de mig faktiskt direkt när mitt köpbeteende avvek från det normala och frågade om jag var där och bad mig bekräfta över telefon med kortnr + cvv, amex frågar alltid om fullständiga kortuppgifter mot sin kundsupport konstigt nog. De sköt bara på beloppet till nästkommande autogiro utan att ta ut någon ränta för den senare inbetalningen.

      Radera
    8. Blev själv skimmad på en automatstation i Brastad ( Brasta') nära Lysekil ...

      Upptäckte det inte förrän några dagar senare när jag kollade upp kortet - betalkort med faktura i slutet av månaden och INTE något "direktkort".
      DÅ såg jag att det hade dragits / tagits ut pengar i Kanada, i Spanien och gjorts försök till detta på Filipinerna men då hade systemens automatiska tidsstoppning upptäckt att det inte skulle gå att fysiskt transportera sig från Spanien till Filipinerna på 4 timmar...
      Sedan dess är mitt kort spärrat till inom Skandinavien...

      Radera
    9. Inget jag skulle rekommendera. Bättre i så fall att öppna ett extra konto, så att ditt kort inte är knutet till lönekontot. Och sedan skyffla pengar mellan kontona.

      Poängen är att om det inte finns så mycket pengar på kortkontot så avvisas transaktionen, därav finns det inte så mycket pengar att hämta.

      Problemet med att välja ett kort kopplat på faktura är att:
      1: Villkoren kan kräva att fakturan ska betalas i väntan på utredning.
      2: Om kortbolagets utredning menar att du varit oaktsam så kan du få skulder över öronen. Och detta är ju kortbolagets egna bedömning av ärendet.

      Radera
  7. Använder sedan länge Secrids patenterade och snygga korthållare som skydd mot slemma bedragare. (Inte heller reklam)

    SvaraRadera
  8. Har ett sånt härt kort "elektronik" som liknar det på kortet, men bara med nonsense data som kan läsas av?

    SvaraRadera
  9. Jag vet inte hur det är för er, men jag måste godkänna alla mina köp med kort på internet via mobilt bank-id. Eller tankar tjyvarna över uppgifterna på ett nytt kort som de använder?

    Gör annars som Exited, använder kreditkort som fullbetalas varje månad. Amex är grymma på kundservice.

    SvaraRadera
    Svar
    1. Finns sajter (speciellt utomlands, t ex en sajt som kallas Amazon) där man inte behöver mobilt bank-id eller ens CVV-kod.

      Radera
    2. Min bank, SEB använder sig av Verified by Visa, så ett köp på Amazon skulle inte fungera utan att ange ett valfritt långt lösenord först.

      Radera
    3. Fick nytt kort från Nordea (VISA) och där måste man gå in på internetbanken och aktivera kortet (går bara göra i 60 min åt gången) för varje köp om inte vissa krav är uppfyllda.

      Blir svårskimmant men samtidigt krångligt för mig som kund.

      https://www.nordea.se/privat/vardagstjanster/kort/Internetkop.html

      "När behöver du öppna ditt kort för internetköp?

      I internetbutiker utan koppling till Mastercard Secure Code eller Verified by Visa
      Betalningar via Paypal
      Bokningar av hyrbil eller hotell
      Vid start av prenumerationer eller abonnemang
      Vid betalning i vissa parkeringsautomater och appar"

      Radera
    4. Kortföretaget är förstås inte helt handlingsförlamade, utan agerar om/när svinnet blir för stort. Ett par procent får man nog räkna med som acceptabelt.

      Radera
    5. Har visa från Nordea och att betala via paypal går utmärkt utan kod.

      Radera
  10. I UK tänker man mer på säkerhet enligt VISA.
    "Every Visa contactless card contains a highly sophisticated, highly secure chip. This chip performs a wide range of functions to maintain the card’s security, and is able to interact securely with a contactless terminal.

