Ditt nya bankort – en lat ficktjuvs dröm

Du har kanske sett att ditt nya kort från banken har en liten symbol som ser ut så här:

Det är för att kortet har RFID teknologi ( Radio-frequency identification) som betyder att du slipper det ”stora” tidsslöseriet att ta ut kort från plånboken när du ska betala. Du kan bara hålla plånboken emot kortläsaren och *Ping* du är klar.  Underbart, eller hur?

Jag har varit emot det här ända sen jag hörde talas om att kort med RFID började användas i USA.

Då kan man undra om jag bara är emot teknologiska framsteg? Har jag blivit bitter i förtid?

Nejdå, men det här har tyvärr skapat en ny metod för ficktjuvar. Med hjälp av en handhållen scanner kan de stjäla dina pengar, utan att någonsin behöva rota i din ficka och ta plånboken.

Tomas Djurling IT-säkerhetsexpert ger många goda råd

Jag är lite gammaldags när det gäller kriminalitet och mitt expertområde är först och främst den traditionella ficktjuven. Så inför det här blogginlägget intervjuade jag min vän Tomas Djurling som är säkerhetsexpert och ett av hans expertområden är IT-säkerhet. Han berättar att det finns olika metoder en tjuv kan använda sig av när det gäller den nya teknologin.

Skurken kopierar information från ditt kort
Ett sätt är att med sin scanner gå in i en affär som erbjuder den här tjänsten på bankkort. Tjuven kopierar affärens betalstations kommunikations-ID som är trafiken från butikens utrustning och som tar emot betalningar.

Därefter kan skurken stå vid rulltrappan eller gå runt på stan, och för varje person som går förbi och har RFID tjänsten aktiverad på sitt kort gör ett ”köp” från tjuven.

Det här är väldigt svårt att spåra till tjuven eftersom det antingen leder till den oskyldiga affären, eller till en falsk affär som tjuven skapat och som inte längre finns.

Men som tur är finns det en gräns för hur stor summan får vara innan du behöver slå in din kod för kortet. Det innebär att du inte kan förlora allt för stora summor eftersom kortet säger ifrån till slut. Men frågan är – vill vi finansiera de här lata skurkarna?

Om tjuven knäcker krypteringen
Det finns också andra sätt att råka ut för elektroniska stölder och som kan bita dig personligen hårdare.

Är skurken kunnig nog att knäcka kortets kryptering, vilket vi redan vet att de kan, kan de skapa ett eget kort kopplat till ditt konto med hjälp av informationen de scannade från ditt kort. Den inbyggda gränsen för vad man kan spendera kan sitta i kortet eller i kontot. Sitter det i kortet är det möjligt att de kan kringå den med sitt kopierade kort och ta ut så mycket de vill från ditt konto.

Kortinformationen är attraktiv på svarta marknaden
Även om tjuvarna inte är så kunniga på att knäcka krypteringen så kan de ändå med hjälp av informationen från kortet när de går förbi dig, scanna ditt kort och göra köp på sidor utomlands.

På vissa sidor i andra länder krävs inte CVV koden för att handla och då är det enkelt att göra stora köp på din bekostnad. Brotten döms efter de lagar som finns i de aktuella länderna där de begåtts så det kan bli krångligt att försöka lösa dem.

Sist men inte minst kan tjuvarna sälja din kortinformation på nätet och då kan köparen impulshandla med dina surt förvärvade pengar. Idag finns det en stor svart marknad för bankkort, och en skrämmande mängd kortinformation som flyter runt på nätet.

Hur kan jag skydda mig
Så nu känner man sig kanske lite paranoid. Vad ska man då göra åt det här. Det var min nästa fråga till Tomas. Jag ska varna dig direkt, svaret är inte så enkelt som man skulle vilja. Men fortsätt läs, tipsen Tomas gav mig kan potentiellt spara dig en ekonomisk käftsmäll om du skulle råka ut för det här eller liknande stölder från ditt bank-konto.

Hur håller du dig säker? Det här tipsen kan du ta till banken.

Det första jag ska nämna är att olika korthållare och plånböcker har marknadsförts som ska skydda mot scanning av ditt kort. Men det betyder att du fortfarande måste ta ut ditt kort för att betala, vilket essentiellt tar bort mycket av tanken med tjänsten.

Tomas var dock tydlig med att dessa produkter måste vara rätt gjorda. Det ska vara blyinfattad metall i korthållaren eller plånboken för att blockera alla radiovågor. Lägger du kortet i en vanlig metallkorthållare finns det risk att metallen till och med agerar som antenn och förstärker radiovågorna. Alltså motsatt effekt till det du vill ha!

har du den här lösningen gäller det att du litar på att produkten är korrekt gjord. Om det inte är jätteviktigt för dig att ditt bankkort inte är avundsjuk på ditt SL-kort så finns en annan lösning:
Avaktivera tjänsten!

