image

'Nieuwe pinnen kwetsbaar voor skimmers'

donderdag 13 september 2012, 11:44 door Redactie, 8 reacties

Britse onderzoekers hebben mogelijk bewijs gevonden criminelen ook het nieuwe pinnen kunnen skimmen. Ross Anderson begon het onderzoek naar mogelijke fraude met EMV-pinpassen meer dan negen maanden geleden, toen bankklanten over fraude klaagden, ook al hadden ze hun pincode met niemand gedeeld. De banken wilden de slachtoffers niet vergoeden, omdat de EMV-technologie fraude onmogelijk zou maken.

Gebruikte de oude pinpas nog een magneetstrip, de EMV-pinpas is van een chip voorzien, die niet te skimmen zou zijn. De kwetsbaarheid die de aanvallers mogelijk hebben misbruikt bevindt zich in de willekeurige nummers die geld- en betaalautomaten genereren. Met deze nummers worden transacties geauthenticeerd. De nummers zijn echter niet geheel willekeurig, maar voorspelbaar.

Pre-play
Via een 'pre-play' aanval kunnen aanvallers met een vervalste betaalpas een frauduleuze transactie vesturen. Deze valse betaalpas is voorzien van een geprepareerde chip. EMV-apparaten moeten voor elke transactie een onvoorspelbaar nummer genereren. Bij oudere versies van de EMV-specificatie werd niet duidelijk gesteld hoe de willekeurige nummers moesten worden gegenereerd. De enige vereiste was dat het betaalapparaat vier opeenvolgende onvoorspelbare nummers genereerde.

De onderzoekers analyseerden 1.000 transacties van 22 verschillende geldautomaten en 5 betaalautomaten en ontdekten dat het inderdaad mogelijk is om een 'pre-play' aanval uit te voeren. Hierbij gebruiken de aanvallers een nummer waarvan ze weten dat de betaalautomaat dit in de toekomst zal genereren.

Daarbij hebben de aanvallers de pincode van de klant niet eens nodig, omdat de betaalautomaat die niet naar de bank stuurt, maar offline controleert. Hierbij wordt de pincode met de waarde op de kaart vergeleken, maar aangezien de aanvaller een vervalste kaart gebruikt, kan die een willekeurige pincode kiezen en die vervolgens bij de automaat invoeren.

Wel moet de aanvaller eerst de details van de te skimmen pinpas bemachtigen. Dit kan volgens de onderzoekers in een winkel die door bijvoorbeeld criminelen wordt gerund. Zodra de klant zijn pas in de geprepareerde automaat steekt, worden de gegevens gekopieerd en later gebruikt voor een gekloonde kaart. De aanvallers moeten wel aan bepaalde voorwaarden voldoen. Zo moeten ze van tevoren het aan te vallen land, datum en bedrag kiezen.

Banken
"Keer op keer hebben klanten geklaagd over fraude en kregen van banken te horen dat EMV veilig is, en dat ze het verkeerd hadden of logen als ze een transactie in twijfel trekten. Keer op keer blijken banken het bij het verkeerde eind te hebben", zo concluderen de onderzoekers. Het ene na het andere lek zou door criminelen zijn ontdekt en misbruikt. "En het is aan onafhankelijke onderzoekers om te ontdekken wat er gebeurt."

Voorwaarden
Uit het onderzoek blijkt dat banken technisch gezien veel van deze aanvallen kunnen detecteren. Iedere transactie die door een bankkaart wordt uitgevoerd bevat ook een counter die wordt opgehoogd. Een bank kan zien dat iets verkeerd gaat wanneer een transactie een lagere counter bevat dan een eerdere transactie. De aanvaller moet de aanval dus uitvoeren voordat het slachtoffer ergens anders pint.

Tevens wordt na de transactie nog een bewijs van de transactie door de bankkaart gegenereerd. Dit bewijs wordt pas gecontroleerd nadat de pinautomaat het geld heeft gegeven, maar biedt de bank dus wel de mogelijkheid om te zien dat de transactie niet klopte en de kaart geblokkeerd moet worden.

Passieve monitoringkaart met echte EMV-chip, met monitoring microcontroller en flashgeheugen

Reacties (8)
13-09-2012, 11:57 door Anoniem

Dit kan volgens de onderzoekers in een winkel die door bijvoorbeeld criminelen wordt gerund.
Dit valt natuurlijk erg snel op en lijkt mij een stuk lastiger dan een voorzetstukje.
Bovendien moet aan zoveel voorwaarden worden voldaan dat de 'foute' winkel snel wordt getraceerd.
13-09-2012, 11:58 door [Account Verwijderd]
[Verwijderd]
13-09-2012, 12:56 door Anoniem
door Anoniem 11:56
Dit kan volgens de onderzoekers in een winkel die door bijvoorbeeld criminelen wordt gerund.
Dit valt natuurlijk erg snel op en lijkt mij een stuk lastiger dan een voorzetstukje.
Zo moeilijk is dat niet.
Een kennis van mij heeft een eigen zaak en zij is een keer door iemand benaderd om tegen een vergoeding een apparaatje te laten plaatsen tussen de pinautomaat en de telefoon/datalijn.
En dan hoef je de pinautomaat niet eens te skimmen of een cameraatje te plaatsen.

Gelukkig is zij er niet op in gegaan, maar ik kan me voorstellen als iemand het financieel niet lekker doet, het voor hem erg verleidelijk is.
Dit was alweer een klein aantal jaar geleden. Ik weet niet of het met de chip ook zo makkelijk gaat.
13-09-2012, 13:53 door Anoniem
Vind dit soort verhalen altijd beetje dubbel...

Dit type aanval is alleen mogelijk bij een offline betaling. Terminals zullen al snel online gaan bij een bedrag boven de 5 euro (afhangend van de instellingen van de kaart en terminal). Online zal deze fraude direct worden herkend en zal de kaart direct worden geblokkeerd. Dit was ook al het geval bij de eerdere bekende Cambridge attack.

In dit geval gaat het om een aantal terminals die de 'unpredictable number' toch predictable maken. Deze terminals hadden nooit gecertificeerd mogen worden en zullen dan ook snel uit de markt worden gehaald waardoor het hele probleem snel zal worden opgelost.
13-09-2012, 15:03 door Anoniem
natuurlijk kan je ook je malifiede pinapparaat in een 'normale' winkel vervangen, net zoals je dat vroeger deed. Je hoeft hem tegenswoordigs niet eens meer op te halen; dankzij pinnen over ip heb je dikke kans dat het malifiede pinapparaat gewoon de crimineel een email kan sturen met de gewenste data
13-09-2012, 15:25 door RichieB
@Anoniem 13:53 uur: als dit soort onderzoeken niet zouden worden gedaan, zouden de banken in de UK het probleem nooit serieus hebben genomen, en de klanten nooit hun geld terug hebben gekregen. Ook zouden de certificatie eisen nooit zijn aangepast. Dus ik vind dit helemaal niet "dubbel" maar broodnodig.
13-09-2012, 15:48 door SBBo
Computerbeveiliging is een ratrace tussen ontwikkelaars en kwaadwillenden. De ontwikkelaars hebben tot taak om de kwaadwillenden steeds een stap voor te zijn, waardoor deze laatste constant op achterstand staan. Pech is dat verouderde technologiën in omloop blijven en daarmee de kwetsbaarheid.
Hierdoor voeren wij steeds een achterhoede gevecht is gelden alleen de wetten van de economie.
Burgerslachtoffers hebben daarmee pech.
Iemand die beweert dat een bepaalde techniek 100% gegarandeerd veilig is spreekt niet de waarheid.
13-09-2012, 23:39 door Anoniem
Door SBBo: Computerbeveiliging is een ratrace tussen ontwikkelaars en kwaadwillenden. De ontwikkelaars hebben tot taak om de kwaadwillenden steeds een stap voor te zijn, waardoor deze laatste constant op achterstand staan. Pech is dat verouderde technologiën in omloop blijven en daarmee de kwetsbaarheid.
Hierdoor voeren wij steeds een achterhoede gevecht is gelden alleen de wetten van de economie.
Burgerslachtoffers hebben daarmee pech.
Iemand die beweert dat een bepaalde techniek 100% gegarandeerd veilig is spreekt niet de waarheid.
Nee, dat klopt. Maar het probleem is hier niet alleen dat er ergens een security lek zit, maar vooral dat de banken hun klanten niet willen vergoeden voor de fraude. Als de banken het zouden erkennen, en hun klanten gewoon zouden vergoeden, dan zou het niet zo'n issue zijn. Daarnaast kunnen ze dan natuurlijk nog steeds het security lek op gaan lossen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.