image

Kwetsbaarheden in betaalautomaten Duitse banken

woensdag 23 december 2015, 11:51 door Redactie, 4 reacties

De bekende Duitse onderzoeker Karsten Nohl heeft kritieke kwetsbaarheden in de betaalautomaten van Duitse banken ontdekt, waardoor kwaadwillenden pincodes kunnen stelen, nepkaarten kunnen maken of geld van klanten en winkels kunnen stelen.

Het gaat om twee aanvallen, waarbij de eerste aanval de pincode van de pinpas steelt of transacties spooft als klanten afrekenen. Bij de tweede aanval wordt de betalingsverwerker misleid, die zich tussen de bank en winkel bevindt. Op deze manier kan geld van de ene rekening naar een andere rekening worden overgemaakt. Nohl ontdekte de problemen samen met onderzoekers Fabian Braeunlein en Philipp Maier, zo meldt persbureau Reuters.

Volgens de onderzoekers kunnen betalingen bij bijna alle betaalautomaten in Duitsland worden gekaapt. Nohl stelt dat de kwetsbaarheden veel lastiger zijn te verhelpen, omdat het hier niet om een fout gaat. De betaalautomaten werken precies op de manier zoals ze geprogrammeerd zijn om te werken. De kwetsbaarheden worden door oude standaarden veroorzaakt voor het lezen van magneetstrippen en het uitwisselen van betaalgegevens over het internet.

De Duitse Vereniging van Spaarbanken stelt dat de aanvallen van Nohl alleen in theorie mogelijk zijn. De Duitse Vereniging van Elektronische Betalingsverwerkers zegt de dreigingen serieus te nemen en adviseert de makers van betaalautomaten om updates uit te rollen die de aanvallen moeten voorkomen. Zelf adviseert de onderzoeker om kwetsbare betaalautomaten tijdelijk uit te schakelen. Het kan echter maanden duren voordat alle naar schatting 500.000 kwetsbare automaten zijn geüpdatet.

Image

Reacties (4)
23-12-2015, 15:18 door Anoniem
Ik ga met kerst naar Duitsland,zeker als ik moet pinnen extra iets om in de gaten te houden,daar.
23-12-2015, 16:24 door Anoniem
Enkel in theorie mogelijk?

Er zijn in België als sinds 2011 gevallen gekend waar er een extra chip op de bestaande chip van bankkaarten wordt geplaatst om een MITM te kunnen doen en op die manier de authenticatie te omzeilen en de betaalterminal te misleiden.

Zie paper:

When Organized Crime Applies Academic Results: A Forensic Analysis of an In-Card Listening Device
http://eprint.iacr.org/2015/963.pdf
23-12-2015, 23:10 door Anoniem
De Duitse Vereniging van Spaarbanken stelt dat de aanvallen van Nohl alleen in theorie mogelijk zijn.

Dat is altijd de eerste antwoord wat die onbenullen geven.
29-12-2015, 07:48 door Anoniem
Door Anoniem: Ik ga met kerst naar Duitsland,zeker als ik moet pinnen extra iets om in de gaten te houden,daar.

En wat ga je precies in de gaten houden dan?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.