    For a transaction to take place, a Visa contactless card must interact with a Visa contactless acceptance terminal. To do this, it uses private or secret keys to generate one-time-only electronic signatures and cryptograms. That makes it just as a secure as a normal Chip transaction, where you also enter your PIN."

    SvaraRadera
    Svar
    1. Texten stämmer 100%

      Kortnummret ligger i klartext ändå. Se mitt inlägg tidigare.

      Radera
  11. Jag kommer att fortsätta att använda KONTANTER så länge det är möjligt!
    Har arbetat med elektroniska betalningssystem och sett lite för mycket jag inte tycker om...

    Och försök tvinga en Bayrare att betala ölen med plastpengar...
    ;-)

    SvaraRadera
    Svar
    1. Under resan till "Jugoslavien" förra sommaren användes enbart KONTANTER !!
      Likt som det förr i världen i dessa trakter var DM som gällde så är det idag € som är den eftertraktade "hårda" valutan. Den lokala "pengen" har fortfarande många nollor på pappret även om man numera fått bukt med det sena 80-talets och tidiga 90-talets hyperinflation...

      Och ja, det vanligaste sättet att ha sedlar på sig är fortfarande i en rulle omspänd av gummisnoddar...

      Som tur är finns det en "mienjanica" - dvs växlingskontor - i varje kvarter i både Belgrad, Sarajevo och andra ställen.

      Valutan i BiH kallas för "Konvertiblina Marka" (KM) och sattes en gång i tiden att 1 KM = 1 DM

      Radera
    2. Är "mienjanica" lika vanliga som "Vulcanizer" och "Sretan put"?

      Radera
  12. Skyddar Skimsafe/Secrid även bilnycklar?

    SvaraRadera
  13. Mer nördig kortinformation. ;-)

    Det lilla chip som numera finns på all världens betalkort "uppfanns" 1972 av en viss Helmut Gröttrup.

    H G var tidigare verksam som högste utvecklare av styrsystemet för V2-raketerna ¨varför dagens små chip på korten säkert har mycket gemensamt - varför uppfinna hjulet på nutt ? - med just det styrsystem för dessa embryon till dagens ballistiska missiler..

    SvaraRadera
  14. Finns plånböcker med rfid-skydd

    SvaraRadera
    Svar
    1. Precis, utbudet av RFID-skyddade plånböcker och korthållare har blivit jättestort bara det sista året.

      Min förra RFID-skyddade plånbok fick jag beställa ifrån nätet (läs: USA) för drygt 8år sedan då jag inte hittade snygga skinnplånböcker med den funktionen i Europa.

      I höstas fanns det många säljare i Sverige som hade att utbud att välja på för att önska sig i julklapp (som jag sedan också fick). :)

      Radera
  15. Gör som jag och stäng av blipp funktionen, men högre kortavgift lär man få vara med och betala i alla fall när bedrägerierna ökar. SEB i mitt fall.

    Du kan avaktivera funktionen genom att kontakta oss.

    SEB:s MasterCard ring 0771-365 365

    SvaraRadera
    Svar
    1. Har Amex, Nordea och Norwegian kontaktlösa kort. Ringde Amex och Norwegian för att stänga av kontaktlösa funktionen, men de kunde inte stänga av funktionen, den funktionen är alltid aktiv enligt dom. Ringde Nordea för att stänga av kontaktlösa funktionen, de sa att de gjort det (jag gjorde ett chip-köp efter för att avaktivera funktionen), trots det kan jag med hjälp av samma app som i videoklippet fortfarande läsa mina kortuppgifter. Vad Nordea verkar mena är att jag inte kan göra några kontaktlösa köp, men kortuppgifterna ligger fortfarande synliga för att läsas av!

