Chip-und-PIN-Kreditkarten sind in Großbritannien sehr verbreitet, und sie sind in den USA ebenfalls auf dem Vormarsch - sie werden allgemein als bequemer und sicherer angesehen als die lange verwendeten amerikanischen Signaturkarten. Ein Team von Forschern der Universität Newcastle hat jedoch kürzlich einige alarmierende Experimente durchgeführt, bei denen einige Chip-und-PIN-Kartenträger beunruhigt sind. Es ist Zeit, die Fakten zu lernen und sich selbst zu schützen.
Kontaktlose Chip-und-PIN-Technologie
Um genauer zu sein, die Karten, die gefährdet sind diejenigen, die einen RFID (Radio Frequency Identification) Chip verwenden Wie funktioniert RFID Technologie? Wie funktioniert die RFID-Technologie? Was ist in deiner Brieftasche? Haben Sie eine kontaktlose Kredit- oder Debitkarte? Wussten Sie, dass Ihre kontaktlose Karte RFID verwendet? Aber was ist RFID? Lass es uns herausfinden. Lesen Sie mehr, um kontaktloses Bezahlen zu ermöglichen. Dies bedeutet, dass zusätzlich zu einem kleinen Chip auch ein winziger Draht durch die Karte läuft; Wenn diese Leitung in der Nähe eines Terminals vorbeigeführt wird, erzeugt sie eine kleine Menge Elektrizität, gibt Informationen an den Chip weiter und sendet eine Antwort zurück an das Terminal, das die Zahlung autorisiert. Es ist schnell und bequem.
Im Allgemeinen ist das völlig in Ordnung. Banken und Kartenherausgeber benötigen im Allgemeinen keine PIN für kleine Einkäufe (normalerweise bis zu £ 20), und alle sind glücklich. PINs sind für größere Einkäufe erforderlich, wodurch die Wahrscheinlichkeit von Betrug verringert wird. Es gibt auch ein Limit für Offline-Transaktionen - diejenigen, die von der Karte autorisiert sind, aber nicht später von der Bank verarbeitet werden - von £ 100. Leider funktioniert das System nicht ganz wie geplant.
Tricking The Tech
Das Team an der Newcastle University hat einen interessanten Weg gefunden, um die von Visa eingeführten Sicherheitsvorkehrungen zu treffen und es in ihrem Papier "Ernten von hochwertigen Fremdwährungstransaktionen von EMV kontaktlosen Kreditkarten ohne PIN" zu beschreiben. Sie fanden heraus, dass diese Sicherheitsvorkehrungen von ausländischen getäuscht werden Transaktionen, und wird in der Regel ein Terminal eine Gebühr auf der Karte, die bis zu acht Ziffern, die möglicherweise $ 999.999, 99 oder € 999.999, 99 betragen kann. Vermutlich soll dies ermöglichen, dass ausländische Transaktionen mit Währungen getätigt werden, die große Beträge benötigen, wie etwa der japanische Yen, der südkoreanische Won oder die indonesische Rupiah.
Leider weiß der Chip in der Karte nicht, ob es in Japan, Südkorea, Indonesien oder einem Supermarkt in London ist. Es kennt auch nicht den Unterschied zwischen dem kontaktlosen Terminal eines Händlers und einem gehackten Terminal, das in einer Tasche getragen werden kann. Sie könnten denken, dass es schwierig wäre, ein gehacktes Terminal in der Tasche herumzutragen, aber das Team in Newcastle schaffte es, eine App für NFC-fähige Android-Telefone zu schreiben. Der Dieb muss nur die Karte über Ihre Brieftasche winken, wenn sie auf dem Tisch liegt, oder Sie werden mit Ihnen in Kontakt kommen, so dass das Telefon nahe genug an die Karte in Ihrer Tasche heranreicht - es ist wie ein Drive-by-NFC-Hack Drive-By NFC-Hack-Arbeit? Wie funktioniert ein Drive-By NFC-Hack? Weiterlesen .
Diese Methode überspringt nicht nur das £ 20-Limit, sondern umgeht auch das Offline-Transaktionslimit von £ 100, was bedeutet, dass der Dieb weit entfernt von Ihnen sein kann, wenn die Transaktion abgeschlossen ist - selbst wenn Sie eine SMS von Ihrer Bank erhalten Wenn Sie sagen, dass eine verdächtige Transaktion entdeckt wurde, werden Sie keine Ahnung haben, wo Sie waren, als der Dieb Sie traf.
