Digital

Bør du beskytte bankkortet ditt mot trådløs svindel?

Det ligger syv millioner kontaktløse betalingskort i norske lommebøker.

Det finnes flere såkalt antiskinning-kort på markedet. De skal hindre svindlere å lese ut informasjon fra betalingskortene dine med en NFC-skanner. Foto: Geir Amundsen

  • Geir Amundsen
    Geir Amundsen
    Journalist

«Svindlernes sleipe metode kan tømme bankkortet ditt», står det med rød, fet skrift i annonsen til svenske Skimsafe, som vil selge oss «bankkortbeskytter» til 299 kroner.

Det ser ut som et vanlig bankkort og skal plasseres i lommebok eller kortholder.

En innebygd sender vil angivelig forstyrre signalene hvis noen prøver å lese av de kontaktløse betalingskortene dine, såkalt skimming, med en NFC-kompatibel mobiltelefon eller NFC-skanner.

Kortene det handler om å beskytte, er dem du kan holde inntil betalingsterminalen, eller «tæppe» som det også kalles på halvdårlig norsk, og pinkodefritt handle med for opptil 400 kroner.

Et slikt anti-skimming-kort er vel ikke nødvendig, spør kollega Kurt, som har reagert på annonsen.

Kan uvedkommende kopiere kortinformasjon fra det kontaktløse bankkortet mitt når kortet ligger i lommeboken eller jakkelommen, slik annonsen påstår?

Og hvor utbredt er denne typen trådløs skimming?

Mitt umiddelbare svar er at nei, dette trenger du hverken bruke penger på eller bekymre deg for.

– Men la meg ta en sjekkerunde. Det er lenge siden jeg har hørt snakk om problemstillingen.

Skimsafe har vært på den norske markedet i flere år. Foto: Faksimile av annonse

– Null kjente tilfeller av svindel

– Det er syv millioner kontaktløse bankkort med BankAxept i omløp i Norge, men vi kjenner ikke til noen tilfeller av skimming av kontaktløse bankkort.

Det opplyser informasjonssjef Hanne Kjærnes i Vipps AS, som er en sammenslåing av tidligere BankAxept, BankID og Vipps.

– Altså null?

– Ja, og erfaringer fra andre land der kontaktløs betaling har vært utbredt lenger, viser at andelen svindel generelt går ned fordi man eksponerer PIN-koden sjeldnere.

– Hva tenker dere om antiskimming-utstyr av typen Skimsafe?

– Vi tror ikke dette er et nødvendig tiltak og heller ikke noe man bør bekymre seg for i stor grad.

– Men hør med Bits, som vet om det er tilfeller med andre typer kort.

– Har ikke gitt bort Skimsafe til noen i julegave

Eivind Gjemdal er daglig leder i Bits, som har i oppgave å sikre betalingsinfrastrukturen i Norge. De har heller ikke registrert et eneste tilfelle av trådløs skimming i Norge.

– Det er aldri rapportert til Bits at kriminelle har utnyttet den kontaktløse teknologien i kort, hverken ved bruk av betalingsterminaler eller mobile apper. For å si den sånn: Jeg har ikke gitt bort Skimsafe til noen i julegave, sier Gjemdal.

Daglig leder i Bits, Eivind Gjemdal. Foto: Bits

Han understreker at dataene man kan lese med en NFC-skanner, ikke er tilstrekkelig for å kunne gjennomføre en betalingstransaksjon uten tilgang til en betalingsterminal.

– Skulle noen opprette et falskt brukersted og snike seg tett innpå folk med en bankterminal på Karl Johan, vil bankene raskt oppdage at det trekkes penger. De vil enkelt kunne spore transaksjonene og stenge terminalen, forklarer Gjemdal.

Hvis noen skimmer et NFC-kort på gaten, har de heller ikke fått tilstrekkelig informasjon til å produsere et fysisk kort, som kan brukes til å handle på den svindledes konto.

– Lesbare data begrenser seg til kortnummer og utløpsdato, og dette er normalt sett ikke nok til å få handlet med kortet. PIN-koder, CVC-koder og kontonummer er godt sikret.

