Ett forskarteam i Zurich har identifierat en allvarlig säkerhetsläcka hos VISA-kort, där man genom att trådlöst stjäla kortuppgifterna via kortets blipp sedan kan använda det på blippterminaler utan att behöva PIN-kod, eftersom använd app påstår att den verifierat behörigheten via fingeravtryck eller ansiktsigenkänning.
Kortsäkerhetsbolaget Skimsafe skriver i ett pressmeddelande:
“[E]tt schweiziskt forskarteam vid tekniska högskolan i Zürich som upptäckt metoden som kräver två bedragare i maskopi. Med en app för Android-telefoner så stjäl bedragare nr. 1 betalkortsuppgifterna trådlöst genom att utnyttja den så kallade ”blipp”-funktionen i kortet. Kortuppgifterna skickas sedan vidare i realtid till bedragare nr. 2s mobiltelefon som kan handla utan PIN-kod med de stulna kortuppgifterna.”
Carl Martinsson, säkerhetsexpert på SkimSafe förklarar:
“PIN-koden krävs inte för att mobil-appen lurar kortterminalen att köpet verifierats med
ansiktsigenkänning eller fingeravtryck.”
Systematiken visas av forskarteamet på filmen ovan, och är fånigt enkel. Forskningsrapporten finns publicerad här.
Eftersom kortterminalen luras att man verifierat transaktionen på mobiltelefonen finns det ingen begränsning i storlek på uttag, antal gånger eller hur mycket totalt man kan använda de stulna kortuppgifterna – det enda som sätter en gräns är hur mycket pengar du har på kortet eller storleken på din kredit.
Skimsafe rekommenderar förstås att man bland annat använder ett av deras blockerande skyddskort för att undvika att någon läser av ditt kort, exempelvis i trängseln i en kö eller på tunnelbanan, men också att undvika okända uttagsautomater och aldrig lämna platsen om ditt kort fastnar i en uttagsautomat, samt hålla noggrann koll på dina köp och kontouttag.
Man kan förstås även önska bättre och modernare säkerhet från svenska banker, likt Revolut, där man omedelbart får en notifikation i sin mobil så fort ett köp genomförs med ens kort, oavsett hur.
7 kommentarer
Eller så ber man sin bank inaktivera transaktioner utan pinkod samt kapar antennen till rfid-antennen i betalkortet. Foliehatt på.
Annars kan man sätta aluminiumfolie i facken på ömse sidor om kortet i plånboken. Körde så redan innan jag skaffade skim safe, så nu har jag både livrem och hängslen.
Eller så förvarar man korten i ett visitkortsfodral av aluminium….
Borde gå att lösa genom att enhetens signerade id skickas tillsammans med bekräftelsen, för då kan kommunikationen inte spelas in/spelas upp ifrån en annan enhet. Förutsatt att terminalen verifierar denna givetvis. Klassisk replay-attack.
Precis, väldigt konstig säkerhetslucka. Om man jämför med kortinloggning så görs en signering med pinkoden mot certifikatet på kortet och det görs serverside, vore rätt enkelt om klienten bara kunde säga "ok" annars.
Eller så betalar man kontant.
RFID i plånboken och sms-kvitto från samtliga använda kort känns stabilt.
Lurendrejare finns det överallt.