      Radera
    2. Har Amex, Nordea och Norwegian kontaktlösa kort. Ringde Amex och Norwegian för att stänga av kontaktlösa funktionen, men de kunde inte stänga av funktionen, den funktionen är alltid aktiv enligt dom. Ringde Nordea för att stänga av kontaktlösa funktionen, de sa att de gjort det (jag gjorde ett chip-köp efter för att avaktivera funktionen), trots det kan jag med hjälp av samma app som i videoklippet fortfarande läsa mina kortuppgifter. Vad Nordea verkar mena är att jag inte kan göra några kontaktlösa köp, men kortuppgifterna ligger fortfarande synliga för att läsas av!

      Radera
  16. Det kan bli s.k ofrivilliga betalningar också.

    "Den brittiska konsumenttidningens reportrar testade även att inom ett visst avstånd hålla två kort, det vill säga en fejkad situation där en annan kund står i kön före vid terminalen för att betala, men ditt kort befinner sig inom räckhåll för avläsning. Även där fanns kryphål och fel kort blippades av terminalen."

    Men man verkar införa att vid slumpmässiga tillfällen så måste man slå in pin-koden.

    SvaraRadera
  17. Det lät väl rätt otroligt att man globalt skulle skeppa ut en osäker betalningsteknik som skulle möjliggöra massbedrägerier.
    * CVC2-koden finns inte lagrad på chipet.
    * Engångskrypto som skapas på kortet ihop med betalterminalens engångskrypto förhindrar att man kan spela upp ett meddelande flera gånger
    * Betalterminalens krypto förhindrar att man kan skapa egna falska betalterminaler för att läsa ur uppgifter.
    * Kortutgivaren använder även POS-inmatningsläge i kombination med det dynamiskt genererade kort- eller mobilkryptogrammet för att verifiera om transaktionen har skett genom en kontaktlös kassaterminal. Detta skyddar mot att data som kontaktlöst "nosats upp" används för att skapa falska kort med magnetremsor.

    Möjligheterna att knäcka krypto brute-force går framåt och genom att använda standarder så kan nyckelstorlekar utökas efterhand. Jag säger att det inte är omöjligt men det är väldigt svårt.

    Men vill man ändå försäkra sig så räcker det med aluminiumfolie

    SvaraRadera
    Svar
    1. Du borde offentliggöra dina nya forskarrön. Kanske ett vetenskapligt papper?

      Radera
    2. Bara att läsa specen, internationella elektroniska betalsystem är standardiserad sedan länge.

      Radera
    3. Det du beskriver skyddar säkert om man skulle försöka kopiera kortet och använda det i en fysisk betalterminal. Det spelar ingen roll hur bra kryptering betalterminalerna har, eller att korten endast kan spela upp ett stulet "kontaktlöst köp"-meddelande en gång när kortnumret och utgångsdatumet inte är tillräckligt bra krypterat utan går att läsas av hur många gånger som helst och sedan kan användas för att handla online.

      Radera
    4. Se mitt inlägg tidigare. Korten är omöjliga att kopiera men PAN (Kortnummret) ligger i klartext.

      Och ja jag har läst emv specarna många gånger. Både vanliga contact och contactless. Inte så mycket emv book 1 och 2 dock. Det är mest lågnivå grejer där.

      Du kan inte göra en egen terminal och lura kortet att genera ett tc (accept) kryptogram men din egna "terminal" kommer över PAN utan problem.

      Radera
    5. Är du säker på att det räcker med att lägga ett eller två lager vanlig aluminiumfolie i plånkan för att skydda korten? Har du någon källa på det? Vore tacksam för svar då jag tillverkar mina plånböcker själv. ;)

      Radera
  18. Verkar vara ett övergående problem:

    http://www.bbc.com/news/technology-39643453

    SvaraRadera
    Svar
    1. Men snälla. Det är bara en ny cvm metod (cardholder verification method) istället för signature eller pin. Problemet är att man kan komma åt Kortnummret mycket tidigare i transaktionen.

      Radera
  19. Reläattacker är inget nytt. Har fungerat på trådlösa nyckelsystem till bilar redan innan. Däremot så kommer förövaren bara åt 200kr/transaktion, antagligen för lite pengar för en vanlig brottsling....

