Så kan bedragare blippa för tusentals kronor utan PIN-kod
Ett säkerhetshål har upptäckts som gör att bedragare med hjälp av en mobil-app lurar kassaterminaler i butik så att de kan blippa utan PIN-kod, även om köpet är på tusentals kronor. Metoden går att upprepa ända tills alla pengar på kortet är slut.
För ett par år sedan började banker införda kontaktlösa betalkort i Sverige. Det är betalkort som man “blippar” i kassaterminalen istället för att använda magnetremsa/chip och PIN-kod. Tekniken är smidig och gör det enklare att betala, men bedragare kan också använda tekniken för att stjäla kortuppgifter genom att läsa av betalkort med en mobiltelefon eller en scanner.
– Det är fullt möjligt att göra det genom någons ficka eller handväska, säger Carl Martinsson, säkerhetsexpert på Skimsafe.
Metoden heter trådlös skimning och är känd sedan några år tillbaka. Tidigare har det bara varit möjligt att handla med uppgifterna på internet, där PIN-kod inte krävs. Det nya är att bedragare nu även kan handla i fysiska butiker med de stulna kortuppgifterna genom att blippa utan PIN-kod, tills alla pengar på kortet är slut.
Så går det till – blippa för stora summor utan PIN-kod
Metoden kräver två bedragare i maskopi. Med en app för Android-telefoner så stjäl bedragare nr. 1 betalkortsuppgifterna trådlöst från offret genom att utnyttja den så kallade ”blipp”-funktionen i kortet. Därefter skickar bedragare 1 kortuppgifterna i realtid till bedragare nr. 2s mobiltelefon som kan handla i en fysisk butik utan PIN-kod med de stulna kortuppgifterna via “blipp”-funktionen i sin mobiltelefon.
För att “blippa” utan PIN-kod i butik så använder man en mobiltelefon för att göra köpet. Nästan alla mobiltelefon har idag en inbyggd funktion för att göra “blipp”-betalningar. I telefonen finns en app som lurar kortterminalen att köpet är verifierat med fingeravtryck eller ansiktsigenkänning i telefonen, och därför kräver kortterminalen ingen pinkod vid köp för stora belopp.
Det är omöjligt för personalen i kassan att se att inte korrekt verifiering sker, säger Carl Martinsson.
– Det räcker att du tittar på din mobiltelefon eller håller tummen mot skärmen.
Så skyddar du dig
Som tur är finns det ett enkelt sätt att skydda sig mot den här typen av attack. Grundproblemet är att kontaktlösa betalkort, eller så kallade “blipp”-kort, är aktiva och går att läsa av hela tiden. Därför behöver man skydda sitt kort mot skimning. SkimSafe-kortet är ett skyddskort som är utvecklat just för att skydda dig och dina betalkort mot trådlös skimning och bedragarnas nya metod för köp utan PIN-kod.
När du placerar SkimSafe-kortet tillsammans med dina bankkort, betalkort eller kontokort så är det omöjligt att genomföra trådlös skimming av dina kort. SkimSafe-kortet skyddar alla kort som befinner sig inom ca 3cm från SkimSafe-kortet.
Klicka här för att köpa SkimSafe-kortet med fri hemleverans direkt i din brevlåda.
SkimSafe-kortet kan även köpas hos Clas Ohlson, MediaMarkt, Komplett, Dustin, inkClub mfl.
Här kan du se en videodemonstration av metoden:
Skydda din identitet med SkimSafe! Gör som tusentals andra och skydda dig från ID-kapningar, e-handelsbedrägerier, kapade digitala konton och mycket mer. Vår nya tjänst SkimSafe Online är Sveriges mest omfattande skydd mot moderna bedrägerier – registrera dig idag.
