Med hjälp av två säkerhetsexperter har SVT byggt en scanner som kan kopiera bankkortsuppgifter på avstånd. Scannern är byggd med små medel – och förhållandevis liten kunskap.
På upp till fem centimeters avstånd kan scannern, inom loppet av sekunder, scanna av ett bankkort och lagra informationen den får ut av det.
– Det är inte svårare än så, säger Jan Olsson vid polisens nationella bedrägericenter när han får ta del av en bild på scannern.
Och enligt polisen finns det betydligt mycket kraftfullare scanners på marknaden, om man vet vad man ska leta efter.
– Jag har sett andra antenner, och där man talar om meter istället för centimeter. 8-10 meter, säger Jan Olsson.
Ny teknik
Det hela möjliggörs av tekniken i de nya bankkorten, som i princip alla banker på den svenska marknaden har börjat lansera. Korten kallas kontaktlösa och är till för att du som konsument ska slippa dra eller chippa. Man ska heller inte behöva använda pin. Med ett lätt uppvisande vid terminalen ska transaktionen gå igenom.
LÄS MER: Så vet du om du har det nya kortet
Förhoppningen från handelns sida är att köpen och transaktionerna därmed ska snabbas på.
Kurt Gjesten är vd för Pan-Nordic Card Association, som tillsammans med bland annat kortleverantörerna, Svensk handel och bankerna arbetar med lanseringen av korten. Det är också Pan-Nordic Card Association som branschorganisationen Svenska Bankföreningen hänvisar till gällande frågor.
– Om inte vi lanserar den här tekniken kommer någon annan göra det inom kort. Det handlar om att skydda vår marknad, säger Kurt Gjesten.
Var femte kort
Idag är omkring 15-20 procent av alla bankkort kontaktlösa. Tanken är att den siffran ska vara betydligt mycket högre inom de kommande två åren.
– Vi tänker att omkring 50 procent av korten ska vara kontaktlösa inom 1,5 år, säger Kurt Gjesten.
Men SVT:s test visar att korten har säkerhetsluckor. För genom den byggda scannern kan kortuppgifter som kortnummer, utgångsdatum och kortleverantör snabbt plockas upp på avstånd.
– Ja, men riskerna är inte större än att du bli bestulen på pengar ur din ficka här och nu?, kommenterar Kurt Gjesten.
LÄS MER: Ansvariga om säkerheten
Med hjälp av en antenn placerad i jackärmen, och en mottagare i en ryggsäck, kunde SVT:s team avläsa kortuppgifterna på utvalda kort i myllret av människor i centrala Uppsala. Testet utfördes i en rulltrappa, en hiss och vid en busshållplats. Testet gjordes under kontrollerad och laglig form.
Säkerheten
Och även om korten är säkrare än tidigare kort, exempelvis magnetremsa-korten, finns utvecklingspotential. Bland annat på krypteringssidan.
– I framtiden ser vi över möjligheterna att hårdare kryptera informationen som skickas mellan kort och terminal. Men just i dagsläget ser vi inget behov av det. Om indikationer kommer på att det skulle behövas, ja då kommer vi gå vidare med det, säger Kurt Gjesten.
LÄS MER: Tillsynsmyndigheten om korten
Med hjälp av kortuppgifterna lades en beställning från en internationell hemsida. För även om man med hjälp av en scanner kan komma över kortuppgifterna, utgångsdatum och korttyp kommer man inte över säkerhetskoden – den så kallade CVC:n.
– Säkerhetskoden får man inte genom detta tillvägagångssätt. Och de flesta svenska sidorna idag har 3d-secure och andrahandsautentisering, säger Kurt Gjesten.
Enligt lektorn i datavetenskap vid Karlstad universitet Stefan Alfredsson finns ändå användningsområden.
– Man kan ju fortfarande använda informationen på vissa hemsidor. Sen så kan man alltid be en hotellreception eller liknande att slå in kortnumret för att göra en betalning. Man kan ju alltid hävda att kortet är trasigt, säger han.
Kan bli mer avancerat i framtiden
Stefan Alfredsson har under flera år forskat på den så kallade RFID- och NFC-tekniken. Den teknik som nu används i de nya bankkorten.
– Tekniken är ganska gammal. Tidigare har man använt den till passerkort och liknande. Det förstår jag inte, då det funnits bättre lösningar. Däremot har bankerna idag tillfört många säkerhetslager – inte bara i korten utan också i infrastrukturen, så i det stora hela behöver det inte vara ett problem, säger han.
Däremot medger han att tekniken öppnar för risker. Speciellt i det förlängda.
– Om man går in på en riktigt avancerad nivå så finns risken att man kan koppla upp en eventuell terminal mot en annan terminal som gör ett köp samtidigt som man använder sitt kort på den första terminalen. Man härmar trafiken som kortet skickar, och använder den till sitt eget köp. Då kan det röra sig om stora summor, säger han.
Enligt polisen är säkerheten gällande kort i Sverige utvecklad och långt gången. Dock kan man som konsument påverkas, även om man drabbas här.
– Kortuppgifterna går alltid att använda utomlands. Då kan det bli dyrt, säger Jan Olsson.
Tekniken gör det möjligt
Carl Martinsson och Björn Granberg arbetar på ett säkerhetsföretag och har länge följt utvecklingen av dessa kort.
Hur är detta möjligt att vi med hjälp av en scanner kan skimma folk på stan?
– Ja, de här nya kontaktlösa bankkorten innehåller ett litet chip som överför informationen trådlöst. Och chippen anropas av en terminal, till exempel en sådan som ni tagit fram, och då svarar kortet med kortuppgifterna, säger Carl Martinsson som är säkerhetsexpert vid Skimsafe.
Men från polisens sida har man än så länge inte sett av mycket av den nya ”skimming-typen”.
– Nej, och det enkla svaret är, tror jag, att det inte har skett så många sådana bedrägerier än så länge, säger Jan Olsson vid polisens nationella bedrägericenter.
LÄS MER: Polisen: Tjuvarna ligger tre steg före
Korten är mer utbredda i andra delar av världen, exempelvis i Storbritannien och Australien.
– Vi följer utvecklingen utomlands. Vi har kontinuerlig kontakt med andra polismyndigheter och helt enkelt delar information med dem.
Enligt Jan Olsson har problem existerat utomlands.
– I vissa länder har det enbart varit marginella problem, men på senare tid har det uppkommit problem i vissa länder, säger han.
Oklar framtid
Och hur stora problemen kommer bli framöver är svårt att säga.
– Det beror helt på hur bankerna väljer att skydda korten. En av anledningarna till att det har blivit ett uppsving av bedrägerier i Storbritannien nu under senare tid är för att reglerna kring korten har förändrats. Man har valt att sätta ett högre tak på vilka transaktioner som kan göras kontaktlöst och inte. Då såg man av en förändring i bedrägerisiffrorna.
LÄS MER: Ann-Christin skimmades på 15.000 kronor
LÄS MER: Platser där risk för stöld finns
Det beror enligt Jan Olsson på att detta i förlängningen skapat mer incitament för eventuella tjuvar att satsa på dessa kort – då allt fler börjat använda korten.
– Det måste vara värt mödan. För idag finns en massa sätt att stjäla på.
LÄS MER: Kortbedrägerierna ökar
Idag är det bankerna själva som bestämmer över vilka summor som kan göras kontaktlöst eller inte. De är även de som bestämmer hur ofta pinkoden ska framtvingas, även om korten är byggda för att fungera utan. Ett exempel kan vara att du som konsument måste slå in pin vid var fjärde köp du gör med ditt nya kort.
EU-regler
För tillfället håller ett regelverk på att tas fram på EU-nivå gällande de nya korten. Hur det regelverket kommer utformas är ännu oklart, men det mesta tyder på att bankernas egna regler idag eller EU:s nya ramverk inte kommer komma åt det eventuella problemet med scannerutrustning.
Men det finns sätt att skydda sig enligt polisen. Om man inte vill riskera något.
– Ja, bland annat kan man köpa en korthållare av metall. De finns att köpa lite varstans och den skärmar av kortet så att signalerna inte kommer in, säger Jan Olsson.
LÄS MER: Så skyddar du dig
– Man skulle kunna beskriva detta som 2000-talets ficktjuvar. Det är en väldigt enkel utrustning
som krävs för att på avstånd stjäla dina kortuppgifter utan att du märker det, säger Björn Granberg, säkerhetsexpert vid Skimsafe.