Under hackerkonferensen Shmoocon i Washington demonstrerade säkerhetsföretaget Recursion Ventures hur billig utrustning enkelt kan användas för att läsa av betalkort utrustade med rfid-teknik, alltså kort som klarar kontaktlösa betalningar.

Demonstrationen fortsatte med att den stulna informationen kopierades över till ett blankt kort, som sedan användes för att genomföra ett köp.

– Det här är ett pinsamt enkelt hack, men det fungerar, säger Kristin Paget från Recursion Ventures till tidningen Forbes.

Affärernas kortterminaler läser av data på rfid-utrustade betalkort på samma vis som vilken annan rfid-läsare som helst. Tekniken fungerar trådlöst genom plånböcker, kläder och oavsett vilken kryptering eller andra säkerhetsåtgärder som finns, enligt Kristin Paget.

Varken kortägarens namn, pin-kod eller permanenta CVV-kod skickas trådlöst till kortterminalen. Istället används en engångskod för varje köp, just för att förhindra upprepade bedrägeriförsök.

Den information som Recursion Ventures lyckades läsa av kunde alltså bara användas till ett köp per stulet kortnummer. Däremot vore det en enkel match för en hackare att scanna flera ovetande offers kort samtidigt i till exempel tunnelbanan.

Den drastiska metoden för att skydda sig själv mot intrång av den här typen, enligt Kristin Paget, är att köra sitt kort några sekunder i mikrovågsugnen.

– 3 sekunder tar det för att döda chipet, efter 5 sekunder börjar det brinna.

Det innebär givetvis att kortet inte längre går att använda för kontaktfria betalningar, så det är knappast den bästa lösningen. Däremot finns speciella plånböcker med inbyggdt rfid-skydd att köpa i handeln. På nätet finns även instruktioner för hur aluminiumfolie och silvertejp kan användas för att skydda ett kort.

CS har tidigare skrivit om hur mobilbetalningar med nfc är på väg till Sverige (enbart för prenumeranter).

Nfc bygger på rfid-teknik, men om sådana kort kan läsas av med den teknik som demonstrerades på Shmoocon är oklart.

IDG News

Fakta

Radio Frequency Identification, rfid, är en teknik för att läsa information på avstånd från transpondrar och minnen som kallas för taggar.

Nfc, Near Field Communication, är en teknik som bygger på rfid och som är aktuell för mobilbetalningar.

Exempel på användningsområden för rfid idag är, busskort, liftkort, passering genom tullar, betalstationer, pass, stöldskydd i butiker, bokningssystem, bibliotek, i nyare bilar med mera.