Hacker ontwikkelt tool die Chip & Pin uitschakelt
De bekende hacker Samy Kamkar heeft een nieuwe tool ontwikkeld waarmee hij de Chip & Pin-functie op creditcards kan uitschakelen en het mogelijk is om creditcards en magneetstrippen te emuleren. Op deze manier kunnen alle creditcards en magneetstrippen van iemand op één apparaat worden bewaard.
Tevens kan MagSpoof, zoals Kamkar zijn creatie noemt, creditcardnummers en verloopdata van American Express voorspellen. Hiervoor is er wel een volledig creditcardnummer nodig, maar het maakt niet uit of dit nummer ooit in het verleden als vermist of gestolen is opgegeven. MagSpoof is in staat om een sterk elektromagnetisch veld te genereren dat een traditionele magneetstripkaart emuleert. Kamkar merkt daarbij op dat MagSpoof het niet mogelijk maakt om creditcards van anderen te gebruiken. Daarnaast zijn de mogelijkheden om American Express-nummers te voorspellen en Chip & Pin uit te schakelen niet in de versie aanwezig die de hacker beschikbaar heeft gemaakt.
Het apparaat is dan ook vooral bedoeld voor het uitvoeren van onderzoek naar magneetstrippen, microcontrollers en elektromagnetisme. Tijdens de ontwikkeling van MagSpoof ontdekte KamKar dat hij ook de Chip & Pin-functie van de creditcard kan uitschakelen. Als gebruikers bij een betaalkaart met Chip & Pin hun magneetstrip gebruiken zal de betaalautomaat zeggen dat de gebruiker zijn kaart moet "dippen" voor extra veiligheid.
De informatie dat de kaart over Chip & Pin beschikt staat in de magneetstrip opgeslagen. Kamkar ontdekte dat hij dit kan aanpassen. Daardoor is het mogelijk om bij een kaart met Chip & Pin niet verplicht te dippen, terwijl de transactie gewoon wordt uitgevoerd. Op deze manier kan de beveiligingsmaatregel worden omzeild. Om onderzoekers op weg te helpen heeft Kamkar de blauwdruk van MagSpoof gepubliceerd, alsmede de software en vereiste onderdelen. Volgens de hacker is zijn apparaat eenvoudig via een Arduino en andere algemene onderdelen in elkaar te zetten.
https://www.youtube.com/watch?v=YDW7kobM6Ik
Dit lijkt te suggereren dat hij van bestaande creditcards dit uit kan zetten (binnen de creditcard zelf), dit is niet het geval. Hij kan door creditcards en magneetstrippen te emuleren TIJDENS de emulatie uitzetten dat het lezende apparaat weet dat de GEËMULEERDE creditcard ook een Chip & Pin-functie ondersteund. Hierdoor zal de terminal niet vragen naar de veiligere Chip & Pin-functionaliteit.
"However, the bits stating the card has Chip-and-PIN can be turned off from the magstripe. This means if you take a card to a retailer that would normally request you to dip, you can actually get away with not dipping your chip at all while performing a successful transaction, evading the security measures altogether."
Daarbij maakt Looppay (https://www.looppay.com/) volgens mij gebruik van dezelfde techniek.
Niet echt nieuwswaardig dus...
"However, the bits stating the card has Chip-and-PIN can be turned off from the magstripe. This means if you take a card to a retailer that would normally request you to dip, you can actually get away with not dipping your chip at all while performing a successful transaction, evading the security measures altogether."
Dat zou betekenen dat de magneetstreep herprogrameerbaar is. Dus dan zou je zelf hele kleine streepjes magneet erbij moeten etsten of er juist af. Hoewel dit misschien mogelijk is, toont hij nergens aan dat hij creditcards heeft aangepast, alleen dat hij het via zijn gekopieerde geemuleerde apparaatje heeft gedaan (hij heeft wel de code die dit kon uit de publieke source gelaten, maar zijn beschrijving geeft aan dat het gewoon een reeks bitjes veranderen is tijdens het emuleren).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