Se till att banken tar sitt ansvar
Beroende på bank så behöver du aktivera tjänsten när du får ditt kort, så det är möjligt att den är avstängd till att börja med. Det bör vara det första du ska kontrollera. Men läskigt nog fick jag veta att beroende på hur BRA banken avaktiverar tjänsten så kan den eventuellt fortfarande funka. Och då blir det svårt för dig att helt skydda dig.

Nästa steg är alltså att bokstavligen ge tipsen till banken. Eftersom säkerhetsluckorna i de fallen finns i banken måste du se till att hålla dem ansvariga om någon skyfflar ut dina pengar ur deras luckor.

Det här blir lite juridiskt, och du kanske är som jag – hatar sånt. Men vänta lite till med att stänga fliken, för det här kan vara skillnaden mellan att hoppa bungyjump med eller utan lina om du råkar ut för en elektronisk tjuv.

Säg till banken var (kassa)skåpet ska stå.

För att summera det hela, se till att din bank är ansvarig om ditt konto blir bestulet.

För många banker känns det lättare att betala tillbaka det kunder blir bestulna på än att lägga tid och pengar på att fixa säkerheten. Men det betyder inte att de inte kan slingra sig och lämna dig med notan.

Ditt mål är att få skriftligt vad bankens ansvar är i såna lägen. Användaravtalet rekommenderas att läsa, men om du som jag inte förstår vad jurister generöst kallar svenska, be någon kunnig att hjälpa dig. Det viktigaste är att kontakta banken och det ska du göra via mail. Svaren du får tillbaka räknas då som skriftligt.

Kontakta banken via mail och fråga:

  1. Jag vet att jag kommer få/har ett sånt här kort, vilka säkerhetsrisker innebär det? Hur kan jag som kund hos er skydda mig och vilket ansvar har ni?

  2. Avvaktivera tjänsten om du inte ABSOLUT behöver den, och fråga banken om du till och med kan ta bort tjänsten helt och få ett vanligt kort utan funktionen.

  3. Få i skrift (dvs på mail) att det är helt avstängt och inte går att använda.

  4. Be att få användaravtalet förtydligat och skriftligt bekräftat att de är ansvariga om ditt konto hackas. Godkänd inte bara ett hemskickat juridiska avtal, utan du ska få det förtydligat.

  5. Spara mailen!

Om avtalet inte är till din fördel – byt bank!

Det här bör du göra på direkten, det kan vara försent när något redan har hänt.
Om du råkar ut för att ditt kort blivit scannat och använt ska du göra följande: 

  1. Spärra kortet!!

  2. Prata med banken och tala om vad som hänt, och fråga vilka risker som finns nu? Utomlands kollas inte alltid korten om de är spärrade så beroende på det landets regler kan pengar ändå dras.

  3. Tomas tips var också att ha en checklista på vad som ska göras om du råkar ut för ett kortbedrägeri. Det kan du ha i mobilen och/eller på kylskåpet med telefonnr och vilka frågor du ska ställa, så du i paniken inte glömmer något.

All ny teknologi har barnsjukdomar, och det är möjigt att den här tjänsten kanske kommer bli mycket säkrare i framtiden. Men i nuläget känns det inte värt risken för mig.

Nu ska jag skydda mitt eget kort
Jag har själv fått ett nytt kort med den här funktionen och kommer gå igenom alla de här stegen, ställa frågor till banken och få deras svar på mail så jag har det i skrift. Om jag väger jobbet att checka av de här punkterna mot riskerna är det ett enkelt val!

Jag vill ge ett stort tack till Tomas Djurling för att han delade med sig av sin kunskap och hjälper oss alla bli säkrare.

Som alltid, om du fann nytta i den här artikeln, dela den så fler kan få informationen som kan rädda plånboken.

Om du har några frågor om säkerhet, scams eller tjuvar du vill att jag ska ta upp skicka mig ett mail.

info@ficktjuv.se

Tack för att jag fick stjäla lite av din tid.

Mvh

Robert Ace

 ——————————

Stort tack till dagens expert: Tomas Djurling.

Foto: Kristina Sahlén

Tomas är en av Sveriges mest eftertraktade föreläsare inom IT-säkerhet

och har en långtgående bakgrund i den svenska underrättelsetjänsten FRA.

Du kan ofta se honom tipsa oss i media hur vi ska bli säkrare.

Postat i På den säkra sidan, Uncategorized