Svindlerne får ikke tilgang på CVC-koden ved trådløs skimming. Uten koden kan de bare handle på nettbutikker med lavere sikkerhetsnivå. Foto: Geir Amundsen

Forbrukerrådet: – Ikke sett forekomster av slik skimming

Heller ikke fagdirektør i Forbrukerrådet, Jorge B. Jensen, mener trådløs skimming bør uroe noen.

Jorge B. Jensen er fagdirektør i Forbrukerrådet. Foto: John Trygve Tollefsen/Forbrukerrådet

– Annonser om at vi blir loppet for penger ved ufrivillig «tæpping», er godt egnet til å vekke bekymring. Men vi har ikke sett forekomster av slik skimming i våre egne henvendelsesregistre. Heller ikke i Finansklagenemnda eller i andre forbrukerorganisasjoner i vårt europeiske nettverk.

– Opplever du at penger blir trukket fra kortet ditt uten at du kjenner til det, så ta kontakt med banken. Kommer dere ikke til enighet, kan saken overføres til Finansklagenemnda, informerer Jensen.

Skimsafe: – Skimmet kortinformasjon kan brukes til å handle på mange nettsider

Skimsafe hevder de er Norges mest solgte antiskimmingbeskyttelse. Vil de selge oss et produkt vi ikke trenger, og spiller de i annonsen på en ubegrunnet frykt?

– Nei, jeg synes ikke det, sier medgründer og daglig leder i Skimsafe, Carl Martinsson.

– Dere sier ikke noe i den relativt lange annonseteksten om at hverken CVC-kode eller navn på kortinnehaver lar seg lese ut med trådløs skimming?

– Poenget er at denne informasjonen ikke kreves på mange usikre nettsider. Den største risikoen med betalingskort er nettopp såkalt «Card Not Present»-svindel (CNP) eller «kort ikke til stede», hvor man kan betale uten CVC-kode og riktig navn på kortinnehaver.

Martinsson viser til statistikk fra Bits, som avslører at «kort ikke til stede» topper svindelstatistikken knyttet til norske betalingstjenester. Han mener bankene ikke opplyser godt nok om risikoen.

– Blir kontaktløse kort oppfattet som usikre, vil færre bruke dem og bankene tjene mindre penger. Jeg ville likt å se noen dele kortnummer og utløpsdato på Facebook.

Jorge Jensen i Forbrukerrådet mener Skimsafe har et poeng med «kort ikke til stede»-svindel. Han peker på at det vil være vanskelig for forbrukerne å dokumentere at de er blitt utsatt for NFC- skimming, fordi det teoretisk sett kan skje uten at man merker det.

– Forbrukere vil få et bedre rettsvern hvis regjeringen innstiller på forslaget til ny finansavtalelov, som gir bankene større ansvar for å opplyse og avdekke hvordan svindel har foregått.

Les også

Høstens matnyheter: Satser på varer fri for kjøtt, sukker, laktose og gluten.

I 2019 ble det totalt gjennomført 291,5 millioner kontaktløse kortkjøp i Norge. Det tilsvarer 14,7 prosent av det totale antallet kortkjøp. Foto: Geir Amundsen

– Bankene er åpne om risikoen

Eivind Gjemdal i Bits mener bankene er svært åpne om risiko ved kortbruk og allerede tar et stort ansvar.

– Så lenge kunden ikke er uaktsom, dekker banken alle tap som har oppstått på kortet. I de fleste tilfeller er det bankene som informerer om uregelmessigheter på en konto før kunden selv har oppdaget at noe har gått galt.

På spørsmål om «kort ikke til stede»-svindel er dette ifølge Gjemdal et stort problem når det gjennomføres hackerangrep mot butikker som har lagret kortinformasjon.

Data fra slike innbrudd er brukt ved handel der kortet ikke er til stede.

– Hvis noen skimmer et NFC-kort på gaten, får de ikke informasjonen de trenger for å benytte kortet til handel på nettet. Unntaket er begrenset til nettbutikker som aksepterer risikoen for tap ved å ligge på et lavere sikkerhetsnivå enn regelverket krever. Dette er et selvstendig problem som ikke er spesielt relevant for skimming av NFC-kort.

Gjemdal mener risikoen for svindel ved skimming av NFC-kort er lav, og at «tæpping» reduserer eksponeringen av PIN-koder.

