Kontaktlösa betalningar - någon risk?

Allt om hård- och mjukvara samt övriga it-relaterade diskussioner.

 Moderatorer: atoms, Alien

Kontaktlösa betalningar - någon risk?

Inläggav Alien » 2018-08-29 1:54:29

När jag reste till London var jag tvungen att använda mig av den möjligheten, det hade jag aldrig gjort förr.

Det gäller ju summor under 200 kr, så det blir sällan aktuellt i mataffären. Men för att kunna åka tåg från flygplatsen in till London behövde jag kunna blippa.

SvD Näringsliv skrev:Du kan göra köp upp till 200 kronor kontaktlöst varje gång utan att slå din kod i de kortläsare som stöder tekniken. Gör du köp över 200 kronor behöver du koden. Efter ett antal köp, vanligen 4–5, måste du uppge kod, oavsett hur mycket du köpt kontaktlöst för innan. Slumpmässiga kontroller där pinkod krävs vid köp förekommer också.
https://www.svd.se/allt-fler-valjer-att ... ontantlost

Det tycker jag inte stämde. Jag blippade kortet varje gång jag åkte buss el tunnelbana och det var säkert fler än 4-5 g gånger. Åas använde jag koden när jag köpte böcker och kläder, eftersom jag var osäker på vad summan blev i svenska kronor. Huvudräkning är inte min starka sida.

Är mer riskabelt att betala kontaktlöst än att betala på vanligt sätt med kod?

Men många har hört av sig till Konsumenternas bank- och finansbyrå och uttryckt oro över riskerna med ett betalningssätt som varken kräver kod eller legitimation.

– Vi har däremot inte fått ett enda klagomål från någon som råkat ut för stöld genom kontaktlösa betalningar, berättar Fredrik Nordquist, jurist på Konsumenternas bank- och finansbyrå, för SvD.

I och med att kortet har en inbyggd spärr på ett maximalt antal betalningar innan kod krävs, innebär kontaktlös kortbetalning inte någon säkerhetsrisk, menar han.
Alien
Moderator
 
Inlägg: 46091
Anslöt: 2007-08-13
Ort: Mellansvenska låglandet

Kontaktlösa betalningar - någon risk?

Inläggav sebastiann » 2018-08-29 2:15:08

När du åker buss/tunnelbana så köper du bara 1 biljett och sedan så använder du bara blippen för att öppna spärrarna.
Det är altså inte 4-5 "blippar" som kräver kod, utan det är 4-5 köp, altså transaktioner.

När du åker tunnelbanan så gör den bara 1 köp och så är detta köp giltigt i ett visst antal timmar. Sedan när du åker vidare så kommer du upp i gränsbeloppet för dygnsbiljett och då har du fria åk hela dygnet = du kan blippa dig blå utan att den nekar eller frågar efter kod.

(Såvitt jag vet så drar den beloppet motsvarande dygnsbiljett, dvs högsta möjliga summa per dygn, redan vid första blippen mot en spärr, och sedan återbetalar den pengar om du inte kommit upp i beloppet för dygnsbiljett vid slutet av dygnet)

Sedan finns det veckobelopp och månadsbelopp också, när du är uppe i dessa åker du gratis resten av veckan/månaden.

Det apparaten i spärren gör är altså att kolla om du har biljett knutet till ditt kortnummer, har du inte så köps en biljett. Detta är en transaktion. Om du sedan blippar dig igenom 20 spärrar till inom dessa timmar som biljetten gäller, så räknas detta inte som köp och räknas inte in inom dina "4-5 blippar", eftersom spärren ser att ditt kortnummer redan har en biljett och skickar då inte ett nytt köp till banken.

Och varje gång du gör ett PIN-kods-köp så nollställs räknaren. Oavsett om du gör köpet genom att blippa och slå koden, eller om du gör köpet genom att använda chippet och slå koden.

