Onderzoekers hebben een manier ontdekt om op Britse betaalautomaten ingevoerde pincodes dankzij een paperclip te stelen. Voorheen probeerden pinpasfraudeurs de pincode via verborgen camera's te filmen. Om de efficiëntie te verhogen werden daarna de apparaatjes zelf vervangen. In Nederland gebeurde dat op grote schaal met de HFT201.
Onderzoekers Steven Murdoch en Saar Drimer hebben nu ontdekt dat bij verschillende modellen, waaronder de Ingenico i3300 en Dione Xtreme, er kabels van de betaalautomaat zijn waarover onversleutelde pingegevens worden verstuurd. De betaalautomaat zou tegen fysieke aanvallen beveiligd moeten zijn, die is echter vrij simpel via een paperclip te omzeilen, waarna de informatie af te tappen is. "Deze aanval is in staat om de pincode te stelen omdat Britse banken voor goedkopere kaarten hebben gekozen die geen asymmetrische cryptografie gebruiken om de data tussen de kaart en automaat te versleutelen", aldus onderzoeker Saar Drimer.
En dit bracht meteen een tweede probleem aan het licht, namelijk de certificering van de machines. Visa certificeert betaalautomaten aan de hand van hoe ze voorkomen dat pincodes gestolen worden. Een van de vereiste is het gebruik van 3DES om de pincode te versleutelen zodra die wordt ingevoerd. Doordat het niet mogelijk is om ingevoerde codes direct te versleutelen is er enige vrijheid wanneer dit moet plaatsvinden. Het feit dat deze betaalautomaten toch gecertificeerd werden is omdat de onversleutelde data zich binnen het apparaatje bevindt.
"Niets aan de hand"
Visa en betrokken fabrikanten ontkennen dat er een gevaar is en dat de aanval alleen in een testomgeving mogelijk is. Daar zijn de onderzoekers het resoluut niet mee eens, omdat er al gevallen bekend zijn waarbij er via deze manier pincodes werden gekopieerd. Dimer spreekt zelfs over één geval waarbij er een bedrag van acht cijfers werd gestolen.
Een ander opmerkelijk punt is dat de onderzoekers Visa en de fabrikanten van de betaalautomaten al in november vorig jaar hebben ingelicht en dat er pas vorige week voor het eerst werd gereageerd. Visa deed dit slechts enkele minuten voor de presentatie. "De geleerde lessen zijn niet beperkt tot het geldverkeer. Andere gebieden, van stemcomputers tot medische dossiers, leiden aan dezelfde combinatie van stomme fouten, slechte controles en tegenwerkende autoriteiten. Het publiek wordt gedwongen om op de veiligheid van een systeem te vertrouwen. We hebben eerlijke evaluaties van de beveiliging nodig die openbaar zijn en open voor kritiek", aldus professor Ross Anderson.
Deze posting is gelocked. Reageren is niet meer mogelijk.