Tæppetyv er navnet på attack-vektorn mot kontaktløs betaling. Er det sikkert å tæppe? Eller må ekstra skydd implementeres? Visa sier;
Kan man få fatt i pengene mine ved å komme nær telefonen min?
Nei. PIN-koden, og ansikt- eller berørings-ID på visse telefoner gjør mobilbetaling sikkert. Det betyr at ingen kan bruke din telefon som betalingsmiddel eller på annen måte få tak i pengene dine.
https://www.visa.no/pay-with-visa/featured-technologies/taepp.html#5
Men jeg er ikke enig. Mange ganger er det mulighet å tæppe uten varken PIN-kode, ansikt- eller berørings-ID. En annan problemstilling er att det ikke er mulighet for å deaktivere funksjonen fra kortet. Så i teorin er ALLE betalkort i Norge i risk for å bli missbrukt.
Sparebank1 sier:
Er det sikkert å bruke kontaktløs betaling?
Kontaktløs betaling følger internasjonale standarder og strenge sikkerhetskrav. Du kan betale for beløp inntil 500 kroner per varekjøp. Ved jevne mellomrom blir du bedt om å taste PIN-koden din for å bekrefte at du er riktig eier av kortet. For beløp over 500 kroner må du fortsatt bruke PIN-kode, men du slipper å sette inn kortet i terminalen.
https://www.sparebank1.no/nb/bank/privat/daglig-bruk/kort/kontaktlos-betaling.html
Hvordan kan en tæpping-attack (Tæppetyv) gå til?
Eksempelvis en nyere iPhone, telefonen fungerer som en NFC-leser – og som ett NFC-kort. NFC-kortet ger mulighet for å betale med kontaktløs betaling, tæpping, via tjenesten Apple Pay. NFC-lesere ger mulighet for å ta betalt med telefonen likt en betalingsterminal mot ett betalingskort med støtte for tæpping.
I teorien kan noen med sin iPhone tæppe mot lommeboken eller telefonen/klokken til offeret og på så vis stjele penger. Beløpet trenger å være lavt nok til å ikke trigge krav om pinkode. I en fullstappa buss, på en konsert eller utested når folk inte reagerer på fysisk kontakt – er perfekte plasser for å utføre ett liknende angrepp.
Hvorfor skrives det ikke mer i media om dette?
Risken å bli utsatt er liten, men mørketallet kan være stort, hvor stort vet bare bankene.
Hvor utbredt er bruken av tæpping?
I januar 2019 var det 8,2 millioner kortkjøp som ble gjennomført kontaktløst. Et år senere tæppet nordmenn 44,3 millioner ganger med BankAxept-kort en økning på hele 440 prosent.
https://www.nets.eu/no-nb/nyheter/Pages/Kjempevekst-for-kontaktl%C3%B8s-betaling-.aspx
Eksempel fra verkligheten på en tæppetyv
«Think that limit on contactless payments is going to protect you from big thefts? Think again. Security researchers have found a way to bypass that limit on Visa cards. Their hack, which isn’t limited to U.K. cards, could let opportunistic crooks drain accounts with a single tap, and they claim they don’t even need to steal the credit card.«