Och du behöver aldrig vara orolig för att det ska bli fel med blippen. Bara blippa på, OM det är så att beloppet är för högt eller du kommer upp i för många blippar på raken så tillfrågas du om kod. Du behöver altså INTE tänka på att räkna om belopp i svenska kronor och sådant, allt det där sköts automatiskt.

-----

När det gäller säkerheten, så behöver du inte vara orolig. Chippet (oavsett om det läses av via kontaktchippet eller via blippen) innehåller en krypteringsnyckel som INTE går att läsa ut.

Denna krypteringsnyckel används för att beräkna ett svar på en slumpvis challenge (precis som att du får slå en kod i din bankdosa som syns på din skärm, och få en annan kod tillbaka som du slår in på bankens webbsida, precis på samma sätt fungerar chippet, bara det att dessa koder utbyts genom luften), som sedan skickas till banken.

Banken använder sedan krypteringsnyckeln som hör till ditt kort, för att beräkna ett förväntat svar, och det ska stämma med svaret som butiken skickade. Om svaret inte stämmer så nekas transaktionen.

Det gör det omöjligt att på något sätt "klona" eller "skimma" ett RFID-chipp eller kontaktchip för betalningar, som följer EMV-standarden.

-----

När det gäller att obehöriga använder kortet så finns den risken, blipp eller ej.
Du skulle bara VETA hur enkelt det är att komma runt PIN-koden. Har själv gjort det på mitt kort när jag inte kommit ihåg koden - och då i butiker jag aldrig handlat i, och även rätt höga belopp.

Bara att säga att man inte kommer ihåg koden. De frågar efter legitimation. Då säger man att man bara glömt legget hemma. Vips så trycker de på en knapp så får man skriva sin namnteckning på kvittot.
Det var den säkerheten det - som bortblåst.

Så skydda ALLTID kortet som om det inte vore någon PIN-kod på det över huvud taget. Låtsas som kortet är helt oskyddat och behandla kortet därefter.
sebastiann
Får inte posta eller skicka pm
 
Inlägg: 1355
Anslöt: 2018-01-19
Ort: 57°45'41.31"N 12°3'40.32"E (CTRL+V i google maps)

Kontaktlösa betalningar - någon risk?

Inläggav Alien » 2018-08-29 2:32:44

sebastiann skrev:När du åker buss/tunnelbana så köper du bara 1 biljett och sedan så använder du bara blippen för att öppna spärrarna.
Det är altså inte 4-5 "blippar" som kräver kod, utan det är 4-5 köp, altså transaktioner.

När du åker tunnelbanan så gör den bara 1 köp och så är detta köp giltigt i ett visst antal timmar. Sedan när du åker vidare så kommer du upp i gränsbeloppet för dygnsbiljett och då har du fria åk hela dygnet = du kan blippa dig blå utan att den nekar eller frågar efter kod.

Det apparaten i spärren gör är altså att kolla om du har biljett knutet till ditt kortnummer, har du inte så köps en biljett. Detta är en transaktion. Om du sedan blippar dig igenom 20 spärrar till inom dessa timmar som biljetten gäller, så räknas detta inte som köp och räknas inte in inom dina "4-5 blippar", eftersom spärren ser att ditt kortnummer redan har en biljett och skickar då inte ett nytt köp till banken.


Men jag var ju i London hela 9 dagar, köpte jag 9 dygnsbiljetter då el vad?

Men möjligen funkade det pga detta:

Och varje gång du gör ett PIN-kods-köp så nollställs räknaren. Oavsett om du gör köpet genom att blippa och slå koden, eller om du gör köpet genom att använda chippet och slå koden.


Men om jag inte köper något där man behöver slå koden, vad händer då?

Och du behöver aldrig vara orolig för att det ska bli fel med blippen. Bara blippa på, OM det är så att beloppet är för högt eller du kommer upp i för många blippar på raken så tillfrågas du om kod.