Die Autoren des Papiers sagen, dass, wenn jemand diese Schwäche des Systems ausnutzen würde, sie wahrscheinlich nicht 999.999, 99 $ erhalten könnten, da dies andere Alarme bei der Bank auslösen würde (es sei denn natürlich, Sie sind es) einer jener Leute, die regelmäßig über eine Million Dollar auf ihrer Kreditkarte ausgeben). Selbst wenn sie in der Lage sind, £ 50 von jeder Person, auf die sie stoßen, zu bekommen, kann sich das zu einer riesigen Menge Geld summieren. Mit wie vielen Menschen stolperst du regelmäßig auf der U-Bahn oder gehst du durch eine belebte Hauptstraße?
Dich schützen
Die Autoren des Papiers empfehlen ein paar verschiedene Dinge, die Visa tun sollte, um seine Kunden vor diesen Arten von Angriffen zu schützen, wie immer eine PIN oder Online-Überprüfung vor der Verarbeitung einer Transaktion in einer Fremdwährung erfordern. Visa antwortete auf diese Studie, indem es sagte, dass sie andere Garantien haben und dass dies kein Problem sein wird (aber wir haben solche Dinge schon einmal gehört). Bis Visa bestimmte Korrekturen vornimmt, ist es eine gute Idee, sich selbst zu schützen.
Die einfachste Möglichkeit, dieses Problem zu vermeiden, ist auch die einfachste: Verwenden Sie keine kontaktlosen Karten. Wenn Ihre Bank Ihnen die Wahl bietet, wählen Sie einfach die kontaktlose Option. Ziemlich einfach. Sie können auch beantragen, dass Ihre Bank Zahlungen in ausländischen Währungen auf Ihrer Karte verbietet, wenn Sie nicht häufig reisen. Wenn Sie eine dieser Optionen wählen, müssen Sie sich keine Sorgen machen.
Sie können auch eine signalblockierende Brieftasche verwenden, wie die RFID-blockierenden Geldbörsen, über die wir letztes Jahr gesprochen haben. Was sind RFID-blockierende Geldbörsen und welche sollten Sie kaufen? Was sind RFID-Blocking Wallets und welche sollten Sie kaufen? Wenn Sie wüssten, dass jemand Ihre Kreditkarten, Ihren Reisepass und sogar Ihren Führerschein lesen kann, ohne sie tatsächlich zu durchwischen, würden Sie Maßnahmen ergreifen, um dagegen vorzugehen? Weiterlesen . Es gibt ziemlich Uneinigkeit darüber, ob diese Brieftaschen wirklich effektiv sind und ob sie gebraucht werden, aber wenn man sie benutzt, wird man sie nicht anfälliger für diese Art von Angriff machen. Es gibt viele Optionen, von stilvollen Leder Brieftaschen bis zu robusten Polycarbonat-Fällen, die Sie verwenden können, um Signale zu blockieren. Manche Leute wickeln ihre Karten auch einfach in Alufolie, obwohl die Wirksamkeit dieser Frage in Frage gestellt wurde. Manche Leute empfehlen sogar, eine Altoids-Dose zu verwenden.
Unabhängig davon, ob Visa die Wahrheit über seine anderen Schutzmaßnahmen bei einem solchen Angriff erklärt - und ob RFID-blockierende Geldbörsen wirklich ihre Arbeit verrichten -, ist es wichtig, sich über potenzielle Bedrohungen wie diese im Klaren zu sein. Kontaktlose Karten sind wirklich nützlich, aber sie sind nicht lange in großer Zahl vorhanden, also brauchen wir noch ein wenig Zeit, um sie alle herauszufinden.
Was denkst du über diese Bedrohung? Sorgen Sie sich um die Sicherheit Ihrer kontaktlosen Karten? Verwenden Sie eine kontaktlose Karte oder eine RFID-blockierende Brieftasche? Teile deine Gedanken unten!
Bildnachweis: Kreditkarten in flachem Fokus über Shutterstock (bearbeitet), Swisstack über Wikimedia Commons, Dieb stehlen den Geldbeutel eines Mannes, der auf der Straße geht. Taschendiebstahl auf der Straße tagsüber über Shutterstock.