Rfid-chips op credit cards zenden zelf geen signaal uit, maar ze reageren wel op radiogolven van de kaartlezer en sturen vervolgens de energie terug in de vorm van een code. En die techniek blijkt nu uiterst gevoelig voor fraude.

Britse radiozendamateurs waarschuwen dat er andere frequenties moeten worden gebruikt voor het uitlezen van van credit cards met rfid chip. In Europa wordt voor het uitlezen namelijk vaak 433.920 MHz gebruikt, terwijl deze frequentie vrij toegankelijk is voor radiozendamateurs. Ook 13.560MHz in de HF-band wordt niet veilig geacht. De zendamateurs adviseren het gebruik van microgolffrequenties van 2,45 GHz of hoger.

Simpel skimmen

Al enkele weken circuleert een opmerkelijke video op internet, waarin de Amerikaanse beveiligingsexpert Walt Augustinowicz met een laptop en een draadloze kaartlezer door de straten van Memphis loopt. Binnen een minuut heeft hij de gegevens van credit cards met rfid-chip op zijn notebook staan, simpelweg door die heel even in de buurt van een broekzak of tas te houden.

Voor het skimmen van rfid credit cards was al vaker gewaarschuwd. Onderzoekers uit Massachusetts hebben de technologie om gegevens draadloos uit te lezen al in 2006 gedemonstreerd. Het verhaal was toen dat het risico beperkt bleef tot de eerste generatie rfid-kaarten.

Speciale portemonees

Alleen al 140 miljoen Amerikanen lopen op dit moment risico het slachtoffer te worden van elektronisch zakkenrollen, beweert Augustinowicz. De dief hoeft alleen maar te investeren in een kaartlezer van 100 dollar. Daarmee kan hij nagenoeg alle gegevens van een credit card met rfid-chip lezen, inclusief de vervaldatum. Een crimineel zou met deze techniek makkelijk 200 tot 300 credit card nummers per dag kunnen verzamelen. Augustinowicz zegt dat hij met de credit card-gegevens al allerlei spullen heeft kunnen bestellen.

Amerikaanse paspoorten die na 2006 zijn uitgegeven bevatten overigens dezelfde chip. De naam, geboortedatum, de foto en andere informatie kunnen eveneens draadloos worden uitgelezen.

Amerikaanse banken nemen de dreiging blijkbaar serieus. Ze verstrekken al speciale portemonnees die ervoor zorgen dat de gegevens niet uit te lezen zijn. Ook Augustinowicz levert via bedrijf Stronghold dergelijke beschermhoezen. Aluminiumfolie zou eveneens helpen.

Kritiek

Het Identity Theft Resource Center zegt dat er geen gevallen van rfid skimmen bekend zijn. De staat Californië heeft rfid-skimmen in 2008 zelfs strafbaar gesteld, maar Augustinowicz stelt dat de fraude bijna onmogelijk is op te merken. Hij vindt credit cards met rfid ronduit onveilig. “Je kan net zo goed je credit card nummer op je T-shirt schrijven”, zegt hij.

Anderen zijn wat kritischer. De Card Verificiation Code (CVC), die toch voor veel online transacties wel vereist is, wordt bijvoorbeeld niet meegekopieerd. Verder zijn in nieuwere kaarten de namen van de kaarthouders niet leesbaar.

In Nederland

In Nederland zijn ook credit cards en bankkaarten met rfid chips in omloop, al zijn het er niet veel. Visa ontwikkelde zo’n kaart voor Heineken. ABN Amro heeft afgelopen zomer een interne proef achter de rug voor draadloos betalen met een bankpas. Met de betaalwijze zijn bedragen tot 25 euro af te rekenen. De pas is volgens ABN Amro ‘zwaar beveiligd’.

In een email aan Webwereld meldt Walt Augustinowicz dat zijn apparatuur ook kaarten kan uitlezen met de EMV-chip, die in Europa steeds meer wordt gebruikt. “Ik heb mijn apparatuur met weinig gebouwd, het was relatief makkelijk.” Ook hogere frequenties zouden volgens hem geen definitieve uitkomst zijn, al zijn ze wel beter te blokkeren.