image

"Ontwerpfout in wachtwoordbeveiliging creditcards"

zondag 4 december 2011, 12:43 door Redactie, 3 reacties

Er zit een ontwerpfout in het beveiligingsprotocol dat creditcardmaatschappijen gebruiken om creditcardhouders tegen fraude te beschermen. In 2001 introduceerde Visa het 3DS-protocol (3 Domain Secure), om online fraude met creditcards tegen te gaan. 3DS staat beter bekend als "Verified by Visa", "MasterCard Secure Code" en “SafeKey”. Volgens Rik Ferguson van anti-virusbedrijf Trend Micro, biedt het op de manier waarop het nu geïmplementeerd is geen bescherming tegen cybercriminelen

"Het probleem ontstaat door een basale ontwerpfout." Als een klant via het protocol iets bij een webwinkel koopt, wordt hij tijdens het betalingsproces naar een 3DS verificatiepagina doorgestuurd. Op deze pagina kan de klant de details van de transactie bevestigen door zijn wachtwoord in te voeren en zo de bestelling af te ronden. Op deze manier krijgt de webwinkel nooit het wachtwoord te zien, maar is die toch nodig om de transactie af te ronden. Zodoende zou de klant beschermd moeten zijn, ook al wordt de webwinkel gehackt.

Wachtwoord
Volgens Ferguson is dat niet het geval, want als een cybercrimineel de creditcardgegevens heeft, maar niet het wachtwoord, kan hij dit op kinderlijke eenvoudige wijze resetten. De eerste stap voor het wijzigen van het wachtwoord is het opgeven van het creditcardnummer. Vervolgens wordt om de beveiligingscode, verloopdatum, uitgiftedatum en geboortedatum gevraagd.

"Drie van de vier gegevens zin al tijdens de creditcarddiefstal buitgemaakt", aldus Ferguson. De virusbestrijder merkt op dat het vinden van de geboortedatum door sociale netwerken maar ook openbare gegevens vrij eenvoudig is.

E-mail
Heeft de crimineel de gegevens ingevoerd, dan kan hij een nieuw wachtwoord kiezen. De oorspronkelijke creditcardhouder wordt nooit per e-mail over het aangepaste wachtwoord ingelicht. De fraude wordt dan ook pas zichtbaar op de afschriften. Ferguson adviseert creditcardmaatschappijen om een 'reset URL' naar een geregistreerd e-mailadres te sturen, waarmee de houder het wachtwoord kan resetten. Is het wachtwoord gewijzigd, dan zou er een bevestigingsmail moeten worden gestuurd.

Reacties (3)
05-12-2011, 11:00 door Anoniem
De eerste stap voor het wijzigen van het wachtwoord is het opgeven van het creditcardnummer. Vervolgens wordt om de beveiligingscode, verloopdatum, uitgiftedatum en geboortedatum gevraagd.

"Drie van de vier gegevens zin al tijdens de creditcarddiefstal buitgemaakt", aldus Ferguson.{/quote]

Ik vraag me af hoe Ferguson hierbij komt want de beveiligingscode mag wettelijk gezien nooit worden opgeslagen door de webwinkel.
De hacker zou eerst zelf alle transacties moeten onderscheppen en loggen om de code's buit te maken.
05-12-2011, 11:53 door 0101
Geboortedatum wordt vaak standaard opgeslagen door webwinkels, dus als de webwinkel gehackt wordt zit je sowieso met de gebakken peren. Hoewel @Anoniem 11:00 wel een goed punt heeft; als een webwinkel zich aan de wet houdt (hoeveel webwinkels laten je je gegevens nog via een onversleutelde verbinding versturen en schenden daarmee de privacywetgeving?..) kan een hacker niet direct iets met je gegevens.
05-12-2011, 12:11 door Anoniem
Hi guys, I wasn't referring to the shop being hacked, but if the criminal is using a stolen credit card to make a purchase, they already have all the card data. Being able to enter it is not proof of anything.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.