Säkerhetsexperter kritiserar svenska kort
Svenska banker och kortutgivare gör nu allt för att tona ner riskerna kring chips och pin-systemet efter förra veckans avslöjande om hur det kan knäckas. Men svenska säkerhetexperter säger sig ha återskapat attacken med svenska kort.
Forskare vid det ansedda Cambridgeuniversitetet slog i slutet av förra veckan fast att även de moderna betalkorten går att använda för att genomföra bedrägerier. Angriparen kan genomföra transaktioner utan att känna till den personliga koden.
Nu uppger säkerhetsexperter på Truesec att de har återskapat attacken och testat en rad kort från svenska banker. Samma brister hittades där som i de brittiska korten. Det avgörande är att korten accepterar verifiering med ickekrypterad pin-kod. Det säger Björn Brolin, säkerhetsexpert på Truesec.
Med hjälp av en kortläsare kopplad till en dator har han gått igenom de svenska korten och kartlagt vilken typ av kodverifiering de godkänner. Slutsatsen är att samma typ av bedrägeri som utfördes av Cambridgeforskarna mycket väl kan genomföras med ett svenskt kort.
Eftersom de svenska korten accepterar den sårbara verifieringsmetoden blir den avgörande förutsättningen huruvida terminalen kräver köp med så kallad online pin. Då verifieras inte din pin-kod mot kortet utan direkt mot kortutfärdaren.
– Om vi ligger bra till så är merparten av de svenska terminalerna skyddade, men man kan inte generellt säga att alla terminaler följer de här kraven, säger Björn Brolin.
Om svenska terminaler skiljer sig från de brittiska som använts av Cambridgeforskarna, som BBC kunde visa, så finns det ändå en möjlighet att ett stulet eller tappat svenskt kort utnyttjas i ett annat land.
Blev du förvånad?
– Ja, det blev jag. Det finns en underliggande tanke om hur smarta kort fungerar, man slår in en pin och öppnar kortet. Helt plötsligt kommer här information om att betalkorten inte fungerar så, säger Björn Brolin.
Bedrägeriet utförs genom att en enhet placeras mellan kortet och läsaren. Den skickar sedan en signal som meddelar att rätt kod knappats in, även om koden i själva verket är fel.
Nu arbetar Björn Brolin och hans kollegor med att ta fram hårdvara och mjukvara för att praktiskt verifiera angreppet.
– Målsättningen är att vara klara inom de närmaste dagarna, säger han.
Erik Nystrup, presschef på Pan-Nordic Card Association, som backas upp av de svenska storbankerna, tonar ner risken. Enligt honom krävs både avancerad utrustning och god teknisk kunskap för att utföra attacken. Dessutom kan den bara riktas mot ett slutet eller borttappat kort som inte är spärrat.
– Vi menar att det inte finns någon risk eftersom det kräver en ganska stor utrustning, säger han.