NRK melder at tyver har stjålet betallingsterminaler fra svenske butikker, og advarer om at dette kan skje i Norge også. Det framheves at ennå er det ingen som vet hvorfor tyvene stjal terminalene.
Det spekuleres i om tyvene er på jakt etter den informasjonen fra kundenes bankkort som kan være lagret i terminalene. Basert på den antagelsen mener BBS i Norge at det ikke er noen grunn til å frykte tilsvarende tyverier i Norge. Flertallet av norske betalingsterminaler lagrer mindre sensitiv informasjon enn de svenske. (Og da er det ikke grunn til å bekymre seg om et eventuelt mindretallav betalingsterminaler heller?) Selv kortnummeret ditt skal være trygt på de norske terminalene.
Problemet med den forsikringen er at man plutselig antar å vite hva tyvene skal bruke de stjålne terminalene til. Jeg tror jeg vil være mer bekymret over at tyvene analyserer utstyret for å finne sikkerhetshull.
Den enkleste formen for misbruk er antagelig å bruke terminalene til å samle inn kortinformasjon fra fremdtige brukere. Det kan gjøres ved at tyvene tar ut det meste av den gamle innmaten i terminalen og setter inn ny som kun skal kopiere magnetstripen og pinkoden til dem som bruker terminalen. Det kan høres ut som et nokså håpløst påfunn ettersom kundene dermed vil ta med seg varer uten å ha betalt for dem, men nå for tiden er det mange som betaler ganske små beløp med kort.
Dersom en butikk bruker en jukseterminal for utvalgte kunder som kjøper for småbeløp, og en vanlig terminal for alle de andre kundene blir kostnaden per kopierte kort ganske liten. Uansett, kostnaden kan den kriminelle få tilbake ganske fort, f.eks. ved å bruke et kopiert kort i butikkens ordinære betalingsterminal eller mer sannsynlig: ved å selge opplysningene eller misbruke det kopierte kortet et helt annet sted.
Brukere har blitt mer oppmerksomme på at utstyr for skimming av kort kan monteres på minibanker. Vil det være helt uventet dersom de kriminelle forsøker å kopiere betalingskort på andre måter?
Kan betalingsterminalene misbrukes på andre måter? Helt sikkert, men jeg tror jeg skal la være å komme med for mange forslag. Det får holde med å nevne ett (som er relativt velkjent for dem som har arbeidet med sikkerhet en stund).
"BBS i Norge at det ikke er noen grunn til å frykte tilsvarende tyverier i Norge," skriver du, og det stemmer nok.
Det som derimot ER forholdsvis vanlig i Norge, er MIDLERTIDIGE tyverier av betalingsterminaler, som returneres med påmontert skimmer.
Alt gjerne i løpet av en natts tilsynelatende "ordinært" innbrudds-raid.
Posted by: Jarle Petterson | 2008.08.17 at 13:51
Jeg bare siterer NRK-artikkelen, Jarle, og gir vel uttrykk for en viss skepsis til utsagnet.
Hva noen regner for "tilsvarende" avhenger av hvor de selv setter rammen for hva som kan regnes for tilsvarende, og dette kan også diskuteres. ;-)
Posted by: Håkon | 2008.08.17 at 18:26
Vi har jo å gjøre med en rimelig kreativ gjeng her, så de har sikkert en tanke med tyveriene, ja.
Posted by: Iskwew | 2008.08.17 at 21:56
Noen av dem er nok ganske kreative, ja, men det som kan være mer skremmende er at noen av dem har svært god disiplin og bruker dette for å gjøre det vanskeligere for både banker og politi å finne ut hva de gjør og å stoppe dem.
Posted by: Håkon | 2008.08.18 at 00:11
Har vondt for å se hva tyvene skal med terminalene, annet enn at de formodentlig er fullstendige amatører. Nå er det riktignok 10 år siden jeg jobbet med betalingsterminaler, men terminalene har neppe blitt mindre sikre med årene.
Håkon har riktignok et (teoretisk) poeng ang. hva de kan brukes til.
Imidlertid blir ikke det noe annerledes enn de steder som allerede har montert en kortleser på tastaturet og raskt sveiper kortet der i tillegg til i terminalen. De får riktignok ikke med seg pinkoden, men det trenger de heller ikke når det gjelder kredittkort. Og de får også betalt for varen de leverer ut.
Jarle P.: du kan ikke sette en skimmer på en betalingsterminal uten at det synes eller uten å ødelegge terminalens basisfunksjonalitet (den slutter helt å virke hvis den fingres med, f.eks. ved å forsøke å åpne den).
Og det er helt minimalt med data som (evt) lagres i terminalen, hvilket også slettes fullstendig om den åpnes.
Og til slutt kan du heller ikke bruke den til å "prøve deg fram" for å finne et korts kode.
Så jeg ville tippe at det er amatører som snart finner ut at det nok finnes enklere måter å svindle på.
Posted by: IvarE | 2008.08.20 at 17:50
Det jeg er mer usikker på ved bruk av betalingsterminaler er hvordan de autentiserer et kort. På en eller annen måte kontakter terminalen banken på, for så å gi tilbakemelding på om du har dekning, om PIN er riktig, og hvor mye som trekkes hvis transaksjonen er godkjent.
Jeg må innrømme at jeg ikke har studert dette, og problemet eksisterer også til en hvis grad ved bruk av minibanker (spesielt de som ikke står direkte i et bankfilial).
For min egen sikkerhet ønsker jeg at informasjonen er kryptert, med forskjellige nøkler for opp og ned trafikk, MAC eller annen hardware identifisering osv. Hvordan kan jeg være sikker på at ingen kan tappe denne informasjonen fra tele eller datalinja som terminalen bruker. Da trenger man jo ikke fysisk bryte seg inn i lokalet der terminalen står, men heller finne et anonymt punkt for å tappe linja.
Minn meg på å aldri bruke kortet når det tilsynelatende ser ut til å være arbeid på telelinjer i området.
Posted by: Skippern | 2008.08.22 at 22:19