Lansering av ny e-handelsbutik

Det har hänt en del senaste tiden. Framför allt har vi lanserat e-butiken Chipster med fokus på produkter med RFID. Målet är att bli heltäckande inom RFID-fältet vad gäller produkter och tjänster, men till att börja med har vi produkter som Mifare-kort, RFID-programmerare, Yale Doorman-taggar, NFC-läsaren ACR122U och massa andra roliga saker som definitivt uppskattas av RFID-nördar.

En speciell och aktuell produkt inom RFID är det så kallade skimmingskydd. RFID är en kontaktlös teknik som oftast används för identifiering av produkter, människor, djur och andra saker. Det är alltså en teknik som går att läsa på avstånd. Ofta är avstånden väldigt korta (men det finns undantag). Till exempel finns tekniken inbyggd i alla moderna bankkort. I Sverige mer känt som “blipp”. Denna blipp är en NFC-baserad teknik, som överför information till en betalningsterminal över radiovågor. Tekniken har definitivt gjort det smidigare att betala småsummor, men det är inte en helt riskfri-teknik.

Skimming (eller skimning på svenska) är det brott där en obehörig person får tillgång till en annan persons bankuppgifter. På 90-talet gjordes det enkelt genom magnetremsorna som finns på betalkorten. Informationen på magnetremsan var inte krypterad, så man behövde bara en kopiator som kunde kopiera informationen från magnetremsan för få tillgång till informationen. Det problemet försökte man lösa genom “chip-and-pin” eller EMV-tekniken. Det funkade en korttid, men snart hade brottslingarna klurat ut man-in-the-middle-attacker och skimmingbrotten sköt i höjden igen. Magkänslan säger att sådana attacker har minskat igen mycket tack vare att de som bygger bankomater och betalstationer har lärt sig att bygga säkrare maskiner. Men nu finns en helt ny möjlighet för brottslingar, och det är skimming genom betalkortens “blipp”.

Det finns två säkerhetsbrister med denna blipp-teknik. Det första är att för småsummor (200 kr i Sverige) så krävs det inte att man även anger en pinkod. Det har skämtats om att brottslingar kan gå runt och blippa röven på människor med en terminal. Nyligen rapporterades det att man noterat just detta hända på stränder i Frankrike. Men istället för att blippa röven så blippade tjuvarna människors väskor. Verkar mer rimligt att göra så. UD var ute redan för flera år sedan och informerade om risken att bli utsatt för skimming på detta sätt när man är utomlands.

Den andra säkerhetsbristen handlar om att informationen på blippen ligger där i klartext så att vem som helst med en mobiltelefon och en app kan läsa av informationen. Det man kan få ut är namn, kortnumret och utgångsdatumet. Den tresiffriga CVV-koden kan man däremot inte få genom att läsa av kortet med blippen. Men det går fortfarande att använda informationen för att handla, även om man inte har CVV-koden. Det är nämligen inte alla webbutiker som har som krav att man måste ange denna kod, så det går fortfarande att handla även om man inte har tillgång till denna kod, vilket SVT lyckades göra i ett test.

Även när det gäller begränsningen till småsummor så visade säkerhetsforskare nyligen att de kunde komma runt denna begränsning på specifikt VISA-kort och i princip dra hur mycket pengar som helst genom blippen.

Så även om det har ifrågasatts om man verkligen behöver ett skydd mot skimming genom blippen på betalkorten så har vi genom Chipster valt att sälja skimmingskydd för att skydda sina bankkort eftersom mycket pekar på att det här är ett problem som kommer växa innan ansvariga börjar ta tag i problemet, och då är ett skimmingskydd en billig försäkring.