image

Hacker ontwikkelt tool die Chip & Pin uitschakelt

woensdag 25 november 2015, 15:36 door Redactie, 7 reacties

De bekende hacker Samy Kamkar heeft een nieuwe tool ontwikkeld waarmee hij de Chip & Pin-functie op creditcards kan uitschakelen en het mogelijk is om creditcards en magneetstrippen te emuleren. Op deze manier kunnen alle creditcards en magneetstrippen van iemand op één apparaat worden bewaard.

Tevens kan MagSpoof, zoals Kamkar zijn creatie noemt, creditcardnummers en verloopdata van American Express voorspellen. Hiervoor is er wel een volledig creditcardnummer nodig, maar het maakt niet uit of dit nummer ooit in het verleden als vermist of gestolen is opgegeven. MagSpoof is in staat om een sterk elektromagnetisch veld te genereren dat een traditionele magneetstripkaart emuleert. Kamkar merkt daarbij op dat MagSpoof het niet mogelijk maakt om creditcards van anderen te gebruiken. Daarnaast zijn de mogelijkheden om American Express-nummers te voorspellen en Chip & Pin uit te schakelen niet in de versie aanwezig die de hacker beschikbaar heeft gemaakt.

Het apparaat is dan ook vooral bedoeld voor het uitvoeren van onderzoek naar magneetstrippen, microcontrollers en elektromagnetisme. Tijdens de ontwikkeling van MagSpoof ontdekte KamKar dat hij ook de Chip & Pin-functie van de creditcard kan uitschakelen. Als gebruikers bij een betaalkaart met Chip & Pin hun magneetstrip gebruiken zal de betaalautomaat zeggen dat de gebruiker zijn kaart moet "dippen" voor extra veiligheid.

De informatie dat de kaart over Chip & Pin beschikt staat in de magneetstrip opgeslagen. Kamkar ontdekte dat hij dit kan aanpassen. Daardoor is het mogelijk om bij een kaart met Chip & Pin niet verplicht te dippen, terwijl de transactie gewoon wordt uitgevoerd. Op deze manier kan de beveiligingsmaatregel worden omzeild. Om onderzoekers op weg te helpen heeft Kamkar de blauwdruk van MagSpoof gepubliceerd, alsmede de software en vereiste onderdelen. Volgens de hacker is zijn apparaat eenvoudig via een Arduino en andere algemene onderdelen in elkaar te zetten.

Image

Reacties (7)
25-11-2015, 16:08 door Profeet
Het blijft altijd lachen met Sammy. Ik zal zijn XXXs (tripple crosscripting) presentatie niet snel vergeten.
https://www.youtube.com/watch?v=YDW7kobM6Ik
25-11-2015, 16:55 door DanielG
De bekende hacker Samy Kamkar heeft een nieuwe tool ontwikkeld waarmee hij de Chip & Pin-functie op creditcards kan uitschakelen en het mogelijk is om creditcards en magneetstrippen te emuleren. [...] De informatie dat de kaart over Chip & Pin beschikt staat in de magneetstrip opgeslagen. Kamkar ontdekte dat hij dit kan aanpassen. Daardoor is het mogelijk om bij een kaart met Chip & Pin niet verplicht te dippen, terwijl de transactie gewoon wordt uitgevoerd.

Dit lijkt te suggereren dat hij van bestaande creditcards dit uit kan zetten (binnen de creditcard zelf), dit is niet het geval. Hij kan door creditcards en magneetstrippen te emuleren TIJDENS de emulatie uitzetten dat het lezende apparaat weet dat de GEËMULEERDE creditcard ook een Chip & Pin-functie ondersteund. Hierdoor zal de terminal niet vragen naar de veiligere Chip & Pin-functionaliteit.
25-11-2015, 17:26 door Anoniem
@ hierboven. Hij lijkt toch te zeggen dat het op de magstripe uitgaat:

"However, the bits stating the card has Chip-and-PIN can be turned off from the magstripe. This means if you take a card to a retailer that would normally request you to dip, you can actually get away with not dipping your chip at all while performing a successful transaction, evading the security measures altogether."
26-11-2015, 06:59 door Anoniem
Als het echt zo simpel is... Dan geeft dat niet veel vertrouwen. Je gaat toch niet aan iets wat onbetrouwbaar wordt geacht vragen of je iets betrouwbaarders kunt gebruiken?
26-11-2015, 10:19 door Anoniem
Dergelijke tools zijn ook gewoon commercieel beschikbaar: https://www.ul-ts.com/about/newsroom/ul-launches-smartconnect-next-generation-card-simulation/

Daarbij maakt Looppay (https://www.looppay.com/) volgens mij gebruik van dezelfde techniek.

Niet echt nieuwswaardig dus...
26-11-2015, 10:51 door DanielG
Door Anoniem: @ hierboven. Hij lijkt toch te zeggen dat het op de magstripe uitgaat:

"However, the bits stating the card has Chip-and-PIN can be turned off from the magstripe. This means if you take a card to a retailer that would normally request you to dip, you can actually get away with not dipping your chip at all while performing a successful transaction, evading the security measures altogether."

Dat zou betekenen dat de magneetstreep herprogrameerbaar is. Dus dan zou je zelf hele kleine streepjes magneet erbij moeten etsten of er juist af. Hoewel dit misschien mogelijk is, toont hij nergens aan dat hij creditcards heeft aangepast, alleen dat hij het via zijn gekopieerde geemuleerde apparaatje heeft gedaan (hij heeft wel de code die dit kon uit de publieke source gelaten, maar zijn beschrijving geeft aan dat het gewoon een reeks bitjes veranderen is tijdens het emuleren).
27-11-2015, 07:02 door Anoniem
"Dus dan zou je zelf hele kleine streepjes magneet erbij moeten etsten"

Nee sommige delen op de strip zal je moeten aanpassen of een ongebruikt veld gebruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.