En brittisk forskargrupp visar att det är möjligt att kringgå gränsen på 25 euro för kontaktlösa kort. För Visa finns det dock inga verkliga risker
Kontaktlösa kreditkort från Visa-kretsen kan ha säkerhetsproblem. Det anser åtminstone säkerhetsforskare som i samarbete med Forbes brittiska redaktion har lyckats göra betalningar på över 25 euro utan att ange en PIN-kod.
Korten skulle kunna hackas med hjälp av "man in the middle"-attacker, vilket skulle göra det möjligt att "ta ut" mer pengar än vad säkerhetströskeln tillåter. Enligt de experiment som forskarna har utfört "i labbet" finns det ingen gräns för hur mycket som kan tas ut från kortet med detta system, vilket innebär att risken för bedrägerier är mycket hög. Även om detta bedrägeri simulerades i Storbritannien är det möjligt överallt eftersom det skulle bygga på sårbarheter som är inneboende i det sätt på vilket kontaktlösa transaktioner genomförs. Men i ett svar till Forbes anser Visa att det inte finns någon verklig fara för användarna och deras kontaktlösa kort och att det därför inte finns någon lösning.
Hur bedrägeriet med kontaktlösa kort fungerar
För att låsa upp kontaktlösa kort för PIN-fria betalningar på över 25 euro har forskarna använt sig av specialbyggd hårdvara för att avlyssna och modifiera kommunikationen mellan kortet och läsaren. Man kan till exempel få kortet att tro att det inte behövs någon kontroll, till exempel att ange en PIN-kod, även om det begärda beloppet är över 30 pund (bluffen har prövats i Storbritannien, men fungerar överallt i världen). På så sätt godkänner kortläsaren transaktioner av vilket belopp som helst.
Det är också möjligt att använda en smarttelefon för att trycka på ett kort och klona det under en kort tid: smarttelefonen lyckas fånga upp det så kallade betalningskryptogrammet från kortet, vilket garanterar äktheten av framtida betalningar. Kryptogrammet kan sedan skickas till en andra telefon som simulerar en mobilbetalning med det klonade kortet. Hackare kan sedan överskrida det maximala beloppet genom att utföra samma man-in-the-middle-attack som beskrivs ovan.
VISA: ingen verklig risk
En talesperson för VISA bekräftar att denna sårbarhet finns i kretsen, men tonar ner risken för innehavare av kontaktlösa kort: "En viktig begränsning för denna typ av attack är att den kräver ett fysiskt stulet kort som ännu inte har rapporterats till kortutgivaren. Dessutom måste transaktionen passera utfärdarens validerings- och upptäcktsprotokoll. Det här är inte en skalbar metod för bedrägerier som vi vanligtvis ser brottslingar använda i verkligheten."