image

Hacker steelt creditcard door kleding heen

dinsdag 31 januari 2012, 10:34 door Redactie, 18 reacties

Een hacker heeft gedemonstreerd hoe ze creditcardgegevens door muren en kleding heen kan stelen. Het gaat om creditcards met een RFID-chip. Volgens de onderzoekster zijn deze kaarten kwetsbaar voor een moderne vorm van zakkenrollerij. Tijdens de Shmoocon hackercoferentie demonstreerde Kristin Paget hoe ze onzichtbaar de gegevens kan uitlezen, om vervolgens een frauduleuze transactie uit te voeren. De benodigde hardware om de aanval uit te voeren zou slechts een paar honderd dollar kosten.

Op eBay kocht ze voor 50 dollar een Vivotecth RFID-creditcardlezer. Hiermee kan ze alle gegevens van de kaart uitlezen. Via een andere tool van 300 dollar kan ze de gestolen gegevens op een lege kaart kopiëren. In de Verenigde Staten zouden er inmiddels zo'n 100 miljoen RFID-creditcards in omloop. Visa noemt de technologie payWave, bij MasterCard heet het PayPass, terwijl American Express het tot ExpressPay heeft omgedoopt.

Encryptie
Paget, die voor een geslachtsverandering Christopher Paget heette, stelt dat het voor criminelen volstaat om tegen een slachtoffer aan te botsen. De gebruikte lezer zou de creditcardgegevens door materiaal zoals een leren portemonnee en kleding heen lezen. De onderzoekster merkt op dat het hier niet om een kwetsbaarheid gaat, maar een fundamenteel probleem dat elke commerciële RFID-lezer de gegevens kan uitlezen. "Wat voor encryptie er ook is, het maakt niet uit", laat ze weten. "De lezer laat de nummers gewoon zien alsof ik de betaalautomaat ben, wat gewoon stom is. Dit is een gênant eenvoudige hack, maar het werkt."

Veiliger
Een woordvoerder van de Smart Card Alliance merkt op dat ondanks dit en andere onderzoeken, inmiddels honderd miljoen mensen de kaart gebruiken en er geen meldingen van fraude zijn gedaan. Het zou erg lastig voor criminelen zijn om de kwetsbaarheid te verzilveren. De contactloze kaarten zouden ten opzichte van traditionele kaarten één extra beveiligingsmaatregel hebben, namelijk een eenmalige CVV-code die bij elke scan wordt uitgegeven. Die codes zijn voor maar één transactie bruikbaar.

"De werkelijkheid is dat consumenten deze technologie zouden moeten omarmen, omdat het hen veiliger maakt", aldus de woordvoerder. "Pogingen om het gebruik van chiptechnologie in diskrediet te brengen maakt gebruikers van bestaande technologie alleen maar kwetsbaarder."

Reacties (18)
31-01-2012, 10:46 door Anoniem
Smart Card Alliance maakt weer eens duidelijk hoe nonchalant ze met andermans geld omgaan. De consument draait toch wel voor de kosten op - maar dat verwoord je natuurlijk door te zeggen dat er geen of minimale schade is.

Verder, what else is new bij draadloze communicatie en beveiliging... De hele industrie wil voor geen meter nadenken over serieuze veiligheid als ze een nieuw product bedenken. Iets met rfid bedrijfstoegang, paspoorten, ov-systemen, persoonlijke betaalproducten...
31-01-2012, 11:20 door Anoniem
Een hacker heeft gedemonstreerd hoe ze creditcardgegevens door muren en kleding heen kan stelen.
Werkt dit ook als je passen met een rfid-chip in een portefeuille hebt zitten welke aan de binnenzijde beplakt is met zilverfolie? Ik heb dacht ik wel eens ergens gelezen dat dit rfid-chips voldoende afschermd voor uitlezen door onbevoegden.
Heeft iemand hier ervaring mee?

Marthy
31-01-2012, 11:25 door Anoniem
RFID-kaarten zijn makkelijk op afttand uit te lezen. In Eindhoven gebruiken ze een stadspas met RFID chip, die gebruikt kan worden voor het betalen van parkeergeld.

Laatst onder het stadskantoor de parkeergarage ingereden. Ik hoefde niet eens mijn kaart tegen een lezer te houden, op het moment dat ik bij de slagboom kwam, ging die al omhoog en was mijn komst aangemeld. Ik ben blij, dat ik een smsje krijg wanneer ik aan en afmeld, want anders zou dit wel eens onnodig veel geld kunnen kosten.
31-01-2012, 12:39 door Niet-anoniem
Wat is voor een leek als mij de toegevoegde waarde van het zinnetje dat Kristin vroeger anders heette? Zijn haar bevindingen daardoor meer of minder schokkend? Redactie, laat aub dit soort informatie in het vervolg weg. Ook zij heeft recht op privacy.
31-01-2012, 12:58 door Anoniem
@Niet-anoniem

Volledig mee eens.
31-01-2012, 13:52 door Mozes.Kriebel
Voor het beschermen van RFID in je paspoort, rijbewijs en andere ID's: http://www.chipsafe.eu/
31-01-2012, 13:57 door Anoniem
Sorry, maar is dit nieuw? Ik heb 2 jaar (1) geleden al zo'n filmpje gezien, zie: http://youtu.be/GjOduug-SC8
Dit is alleen met kaarten die een RFID chip hebben, en na dit filmpje werden die snel teruggetrokken uit de markt.
31-01-2012, 14:19 door Mysterio
Door Mozes.Kriebel: Voor het beschermen van RFID in je paspoort, rijbewijs en andere ID's: http://www.chipsafe.eu/
Sweet! Heb je daar ook volledige jassen van?
31-01-2012, 16:14 door Anoniem
"De contactloze kaarten zouden ten opzichte van traditionele kaarten één extra beveiligingsmaatregel hebben, namelijk een eenmalige CVV-code die bij elke scan wordt uitgegeven."

En een extra kwetsbaarheid, zoals in het artikel beschreven. Maar daar wil een woordvoerder het natuurlijk niet over hebben, die moet positief zijn, en goed nieuws brengen. Waarom laten ze niet eens de CSO van zo'n bedrijf het woord voeren in plaats van een muts die niet weet waar ze het over heeft, en die denkt dat ze wat krom is recht moet praten. Vermoeiend die communicatie marketing types.
31-01-2012, 16:17 door golem
Door Mysterio:
Door Mozes.Kriebel: Voor het beschermen van RFID in je paspoort, rijbewijs en andere ID's: http://www.chipsafe.eu/
Sweet! Heb je daar ook volledige jassen van?

Ja hoor, en andere kleding ook, De RF overcoat
http://www.lessemf.com/personal.html
31-01-2012, 20:54 door Anoniem
Deze "hacker" vertelt er gemakshalve niet bij dat:

1. Dit allang geleden door een TV programma is gedemonstreerd. Zie de youtu.be link hierboven.

2. Er in elke transactie een "token" zit dat maar 1x gebruikt kan worden. Je kunt de data kopieren ja, maar niet nogmaals gebruiken of aanbieden.

3. Om dit een hack te noemen, zijn erg grote woorden. Dit is namelijk zo ontworpen vanaf de eerste testen met contactless kaarten, zo'n 8 jaar geleden.
31-01-2012, 23:01 door SLight
Gelukkig heb je in Nederland gewoon de pinpas zonder RFID chip en hoef je niet met creditcard te betalen, ook al kunnen alle RFID chips uitgelezen worden vanaf een afstand. Tja, draadloos.
31-01-2012, 23:55 door Anoniem
http://www.creditcardhouder.nl/webshop/CAT/33/LANG/1/Secrid/Cardprotector
01-02-2012, 09:20 door Mysterio
Door golem:
Door Mysterio:
Door Mozes.Kriebel: Voor het beschermen van RFID in je paspoort, rijbewijs en andere ID's: http://www.chipsafe.eu/
Sweet! Heb je daar ook volledige jassen van?

Ja hoor, en andere kleding ook, De RF overcoat
http://www.lessemf.com/personal.html
Haha! In plaats van een allu hoedje hebben ze een allu petje!
01-02-2012, 09:32 door SecOff
Door Anoniem: "Waarom laten ze niet eens de CSO van zo'n bedrijf het woord voeren in plaats van een muts die niet weet waar ze het over heeft, en die denkt dat ze wat krom is recht moet praten. Vermoeiend die communicatie marketing types.
Dacht jij dat het de CSO van het bedrijf vrij stond om over de echte risico's in hun producten te spreken? Het advies van de CSO komt waarschijnlijk niet hoger als het middle management.....
01-02-2012, 16:23 door Anoniem
Door Anoniem: Deze "hacker" vertelt er gemakshalve niet bij dat:

1. Dit allang geleden door een TV programma is gedemonstreerd. Zie de youtu.be link hierboven.

2. Er in elke transactie een "token" zit dat maar 1x gebruikt kan worden. Je kunt de data kopieren ja, maar niet nogmaals gebruiken of aanbieden.

3. Om dit een hack te noemen, zijn erg grote woorden. Dit is namelijk zo ontworpen vanaf de eerste testen met contactless kaarten, zo'n 8 jaar geleden.

Maar als je het bronartikel gelezen had, had je gezien dat je alsnog eenmalig een aankoop kan doen. Als het geen hack is, dan is het op z'n minst een grote ontwerpfout.
01-02-2012, 20:03 door Anoniem
Door Anoniem:
Door Anoniem: Deze "hacker" vertelt er gemakshalve niet bij dat:

1. Dit allang geleden door een TV programma is gedemonstreerd. Zie de youtu.be link hierboven.

2. Er in elke transactie een "token" zit dat maar 1x gebruikt kan worden. Je kunt de data kopieren ja, maar niet nogmaals gebruiken of aanbieden.

3. Om dit een hack te noemen, zijn erg grote woorden. Dit is namelijk zo ontworpen vanaf de eerste testen met contactless kaarten, zo'n 8 jaar geleden.

Maar als je het bronartikel gelezen had, had je gezien dat je alsnog eenmalig een aankoop kan doen. Als het geen hack is, dan is het op z'n minst een grote ontwerpfout.

Er staat niet in het artikel "dat je alsnog eenmalig een aankoop kan doen"... Ik snap wel op welke paragraaf je dat baseert, maar dat is een ongelukkige uitspraak van de woordvoerder. Hoewel het ook wel weer klopt, want als je het token voor een 2e keer aanbied, zal een bank zien dat het niet klopt. Wat hij er niet bij zegt is dat als het voor de 1ste keer aanbied, het ook niet klopt, want je hebt nog een bepaalde random waarde uit het betaalautomaat nodig.

Voor meer informatie, lees: http://www.emvco.com/specifications.aspx?id=21
07-02-2012, 10:15 door Leen_T
Gelukkig kunnen "onze" ov-chipkaarten met deze kou nog niet eens worden uitgelezen door de palen op het perron als je de kaart uit je portemonnee haalt en op de paal legt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.