– Vi har ikke sett en økning av svindelen etter innføring av NFC-funksjonalitet. Og nei, bankene har ikke større inntekter av at kundene tæpper fremfor å bruke PIN-koden, slik Skimsafe hevder. Dette er en tjeneste som oppleves som enkel, effektiv og brukervennlig for både brukersteder og butikker.

– Ville ikke brent av penger på det

En siste telefon. For sikkerhetens skyld. Den går til seniorrådgiver Vidar Sandland i Norsk senter for informasjonssikring (NorSIS).

– Nei, du trenger ikke et antiskimmingkort i lommeboken. Kriminelle velger minste motstands vei. Hvorfor velge en slik tungvint og risikabel løsning når de enkelt kan kjøpe batcher med kortinformasjon på nett, spør Sandland retorisk. Han peker på at det daglig kompromitteres databaser med betalingskort.

Seniorrådgiver i NorSIS Vidar Sandland Foto: NorSIS

– Vent nå litt, vi selger faktisk et eget antiskimming kort i nettbutikken til NorSIS. 120 kroner tror jeg det koster, og vi er visstnok utsolgt.

– Hva, men du har jo akkurat forklart hvorfor man klarer seg fint uten?

– He, he, ja da, og dette er mest en gimmick fra vår side. Vi ønsker å bevisstgjøre på elektronisk lommetyveri.

– Selv om sannsynligheten for å bli utsatt for trådløs skimming av betalingskortene dine er nesten lik null, kan du ha andre NFC-kort i lommeboken av typen buss- og nøkkelkort, som du ikke vet hva inneholder av informasjon om deg eller hvor godt det er sikret.

– Så du mener likevel at det kan være verdt å investere i slik beskyttelse?

– Nei, jeg ville ikke brent av penger på det. Hverken 299 eller 120 kroner.

Oppsummering

Jeg har notert meg følgende:

  • Det er ingen kjente eller innrapporterte svindelfunn, og risikoen er minimal, mener banknæringen om faren for trådløs skimming av kontaktløse bankkort.
  • Kortinformasjonen som kan hentes ut, er ikke nok til å lage et fysisk kort som kan brukes til å handle på den svindledes konto.
  • Svindlere som sniker en gyldig bankterminal nær nok inntil lommeboken og trekker det PIN-kodefrie maksbeløpet på 400 kroner, er lett å oppdage og et lite sannsynlig scenario.
  • Kortinformasjonen svindlerne kan skanne til seg, kan være nok til å handle på nettsider med dårlig sikkerhet som ikke krever CVC-kode, såkalt «kort ikke til stede»-svindel.
  • Skulle det skje, vil banken høyst sannsynlig ta tapsansvaret. Nye regelverk setter høyere krav til betalingssikkerheten under netthandel.

Det er med andre ord lite som tilsier at kollega Kurt bør bekymre seg eller investere i bankkortbeskyttelse av typen Skimsafe.

Ps! Er du tilhenger av føre-var-prinsippet, men ikke sugen på å svi av 300 kroner på et antiskimmingtiltak som Skimsafe?

Tipset fra Forbrukerrådet er at du pakker de kontaktløse betalingskortene inn i aluminiumsfolie. Det skal visstnok gjøre samme nytten.

Regn med spørsmål og undrende blikk når du drar frem lommeboken med bankkort innpakket i aluminiumsfolie. Foto: Geir Amundsen

Selv betaler jeg med mobilen og lar stort sett bankkort og lommebok ligge hjemme.

Les mer om

  1. butikk

Relevante artikler

  1. DIGITAL

    Betale med Apple Pay eller Vipps i butikken? Se hvilke banker som støtter hvilke betalingstjenester.

  2. DIGITAL

    Slik får du bedre wi-fi på hjemmekontoret

  3. DIGITAL

    Tåler mobil- og bredbåndsnettene at «alle» har hjemmekontor?

  4. DIGITAL

    Høysesong for svindlerne: Her er tipsene som gjør at du ikke blir lurt

  5. DIGITAL

    Kjørte Oslo-Trondheim i 17 minus - kom frem raskere med elbil

  6. DIGITAL

    Rekordår for den norske elektronikkbransjen – her er vinnerne og taperne