chip_pinBeveiligingsonderzoekers zijn erin geslaagd het EMV-protocol te kraken, dat beter bekend staat als "Chip en PIN" en wereldwijd wordt gebruikt. Tijdens een uitzending van BBC Newsnight demonstreerden de onderzoekers van de Cambrigde Universiteit hoe ze een betaalautomaat met een valse pincode kunnen foppen. De man-in-the-middle aanval maakt gebruik van een fundamentele fout in het Europay, MasterCard, Visa (EMV) protocol, dat debit- en creditcards valideert. "Chip en PIN is gekraakt", zegt professor Ross Anderson. "Banken en winkels vertrouwen op de woorden "Geverifieerd door PIN" op hun bonnetjes, maar ze betekenen niets."

Pincode
Om de betaalautomaat een transactie zonder geldige pincode goed te te laten keuren, heeft een aanvaller wel een geldige pas nodig. Vervolgens moet er een apparaatje tussen de kaart en de betaalautomaat worden geplaatst. Het is niet nodig om de kaart te kopiëren, zoals bij een eerdere aanval werd gedemonstreerd. Het onderliggende probleem is dat het EMV-protocol de betaalpas en betaalautomaat allerlei "dubbelzinnige" gegevens over het verificatie proces laat genereren, die de bank vervolgens als geldig accepteert.

De betaalautomaat meldt bijvoorbeeld dat de PIN verificatie heeft plaatsgevonden, terwijl de betaalpas een verificatie bericht ontvangt waarin staat dat er geen PIN is gebruikt. De bank accepteert de autorisatie door de betaalautomaat en keurt de transactie goed. Elke willekeurige pincode die de onderzoekers invoeren is dan ook geldig. "We hebben deze aanval getest tegen de pinpassen van de meeste Britse banken. Ze waren allemaal kwetsbaar", aldus onderzoeker Steven J. Murdoch.

Eenvoudig
Het uitvoeren van de aanval zelf is volgens de onderzoekers helemaal niet zo complex als de banken doen geloven. Die lijken inmiddels aan een campagne te zijn begonnen om zoveel mogelijk verwarring te zaaien. Zo doen Franse banken de aanval af als een aanval die al eerder bekend was geworden en waarbij een crimineel een legitieme EMV-kaart kopieert. Deze "yes-card" aanval werkt alleen bij transacties waarbij de betaalautomaat pas na de transactie contact met de bank maakt, ook wel een offline transactie genoemd. De onderzoekers houden vol dat hun aanval geheel nieuw is en zowel tegen offline als online transacties werkt. De onderzoekers merken op dat de aanval niet bij Britse geldautomaten werkt, omdat die een andere PIN-verificatie methode gebruiken.

Toch twijfelen de onderzoekers aan zowel het ontwerp van het Chip en PIN systeem als de veiligheid van pinbetalingen. De banken laten fraudeslachtoffers altijd weten dat hun systemen zijn te vertrouwen, maar de aanval demonstreert dat criminelen niet alleen klanten kunnen oplichten, maar ook de banksystemen kunnen misleiden zodat die aannemen dat de pincode is geverifieerd.

Skimming
De banken beweren verder dat de aanval te geraffineerd en complex voor criminelen is, maar ook dat bestrijden de onderzoekers. Voor het onderzoek werden kant en klare spullen gebruikt. Criminelen zouden daarnaast geen probleem hebben om het man-in-the-middle apparaatje te verbergen. Pinpasfraude met gemanipuleerde voorzetmondjes is volgens de onderzoekers veel lastiger dan hun aanval uit te voeren. "De technische kennis voor het uitvoeren van deze aanval is laag en het kleine apparaatje zal niet door het personeel worden opgemerkt. Een enkele crimineel kan een kit ontwikkelen die anderen gebruiken die zo niet hoeven te weten hoe de aanval werkt", merkt onderzoeker Saar Drimer op.

De banken werden begin december vorig jaar ingelicht, maar hebben nog altijd geen contact met de onderzoekers opgenomen. "Dit is geen falen van banktechnologie. Het is een falen van bankregulatie. De ombudsman heeft banken gesteund en de toezichthouders hebben geweigerd iets te doen. Ze wilden gewoon te graag de banken geloven", gaat Ross verder.

De onderzoekers vinden niet dat ze criminelen helpen, aangezien de veiligheid van systemen wordt verbeterd door het melden van lekken aan de personen die het probleem kunnen oplossen. Het EMV-protocol wordt ook door Nederlandse banken gebruikt of uitgerold. Het complete rapport is via deze link te downloaden.

 

Bron: security.nl