image

Mogelijke 'replay-aanval' met gestolen creditcarddata

maandag 27 oktober 2014, 11:10 door Redactie, 4 reacties

Verschillende Amerikaanse banken hebben met creditcardfraude te maken gekregen die waarschijnlijk het werk is van criminelen die een 'replay-aanval' uitvoerden. De banken kregen frauduleuze debit- en creditcardtransacties te verwerken die via de netwerken van Visa en MasterCard waren opgegeven als transacties waarbij de EMV-chip op de kaart gebruikt was. De banken in kwestie hadden echter nog geen betaalkaarten met een EMV-chip uitgegeven.

Tegenover IT-journalist Brian Krebs, die door de getroffen banken werd ingelicht, wilden Mastercard en Visa niet reageren. Mastercard zou aan één van banken hebben laten weten dat de aanvallers waarschijnlijk een replay-aanval hadden uitgevoerd. Daarbij hadden de criminelen mogelijk toegang tot een betaalautomaat en konden zo de datavelden van een transactie aanpassen.

Na het opvangen van het transactieverkeer van een echte betaalkaart met EMV-chip, kunnen de criminelen vervolgens de gegevens van de gestolen creditcarddata in de transactiestroom meesturen, waarbij de winkel en begunstigde bank in real-time kunnen worden aangepast.

Implementatie

Volgens fraudeanalist Avivah Litan van marktvorser Gartner zorgt het opgeven van frauduleuze transacties als zijnde EMV-transacties ervoor dat banken een minder strenge fraudecontrole hanteren. Hij stelt dat de criminelen waarschijnlijk niet het EMV-protocol hebben gekraakt, maar misbruik van een slechte implementatie maken. "Het goed doen van EMV is lastig en er zijn veel manieren om niet met de cryptografie maar met de implementatie van EMV te knoeien", aldus Litan.

De fraude vond in Brazilië plaats met creditcardgegevens die bij de Amerikaanse winkelketen Home Depot waren gestolen. Hoe groot de schade precies is, is onbekend. Eén van de banken zou 120.000 dollar aan frauduleuze transacties te verwerken hebben gekregen, maar wist uiteindelijk 80.000 dollar te blokkeren. De verwerker van de bank, die inkomende transacties verwerkt als de kritieke banksystemen offline zijn, liet de overige 40.000 dollar door.

Reacties (4)
27-10-2014, 11:28 door Anoniem
Wat klopt hier niet?
De banken kregen frauduleuze debit- en creditcardtransacties te verwerken die via de netwerken van Visa en MasterCard waren opgegeven als transacties waarbij de EMV-chip op de kaart gebruikt was.
En dan:
De banken in kwestie hadden echter nog geen betaalkaarten met een EMV-chip uitgegeven.

Hoe moeilijk kan het zijn om fraude te detecteren? Het lijkt wel of men gewoon geen fraude WIL detecteren...
27-10-2014, 12:53 door Anoniem
Als ik het goed begrijp keurde die verwerker dus honderden met een EMV chip geautoriseerde transacties goed voor credit cards die helemaal geen EMV chip hebben. Ik zou toch denken dat in een EMV autorisatie record het nummer van de credit card staat. Als dat klopt nam deze verwerker niet eens te moeite te testen of dat nummer gelijk is aan het nummer van de credit card.

Zulke klunzen verdienen het om eens flink het schip in te gaan...
27-10-2014, 14:34 door Briolet - Bijgewerkt: 27-10-2014, 14:34
Door Anoniem: Zulke klunzen verdienen het om eens flink het schip in te gaan...

Dat zegt toch wel iets over het niveau van de gemiddelde programmeur dat dit soort elementaire checks niet in de code zitten. Maar het betekent ook dat je nooit op code alleen moet vertrouwen omdat er nog steeds veel slechte code geschreven wordt. (De compiler test alleen de syntax)
27-10-2014, 15:06 door [Account Verwijderd] - Bijgewerkt: 27-10-2014, 15:07
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.