Nieuws

Criminelen fraudeerden voor tonnen met EMV-creditcards

woensdag 21 oktober 2015, 11:41 door Redactie, 7 reacties

Criminelen zijn er op een zeer slimme manier in geslaagd om voor tonnen te frauderen met creditcards die van een EMV-chip zijn voorzien. De EMV-chip is de opvolger van de magneetstrip en moet het lastiger voor criminelen maken om te frauderen, bijvoorbeeld door het skimmen van betaalpassen.

Toch is ook de chip niet immuun voor aanvallen, zo blijkt uit onderzoek (pdf) van Franse onderzoekers waar Wired over bericht. Vier jaar geleden werden een dozijn creditcards in Frankrijk gestolen, die vervolgens in België werden gebruikt. Iets dat onmogelijk zou moeten zijn zonder de pincode van de kaarthouders. Dit leidde tot politie-onderzoek en uiteindelijk de aanhouding van verschillende bendeleden.

Uit het onderzoek dat volgde en waarvoor de onderzoekers röntgenstralen gebruikten bleek dat de criminelen een tweede chip op de EMV-chip van de gestolen creditcards hadden aangebracht. Via deze chip konden ze de verificatie van de pincode omzeilen, aangezien elke ingevoerde pincode werd geaccepteerd. Daarbij maakten de criminelen gebruik van het feit dat de authenticatie van de pincode destijds was losgekoppeld van de transactieverificatie van EMV-betaalkaarten.

Transactie

Een normale EMV-transactie bestaat uit drie stappen. Authenticatie van de betaalkaart, verificatie van de kaarthouder en als laatste de autorisatie van de transactie. Tijdens de transactie mocht de originele chip op de aangepaste betaalkaart gewoon op de authenticatiecontrole reageren. Bij de verificatie van de kaarthouder vroeg de betaalautomaat om de pincode van de gebruiker. De crimineel vulde vervolgens een willekeurige code in.

Op dat moment werd de aangebrachte chip actief en liet de betaalautomaat weten dat de pincode correct was, die dat accepteerde. Tijdens de laatste transactie-autorisatie gaf de tweede chip de data tussen de betaalautomaat en de originele eerste chip door. Op deze manier wist de bende voor zo'n 600.000 euro met de aangepaste creditcards te stelen. Uiteindelijk liepen de criminelen tegen de lamp omdat ze steeds op dezelfde plekken de gestolen creditcards gebruikten.

Experts geven 10 tips voor wereldwijde privacybescherming

Oracle dicht 154 lekken, waarvan 25 in Java

Reacties (7)

21-10-2015, 11:46 door User2048

Uiteindelijk liepen de criminelen tegen de lamp omdat ze steeds op dezelfde plekken de gestolen creditcards gebruikten.

Dit is een behoorlijk geavanceerde aanval, en toch lopen de daders op een knullige manier tegen de lamp...

21-10-2015, 11:55 door Plopeye

De grootste fout in het hele verhaal zit hem nog wel dat de verificatie van de kaarthouder een lokale aangelegenheid is.
Je hoeft dus alleen de lokale automaat voor de gek te houden en je transactie wordt uigevoerd...

Wat mij betreft moet de kaart + houder een signature opleveren die met de transactie mee gaat.
Hiermee kan later ook nog eens een verificatie gedaan worden, en was deze truuk dus niet gelukt... (signature fout door willekeurige code)

21-10-2015, 12:15 door Anoniem

Door Plopeye: De grootste fout in het hele verhaal zit hem nog wel dat de verificatie van de kaarthouder een lokale aangelegenheid is.
Je hoeft dus alleen de lokale automaat voor de gek te houden en je transactie wordt uigevoerd...

Wat mij betreft moet de kaart + houder een signature opleveren die met de transactie mee gaat.
Hiermee kan later ook nog eens een verificatie gedaan worden, en was deze truuk dus niet gelukt... (signature fout door willekeurige code)

Banken en credit card maatschappijen vinden het veel belangrijker dat klanten kunnen betalen, waar en wanneer ook ter wereld. De kans dat een realtime signature verificatie met jouw lokale bank niet lukt wanneer jij in die vage winkel in Thailand staat is best aanzienlijk.

De hoeveelheid mislukte transacties en bijbehorende ontevreden klanten wegen in dit geval voor de betaal-providers zwaarder dan de fraude die het met zich mee brengt.

Ik zeg niet dat het goed is. Het is wel de reden.

Maar het hek is nu van de dam, dus zullen ze er iets op moeten vinden.

21-10-2015, 13:07 door Anoniem

Als ik het goed lees is dit helemaal niet meer relevant.
Het feit dat er staat "destijds was losgekoppeld " suggereert dat dit probleem verholpen is.

21-10-2015, 17:41 door Anoniem

De grote fout is dat de drie controles niet in samenhang gebeurden, de kaart behandelde ze als onafhankelijke handelingen en autoriseerde daardoor rustig een transactie zonder eerst de pincode te hebben goedgekeurd. De kaart vertrouwde er dus op dat de geldautomaat integer was en de samenhang tussen de drie controles wel goed regelde, de geldautomaat vertrouwde er op zijn beurt op dat de EVM-chip integer was en dat elk resultaat klopte. Dat maakte deze MITM-aanval mogelijk.

Door Anoniem: Als ik het goed lees is dit helemaal niet meer relevant.
Het feit dat er staat "destijds was losgekoppeld " suggereert dat dit probleem verholpen is.

In Europa wel, schrijft Wired. Kennelijk is men in de VS nu bezig een "watered down"-versie in te voeren, wat niet veel goeds belooft. Een ander treurig detail is dat onderzoekers voor dit plaatsvond al op deze mogelijkheid hadden gewezen, compleet met een proof-of-concept, en dat dat toen is afgedaan als onwaarschijnlijk of onmogelijk.

21-10-2015, 22:31 door Anoniem

Door User2048:

Uiteindelijk liepen de criminelen tegen de lamp omdat ze steeds op dezelfde plekken de gestolen creditcards gebruikten.

Dit is een behoorlijk geavanceerde aanval, en toch lopen de daders op een knullige manier tegen de lamp...

Menselijk gedrag is zeer moeilijk te omzeilen en mensen zijn gewoontedieren. Hierdoor zijn ook criminelen vrij eenvoudig op te sporen.

23-10-2015, 14:12 door Anoniem

Deze werkwijze is al een tijd bekend, o.m. door onderzoek van Cambridge University. De transactie systemen van Nederlandse kaartuitgevers controleren op de samenhang tussen transactie certificaat en de geslaagde pincontrole. Niet alle banken wereldwijd hadden dat destijds even goed op orde.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer