Visa wist van risico's rfid-chips
Gepubliceerd: Vrijdag 18 maart 2011
Auteur: Jan Libbenga
Credit card-maatschappij Visa wist van de risico's van het gebruik van rfid chips. Dat blijkt uit octrooidocumenten. Gegevens van dit soort credit cards kunnen makkelijk draadloos worden uitgelezen.
De Amerikaanse beveiligingsexpert Walt Augustinowicz demonstreerde de afgelopen maanden hoe je met een laptop en een draadloze kaartlezer gegevens van credit cards met rfid-chip kunt uitlezen, simpelweg door die laptop heel even in de buurt van een broekzak of tas te houden.
Bekend bij Visa
Rfid-chips op credit cards zenden zelf geen signaal uit, maar reageren wel op radiogolven van de kaartlezer en sturen vervolgens de energie terug in de vorm van een code. Deze techniek blijkt uiterst gevoelig voor fraude.
Dat was ook Visa bekend, zo blijkt uit documenten die Tv-zender KWGN uit Denver in handen heeft gekregen. Daarin sluit de directeur van de afdeling productontwikkeling van Visa niet uit dat de technologie zal worden gebruikt voor dataskimming. En ook dat RF uitleesapparaten zullen worden ontwikkeld met een groot bereik, waarmee dataskimmen makkelijker wordt.
De directeur zegt dat de mogelijkheid van elektronische zakkenrollerij een 'groot punt van zorg is voor consumenten en zakelijk gebruikers'. En ook dat het probleem kan worden verholpen als de rfid-kaart in een speciale beschermende portemonnee wordt gestopt.
Nooit gewaarschuwd
Toch hebben de credit card maatschappijen gebruikers van de rfid credit cards nooit gewezen op de gevaren, hoewel credit card kaarten met rfid al sinds 2005 bestaan. In Europa zijn ze nog maar mondjesmaat in gebruik, onder meer in Polen, Hongarije, Duitsland en Engeland (Lloyds). Visa heeft inmiddels een aantal klanten voor zijn Visa Paywave, maar nog niet in Nederland. "Om contactloze betalingen in Nederland kunnen aanbieden moeten we wachten op zogeheten EMV-terminals", zegt Michiel Wielhouwer, VP Benelux. Die infrastructuur is eind dit jaar gereed.
De credit card maatschappijen houden echter vol dat er voldoende beveiligingsmiddelen zijn ingebouwd voor transacties. Dat zegt ook het Amerikaanse Identity Theft Resource Center (ITRC). Hoewel de gegevens kunnen worden uitgelezen, is het niet zo dat die kunnen worden gebruikt voor transacties. Zo worden voor betalingen unieke codes gegenereerd die geverifieerd moeten worden bij de betaalterminal. Visa accepteert alleen betalingen als de kaart op enkele centimeters afstand van de betaalterminal wordt gehouden.
Via e-mail laat Visa aan Webwereld weten dat "er geen toename is geconstateerd van fraude sinds de introductie van contactloze kaarten, en zelfs geen enkele frauduleuze handeling. Ook al kan de fraudeur beschikken over het kaartnummer en de vervaldatum, de veiligheidscode op de achterkant wordt niet meegezonden. Er kunnen bovendien alleen kleine betalingen worden verricht zonder PIN code."
