Nieuws

Onderzoekers hacken betaalautomaat met nep-pinpas

donderdag 26 juli 2012, 10:45 door Redactie, 5 reacties

Onderzoekers hebben tijdens de Black Hat conferentie in Las Vegas laten zien hoe ze via een vervalste pinpas betaalautomaten kunnen hacken. Via de aanval is het mogelijk om creditcardnummers te stelen, zo bericht Tweakers.net, dat op de conferentie aanwezig is. Rafael Dominguez Vega en 'Nils' plaatsten op de vervalste pinpas hun eigen software. Daarmee is het vervolgens mogelijk om code op de betaalautomaat uit te voeren.

Uitlezen
Bij één van de betaalautomaten is het mogelijk om via deze software alle nummers van creditcards en de bijbehorende pincodes in het geheugen van de automaat uit te lezen. Het invoeren van de vervalste pinpas volstaat. Met een tweede vervalste pas is de informatie uit het geheugen van de betaalautomaat uit te lezen.

Aanvallers zouden wel op dezelfde dag moeten toeslaan, aangezien de hack na een reboot van de automaat ongedaan wordt gemaakt.

Patch
De kwetsbare betaalautomaten zijn wijdverbreid, maar de onderzoekers willen niet zeggen om welke fabrikant het gaat. Een patch zou inmiddels gereed zijn, maar nog niet zijn uitgerold.

Via een lek in een ander pinapparaat kunnen de aanvallers een transacties nabootsen zonder te betalen. "Als op het scherm wordt getoond dat de betaling is geslaagd en er uit de printer een bon komt, denkt de verkoper dat de transactie is voltooid", aldus Nils.

Met dank aan Jay voor de tip

Apple monsterpatch dicht 121 Safari-lekken

Aangifte computervredebreuk na 'politievirus'

Reacties (5)

26-07-2012, 10:59 door Spiff has left the building

Door Redactie:
Bij één van de betaalautomaten is het mogelijk om via deze software alle nummers van creditcards en de bijbehorende pincodes in het geheugen van de automaat uit te lezen.

Waarom, drommels, worden die pincodes in het geheugen bewaard ?!
De pincode is alleen nodig bij een transactie en hoort toch helemaal niet bewaard te worden?

26-07-2012, 11:56 door [Account Verwijderd]

[Verwijderd]

26-07-2012, 12:44 door Anoniem

Door Spiff:

Door Redactie:
Bij één van de betaalautomaten is het mogelijk om via deze software alle nummers van creditcards en de bijbehorende pincodes in het geheugen van de automaat uit te lezen.

Waarom, drommels, worden die pincodes in het geheugen bewaard ?!
De pincode is alleen nodig bij een transactie en hoort toch helemaal niet bewaard te worden?

Het staat in het artikel een beetje onhandig omschreven, maar die codes worden normaal gesproken dus ook niet bewaard. De truc is juist dat je door de kwestbaarheden custom code in het apparaat kan laden die er voor zorgt dat die gegevens wel worden opgeslagen.

26-07-2012, 13:50 door Security Scene Team

Door Peter V:

Aanvallers zouden wel op dezelfde dag moeten toeslaan, aangezien de hack na een reboot van de automaat ongedaan wordt gemaakt.......Een patch zou inmiddels gereed zijn, maar nog niet zijn uitgerold.

Patch: REBOOT (na elke pinpas)

oh ja joh, lekker makkelijk. niet bepaald nagedacht zeker?

de patch zal waarschijnlijk het geheugen lek dichten, en de transacties dubbel controleren op de vernieuwde transactie faker.

hoe dan ook, goed dat dit uitgezocht is. hoewel ik denk dat VEEL betaal automaat eigenaren niet veel met de patch zullen doen.

dit lijkt wel een beetje op de coldboot attack, hoewel dit natuurlijk anders werkt.

26-07-2012, 14:40 door Spiff has left the building

Door Redactie: Bij één van de betaalautomaten is het mogelijk om via deze software alle nummers van creditcards en de bijbehorende pincodes in het geheugen van de automaat uit te lezen.

Door Spiff: Waarom, drommels, worden die pincodes in het geheugen bewaard ?!
De pincode is alleen nodig bij een transactie en hoort toch helemaal niet bewaard te worden?

Door Anoniem: Het staat in het artikel een beetje onhandig omschreven, maar die codes worden normaal gesproken dus ook niet bewaard. De truc is juist dat je door de kwestbaarheden custom code in het apparaat kan laden die er voor zorgt dat die gegevens wel worden opgeslagen.

Dankjewel.
Ik had er natuurlijk even aan moeten denken naar het originele artikel te kijken.
Op Tweakers lees je dit:

Op een van de apparaten kan software worden gedraaid die alle nummers van creditcards en de bijbehorende pincodes in het geheugen van de automaat opslaat, demonstreerden Nils en Vega. Het invoeren van een valse kaart met daarop de malafide software is daarvoor genoeg. Daarvoor wordt een zogenoemd buffer overflow-kwetsbaarheid in de software op het pinapparaat misbruikt. De opgeslagen gegevens kunnen worden uitgelezen met behulp van een tweede vervalste pas, die de informatie uit het geheugen van de automaat naar zijn eigen interne opslag kopieert.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer