Cornucopia?

Aktuellt

Globala fossila CO2-utsläpp ökade med nio Sverige 2019 - Kina ökade med sju Sverige

De globala fossila CO2-utsläppen ökade med nästan nio Sverige 2019. Även om Sverige skulle slutat helt med fossila bränslen förra året, ha...

2020-08-30 12:57

Allvarlig säkerhetsläcka upptäckt med VISA:s betalkort - skimmade kort kan blippas utan PIN-kod

Ett forskarteam i Zurich har identifierat en allvarlig säkerhetsläcka hos VISA-kort, där man genom att trådlöst stjäla kortuppgifterna via kortets blipp sedan kan använda det på blippterminaler utan att behöva PIN-kod, eftersom använd app påstår att den verifierat behörigheten via fingeravtryck eller ansiktsigenkänning.
Kortsäkerhetsbolaget Skimsafe skriver i ett pressmeddelande:
"[E]tt schweiziskt forskarteam vid tekniska högskolan i Zürich som upptäckt metoden som kräver två bedragare i maskopi. Med en app för Android-telefoner så stjäl bedragare nr. 1 betalkortsuppgifterna trådlöst genom att utnyttja den så kallade ”blipp”-funktionen i kortet. Kortuppgifterna skickas sedan vidare i realtid till bedragare nr. 2s mobiltelefon som kan handla utan PIN-kod med de stulna kortuppgifterna."
Carl Martinsson, säkerhetsexpert på SkimSafe förklarar:
"PIN-koden krävs inte för att mobil-appen lurar kortterminalen att köpet verifierats med ansiktsigenkänning eller fingeravtryck."

Systematiken visas av forskarteamet på filmen ovan, och är fånigt enkel. Forskningsrapporten finns publicerad här.

Eftersom kortterminalen luras att man verifierat transaktionen på mobiltelefonen finns det ingen begränsning i storlek på uttag, antal gånger eller hur mycket totalt man kan använda de stulna kortuppgifterna - det enda som sätter en gräns är hur mycket pengar du har på kortet eller storleken på din kredit.

Skimsafe rekommenderar förstås att man bland annat använder ett av deras blockerande skyddskort för att undvika att någon läser av ditt kort, exempelvis i trängseln i en kö eller på tunnelbanan, men också att undvika okända uttagsautomater och aldrig lämna platsen om ditt kort fastnar i en uttagsautomat, samt hålla noggrann koll på dina köp och kontouttag.

Man kan förstås även önska bättre och modernare säkerhet från svenska banker, likt Revolut, där man omedelbart får en notifikation i sin mobil så fort ett köp genomförs med ens kort, oavsett hur.

Nedanstående kommentarer är inte en del av det redaktionella innehållet och användare ansvarar själva för sina kommentarer. Se även kommentarsreglerna. För att din kommentar inte automatiskt ska raderas måste du sedan 28:e juni 2019 finnas på en VITLISTA. Skriv med kvalitet och följ kommentarsreglerna, så kan du komma in på listan. Ytterligare anonyma signaturer som unknown etc kommer inte att godkännas. Att vara vitlistad betyder inte att kommentaren stöds av bloggen, bara att kommentatorn når över en viss lägsta kvalitet och inte bryter mot reglerna. Genom att kommentera samtycker du till att din kommentar, tidsstämpel, profillänk och pseudonym sparas av Googles Blogger-system så länge det är relevant, dvs så länge blogginlägget är publicerat.

7 kommentarer:

  1. Eller så ber man sin bank inaktivera transaktioner utan pinkod samt kapar antennen till rfid-antennen i betalkortet. Foliehatt på.

    SvaraRadera
    Svar
    1. Annars kan man sätta aluminiumfolie i facken på ömse sidor om kortet i plånboken. Körde så redan innan jag skaffade skim safe, så nu har jag både livrem och hängslen.

      Radera
    2. Eller så förvarar man korten i ett visitkortsfodral av aluminium....

      Radera
  2. Borde gå att lösa genom att enhetens signerade id skickas tillsammans med bekräftelsen, för då kan kommunikationen inte spelas in/spelas upp ifrån en annan enhet. Förutsatt att terminalen verifierar denna givetvis. Klassisk replay-attack.

    SvaraRadera
    Svar
    1. Precis, väldigt konstig säkerhetslucka. Om man jämför med kortinloggning så görs en signering med pinkoden mot certifikatet på kortet och det görs serverside, vore rätt enkelt om klienten bara kunde säga "ok" annars.

      Radera
  3. Eller så betalar man kontant.

    SvaraRadera
  4. RFID i plånboken och sms-kvitto från samtliga använda kort känns stabilt.
    Lurendrejare finns det överallt.

    SvaraRadera