Slik kan bankkort svindles i Norge

Selv om du bruker brikken på bankkortet er du ikke sikret mot svindel.

Publisert Sist oppdatert

- Bankkkunder kan ta dette med ro.

Det er Knut Kvalheims reaksjon på den nye svakheten som er oppdaget i bankkort med brikke. Kvalheim er daglig leder i Bankenes Standardiseringskontor (BSK), som har ansvaret for spesifikasjoner og sikkerhetskrav til Bankaxept.

- Angrepet hadde aldri kommet i gang i Norges Bankaxept-system, fortsetter han.

Mann i midten

Den aktuelle svakheten ble nylig avdekket av en gruppe forskere ved universitetet i Cambridge. De klarer å lure engelske bankterminaler til tror at man har tastet inn riktig pin-kode på bankkortet, når man i realiteten bare har tastet inn for eksempel "0000".

For å gjøre dette, fester de offerets bankkort til et standard kortleser, og lager et falsk bankkort som de putter inn i bankterminalen. Det falske kortet er festet til en pc som må skjules, for eksempel i en ryggsekk, hvor også det ekte kortet er koblet til. Terminalen tror offerets bankkort blir brukt når det falske kortet settes inn. Videre sender det falske kortet signaler som forteller terminalen at riktig kode er tastet inn. Dermed blir offerets kort belastet, uten at riktig kode er tastet inn. Og alt ser normalt ut.

Det hele muliggjøres på grunn av såkalt offline-verifisering, som brukes mye i England. Det er altså brikken i kortet som godkjenner koden. Ved å sette seg selv mellom terminalen og kortet, kan man dermed lure terminalen. En demonstrasjon av angrepet er vist på BBC, og kan sees her.

90 prosent online

Kortene som ble testet går inn under EMV-standarden, som også brukes i Norge. Men grunnen til at Kvalheim tar det hele med ro, er at offline-verifisering benyttes lite her til lands.

Bankaxept, som er det mest utbredte systemet for betalingskort i Norge, bruker kun online-verifisering. Det vil si at koden sjekkes opp mot et sentralt register før den godkjennes. Ikke bare opp mot brikken. Forskerne skriver i sin rapport at kort som sjekker pin-koden på denne måten ikke rammes av angrepet.

Av de 1,1 milliardene kjøp med bankkort (debet, ikke kreditt) i 2008, ble 988 millioner av disse utført med Bankaxept-systemer. Altså omlag 90 prosent. Det viser Norges Banks rapporter.

- Den kommunikasjonen man venter på i dette angrepet, kommer aldri i Bankaxept-systemet, forklarer Kvalheim.

Men rundt 10 prosent av kjøpene foregår på utsiden av Bankaxept-systemet, les videre på neste side!