    Fördelen är att din pin-kod är skyddad mot att någon tittar över axeln, slår ner dig utanför och länsar den i automaten utanför + 4 platt tv-köp senare.. Speciellt äldre utsatta personer så är det bättre än slå pin-koden antagligen(speciellt de som läser upp pin-koden högt i butiken)...

    SvaraRadera
    Svar
    1. Fast reläattack fungerar inte i detta fall. Engångsnyckeln skapas på kortet med ett token från betalterminalen och är giltiga bara tillsammans med den godkända betalterminalens engångsnyckel. D.v.s. "meddelandet" kan bara användas en gång. Det är alltså mer information än bara PAN (kortnumret) som överförs i en transaktion.
      Det som Lars pekar på är att det går att få ut kortnumret men ej CVC och sedan kan kortnumret användas på mindre nogräknade sajter.
      RFID är inget nytt utan har används väldigt länge t.ex. i betalstationer för vägtullar och då är det 20 m läsavstånd.

      Men det går att komma undan ett tag men kräver en målvakt. Registrera ett legitimt bolag och få ut en ansluten godkänd betalterminal, gå sedan runt och pressa terminalen mot folks trådlösa betalkort och få igenom betalningar. På vissa kommer det inte gå eftersom systemet slumpmässigt kräver en pinkod vid betalning. Så fort kortföretagen inser att det är något skumt så kommer betalterminalen kopplas bort så hur mycket kan man tjäna kontra risken?

      De verkliga säkerhetshålen som man ska fokusera på och vara orolig för är mobiler och datorer.

      Radera
  20. Det här är mer eller mindre ren snake oil. Att betala 300 kronor för ett kort som är designed to fail inom fem år är vansinne när det går lika bra att skydda sina kort mycket billigare och enklare. Två exempel nedan:

    1. Köp korthållare i aluminium för ~50 kr
    2. Lägg två NFC-kort bredvid varandra så stör det ut läsningen.

    Företagets markandsföringsfilm är känslomässigt laddad (precis som blogginlägget) och ger en mycket simplifierad bild av hur enkelt det är att läsa ett kort i tex någons ficka eller väska.

    Min gissning är att det här antingen rör sig om helt passiva NFC-kort som helt enkelt stör läsningen av de riktiga korten eller så är det ett aktivt kort importerat för några kronor styck som stör ut läsningen.

    Innehåller kortet en aktiv sändare är det möjligt att PTS har synpunkter på det hela.

    SvaraRadera
  21. RFID & NFC är buslätt att kopiera.

    Kostar inte ens 200:- att köpa komplett utrustning för detta från kina.

    Jag gjorde det för ett tag sen, inte för brottslig användning, utan för att min brf införde passerkortsystem och man fick bara 3 "taggar", och skulle betala 250:- för varje ytterligare tag... Och ja, jag kan vara riktigt snål när jag vill.

    För NFC, en variant på RFID, som bl.a. SL använder och de s.k. "säkra" kreditkorten... kolla "mifare" på google play och surfa lite...

    Systemet är hiskeligt osäkert. Det är fullständigt bedrövligt...

    SvaraRadera
    Svar
    1. Nej du kan inte kopiera ett emv contactless kort. Praktiskt helt omöjligt.

      Radera
  22. Vad är det för app han använder i filmen? Skulle vilja testa.
    Funkar det med iphone 6 utan någon extrapryl?

    SvaraRadera
  23. Är inte detta egentligen en icke-fråga? Det du kan läsa ut är kortnummer och expiry date övriga uppgifter är filtrerade. Vad gör du sedan med denna info? Hur manga internetbutiker kan du handla i om du inte har kortnummer, expiry date, cvc och namn?

    Skimsafe känns mest som två lycksökare som försöker göra pengar på folks okunskap och oro.

    SvaraRadera

Related Posts Plugin for WordPress, Blogger...