I Norge i dag så er kopierte kort stort sett et problem på terminaler som er offline, typisk parkeringsautomater og parkeringshus. Alt annet blir plukket opp så fort at det sjeldent lønner seg for selv den mest dedikerte skurken. Det har vært et par gode DefCon-talks om det, kan være verdt å sjekke ut om man syntes det er interessant.

Jeg husker ikke hva jeg har sett, men denne kom opp på Google: https://www.youtube.com/watch?v=lucp2isxpAc



Ja, egentlig. Det er noen svakheter i implementasjonen, som at f.eks. kontaktløs betaling ikke krever PIN før en viss sum eller antallet transaksjoner, og at dette blir håndhevet av front end processor (FEP), som ikke er din bank, men som banken din stoler på.

Nå kommer det nye EU-regler på denne fronten mener jeg å huske, så da tettes nok det hullet også. Du kan ha opplevd akkurat det problemet i utlandet, hvor du enten fikk avvist fra terminalen (banken din stusset på transaksjonen og ville ha PIN, når en terminal har avvist kontaktløs emv så må den bruke PIN på neste) eller at du får kjøpt for mer enn 600,- totalt i ett enkelt kjøp.

(Dette er langt unna mitt fagfelt, så tar forbehold om at jeg mikser litt terminologi her...)

Må det?

Påstand: I skrivende stund har ingen troverdige aviser rapportert om faktisk forekomst av RFID-skimming "in the wild". Det kan ha ulike forklaringer:

1. Det forekommer i ganske utstrakt monn, men avisene har bare ikke fått det med seg eller tatt seg bryet med å skrive om det.
2. Det forekommer ikke.

Hva er mest sannsynlig, 1 eller 2? Så, hvorfor forekommer det ikke ute i felt? Kan det være fordi...

1. De kriminelle gidder ikke å prøve, til tross for at det er skikkelig enkelt.
2. Det er ekstremt vanskelig eller endog helt umulig.

Hvis det bare var å kjøpe en duppeditt fra alibaba og laste ned noe ferdig kode fra bukta... Så hadde vi kanskje hørt om det?