Bankernas nya trådlösa bankkort saknar kryptering och kan skimmas direkt från din plånbok, t ex med en gratisapp på en vanlig smartphone. Motsvarande gäller även många andra okrypterade RFID-chip, som t ex passerkort. En av bloggens läsare har tagit fram ett skyddskort som kallas Skimsafe.
![]()
De nya bankkorten (kredit eller betalkort) med trådlösa funktioner saknar alltså kryptering, och kortets uppgifter kan skimmas med allmänt tillgänglig utrustning, exempelvis en smartphone och en gratisapp.
Har du plånboken i bakfickan kan dina kort t ex skimmas genom att någon håller sin mobiltelefon mot din bakficka när du står och knör på tunnelbanan. Man kan också med lite större utrustning och en antenn stor som en bok och tillhörande batteri kopplad till en läsare, t ex placerade i en ryggsäck eller en axelväska, skimma kort på flera meters avstånd.
Sedan är det bara att gå online och använda uppgifterna för köp online i sedvanlig ordning.
Sedan är det bara att gå online och använda uppgifterna för köp online i sedvanlig ordning.
Bankerna prioriterar enkelhet och tjänar enorma pengar på korthanteringen. Så till den grad att när nu nästa generations betalkort införs så har man skippat kryptering och fysisk säkerhet, och inte bara gjort det enklare att betala genom att slippa stoppa in kortet i en kortläsare, utan också gjort det möjligt att skimma kortuppgifterna på distans.
Liknande problem existerar även med passerkort och andra RFID-kort, även om dessa kan ha krypteringsfunktioner om det handlar om specialiserade system. Eventuellt kan man t ex skimma folks kollektivtrafikkort. Jag tänker hotellrumsnycklar. Skimma småberusade hotellgäster med ståndsmässig klädsel i baren på deras rumskort och gå upp och töm rummet.
Tillägg: Hotellnycklar bekräftas av en ledande säkerhetsexpert, de är i princip bara ett serienummer. Kollektivtrafiken kan skimmas, men man har ju inget korrekt kort vid kontroll av kontrollant, så det är knappast någon vits annat än för att komma genom spärrar på Stockholms tunnelbana. Åka fast för ogiltligt färdbevis gör man ändå.
Tillägg: Hotellnycklar bekräftas av en ledande säkerhetsexpert, de är i princip bara ett serienummer. Kollektivtrafiken kan skimmas, men man har ju inget korrekt kort vid kontroll av kontrollant, så det är knappast någon vits annat än för att komma genom spärrar på Stockholms tunnelbana. Åka fast för ogiltligt färdbevis gör man ändå.
Andra säkerhetsproblem är att man på detta vis kan identifiera vilka personer som rör sig på ett visst ställe.
Jag sprang igår på Business Arena Malmö ihop med bloggläsaren Carl, som driver SkimSafe, som har tagit fram en skärmande lösning som gör korten omöjliga att läsa av genom ett skyddande magnetfält på några centimeter. Demonstration nedan.
Det ska som jag uppfattat det inte behövas två kort, om man nu inte har en väldigt tjock plånbok med flera kort.
Alla banker har ännu inte infört de trådlösa korten.
Numera krävs det inte ens PIN-kod vid köp under 200:- SEK på nyare terminaler, vilket även gäller för chip-kort. Banken eller handeln tar risken vid dessa transaktioner, men det krävs många timmars arbete - polisanmälan, kontakt med bank mm - för att få tillbaka sina pengar. Inte bara onödigt arbete, utan också dålig timpenning.
Alla banker har ännu inte infört de trådlösa korten.
Numera krävs det inte ens PIN-kod vid köp under 200:- SEK på nyare terminaler, vilket även gäller för chip-kort. Banken eller handeln tar risken vid dessa transaktioner, men det krävs många timmars arbete - polisanmälan, kontakt med bank mm - för att få tillbaka sina pengar. Inte bara onödigt arbete, utan också dålig timpenning.
Frågan är vad som framöver kommer klassas som vårdslöshet med kortet när man kan få kortet skimmat utan att ens ta fram det och om "visa sig utanför hemmet"kommer klassas som vårdslöshet och inte ge ersättning för förluster från skimmade kort?
Detta inlägg är inte reklam, utan skrivs av mig som allmän upplysning om vad som verkar vara en vettig produkt, som bankernas inkompetens har gjort nödvändig. Jag har fått ett Skimsafekort för att testa produkten.