Jag tyckte inte det fanns någonstans att slå kod i spärren. Alla bara höll sitt kort mot kortläsaren, vare sig det nu var ett bankkort el ett Oyster card.
Alien
Moderator
 
Inlägg: 46091
Anslöt: 2007-08-13
Ort: Mellansvenska låglandet

Kontaktlösa betalningar - någon risk?

Inläggav sebastiann » 2018-08-29 2:36:21

om du var i London 9 dagar så kan du t.o.m. möjligtvis kommit upp i veckobiljett. Kolla ditt kontoutdrag så bör du se hur köpen har skett.

Apparaten håller altså reda på om du har biljett, och hur många biljetter du köpt. Om du kommer upp i beloppet för dygnsbiljett så känner kortläsaren av det automatiskt och då åker du gratis resten av dygnet.

Samma med veckobiljett resp månadsbiljett. När du köpt tillräckligt många dygnsbiljetter att du är uppe i beloppet för veckobiljett, så åker du gratis resten av veckan.
Och samma med månadsbiljett, har du köpt tillräckligt antal veckobiljetter att du är uppe i beloppet för månadsbiljett, så åker du gratis resten av månaden.

Vad menar du med din andra fråga?

Om det inte finns någon knappsats på läsaren så händer en av två saker beroende på hur din bank satt upp sakerna. Antingen skjuts PIN-kod-kravet upp tills du stöter på en blippläsare med knappsats, eller så nekas betalningen. Det är olika på olika banker.
Såvitt jag vet så kör alla svenska banker med att PIN-kod-kravet skjuts upp.

Med blippa och slå kod, så menar jag i butiker som har vanlig kortläsare. Har den stöd för blipp, kan du altså göra ett köp för ett belopp över 200 kr men då får du slå koden efter att ha blippat. Du behöver altså inte själv hålla reda på gränsbeloppet, utan blippen fungerar alltid, oavsett belopp.

Det är altså din bank som automatiskt håller reda på gränsbeloppet, och hur många blippar du gjort, och skickar i så fall en kodbegäran tillbaka till kortläsaren (då får du slå din kod, du behöver INTE använda chippet, utan du kan använda blippen som sagt), och du får slå din kod.
sebastiann
Får inte posta eller skicka pm
 
Inlägg: 1355
Anslöt: 2018-01-19
Ort: 57°45'41.31"N 12°3'40.32"E (CTRL+V i google maps)

Kontaktlösa betalningar - någon risk?

Inläggav Alien » 2018-08-29 2:45:21

Ja, det får jag hoppas. Annars skulle jag inte komma igenom spärren.

Betr att skydda sitt kort så var det en massa människor i tunnelbanan och rätt stressigt. Jag gick med kortet i handen tills jag kom till spärren. Vemsomhelst skulle alltså kunnat riva åt sig mitt kort och sedan använda det kontaktlöst (och annars också om det bara är att skriva sin signatur när man egentligen skulle använt sin PIN-kod).

Tills jag spärrat kortet. Men hur skulle jag bevisa för banken vem jag var i telefon? En speciell kod förstås, som jag inte kom ihåg och glömt ta med mig.
Alien
Moderator
 
Inlägg: 46091
Anslöt: 2007-08-13
Ort: Mellansvenska låglandet

Kontaktlösa betalningar - någon risk?

Inläggav sebastiann » 2018-08-29 2:52:51

Ja. Det är därför det är bra att inte ha för mycket pengar på kontot kopplat till kortet, så att om det sker dumheter så finns det inte mycket pengar att ta.

Och ladda på med mobilbanken alt en dator på hotellet.

Har man inte den möjligheten så är det bra att ha någon i Sverige som har din kod som du kan be och ringa och spärra om du skulle bli av med kortet.
Många banker har också så du kan autensitera med Mobilt BankID över telefon om du behöver spärra. Oftast väljer du då att du inte har telefonbank-kod, blir då kopplad till bankens kundservice och personen på kundservice kommer då kontrollera ditt Mobila BankID.

I vissa fall räcker det med kortnummer. Så att ha ett foto på kortet är bra att ha sparat t.ex. på hotellrummet om du behöver ringa och spärra. Har du kortnumret kan du t.o.m. spärra via Mastercards egna spärrtelefon, då spärrar du i mastercards nätverk utan att blanda in banken: https://www.mastercard.com/met/en/emerg ... index.html
(Välj landet i listan för att få ett avgiftsfritt nummer)
sebastiann
Får inte posta eller skicka pm
 
Inlägg: 1355
Anslöt: 2018-01-19
Ort: 57°45'41.31"N 12°3'40.32"E (CTRL+V i google maps)

Kontaktlösa betalningar - någon risk?

Inläggav nallen » 2018-08-29 7:21:12

sebastiann skrev:Det gör det omöjligt att på något sätt "klona" eller "skimma" ett RFID-chipp eller kontaktchip för betalningar, som följer EMV-standarden.

Det är vad banker, kortutgivare och standardorganisationen påstår.

Jag tror inget är "omöjligt" i såna här sammanhang, det är bara fråga om att det ännu inte finns något allmänt känt sätt att lura systemen. Även om standarden faktiskt, mot förmodan, skulle vara helt vattentät så kommer det att finnas fel och buggar i implementationen från enskilda tillverkare av kort, terminaler eller i de inblandades infrastruktur. Och eftersom det handlar om potentiellt stora pengar så finns det stora incitament att hitta kryphål och utnyttja dem - utan att rapportera det vare sig till tjänsteleverantörerna, myndigheter eller allmänheten. Likaså har de inblandade leverantörerna ett intresse av att hålla eventuella upptäckta brister och bedrägerier hemliga, för att hålla skenet av tillförlitlighet uppe.

Det är alltså direkt felaktigt att tvärsäkert påstå att det är "omöjligt" att '"klona" eller "skimma' chippen - det är bara en fråga om tid och semantik.
nallen
 
Inlägg: 19428
Anslöt: 2006-08-27
Ort: Vid Skogen

Kontaktlösa betalningar - någon risk?

Inläggav sebastiann » 2018-08-29 9:44:01

>> implementationen från enskilda tillverkare av kort, terminaler eller i de inblandades infrastruktur.

Skillnaden är att dessa drabbar bara en viss bank eller inlösare, och då trycker de givetvis ut en fix.

>> ett intresse av att hålla eventuella upptäckta brister och bedrägerier hemliga.
Behöver inte avslöjas för allmänheten, räcker att fixa problemen i hemlighet. Vilket de gör med mjukvaruuppdsteringar som trycks ut till kortläsare.

Dessutom har du PCI DSS, litar du inte på dem? De kontrollerar att kortapparater och liknande följer gällande säkerhetsregler och inte har några brister.

>> "omöjligt" att '"klona" eller "skimma' chippen

Rent teknist sett är chippen omöjliga att klona/skimma - precis som att din bankdosa (om du har en sådan där personlig en från t.ex. swedbank) är omöjlig att klona eftersom koderna byts hela tiden.
sebastiann
Får inte posta eller skicka pm
 
Inlägg: 1355
Anslöt: 2018-01-19
Ort: 57°45'41.31"N 12°3'40.32"E (CTRL+V i google maps)

Kontaktlösa betalningar - någon risk?

Inläggav nallen » 2018-08-29 20:53:42

sebastiann skrev:Dessutom har du PCI DSS, litar du inte på dem?

Nej.

sebastiann skrev:Behöver inte avslöjas för allmänheten, räcker att fixa problemen i hemlighet.

:-)051
Om vi vem som helst, med lämpliga kunskaper, kan kontrollera det så är det inte att lita på.

sebastiann skrev:Rent teknist sett är chippen omöjliga att klona/skimma - precis som att din bankdosa (om du har en sådan där personlig en från t.ex. swedbank) är omöjlig att klona eftersom koderna byts hela tiden.

Upp till bevis!
nallen
 
Inlägg: 19428
Anslöt: 2006-08-27
Ort: Vid Skogen

Återgå till IT-forum



Logga in