Kwetsbaarheden in betaalautomaten Duitse banken
De bekende Duitse onderzoeker Karsten Nohl heeft kritieke kwetsbaarheden in de betaalautomaten van Duitse banken ontdekt, waardoor kwaadwillenden pincodes kunnen stelen, nepkaarten kunnen maken of geld van klanten en winkels kunnen stelen.
Het gaat om twee aanvallen, waarbij de eerste aanval de pincode van de pinpas steelt of transacties spooft als klanten afrekenen. Bij de tweede aanval wordt de betalingsverwerker misleid, die zich tussen de bank en winkel bevindt. Op deze manier kan geld van de ene rekening naar een andere rekening worden overgemaakt. Nohl ontdekte de problemen samen met onderzoekers Fabian Braeunlein en Philipp Maier, zo meldt persbureau Reuters.
Volgens de onderzoekers kunnen betalingen bij bijna alle betaalautomaten in Duitsland worden gekaapt. Nohl stelt dat de kwetsbaarheden veel lastiger zijn te verhelpen, omdat het hier niet om een fout gaat. De betaalautomaten werken precies op de manier zoals ze geprogrammeerd zijn om te werken. De kwetsbaarheden worden door oude standaarden veroorzaakt voor het lezen van magneetstrippen en het uitwisselen van betaalgegevens over het internet.
De Duitse Vereniging van Spaarbanken stelt dat de aanvallen van Nohl alleen in theorie mogelijk zijn. De Duitse Vereniging van Elektronische Betalingsverwerkers zegt de dreigingen serieus te nemen en adviseert de makers van betaalautomaten om updates uit te rollen die de aanvallen moeten voorkomen. Zelf adviseert de onderzoeker om kwetsbare betaalautomaten tijdelijk uit te schakelen. Het kan echter maanden duren voordat alle naar schatting 500.000 kwetsbare automaten zijn geüpdatet.
Er zijn in België als sinds 2011 gevallen gekend waar er een extra chip op de bestaande chip van bankkaarten wordt geplaatst om een MITM te kunnen doen en op die manier de authenticatie te omzeilen en de betaalterminal te misleiden.
Zie paper:
When Organized Crime Applies Academic Results: A Forensic Analysis of an In-Card Listening Device
http://eprint.iacr.org/2015/963.pdf
Dat is altijd de eerste antwoord wat die onbenullen geven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
