Opgewaardeerde Nederlandse betaalkaart nog steeds kwetsbaar voor estafette-aanval

Nieuwe beveiligingsfuncties die worden geïmplementeerd in Nederlandse betaalkaarten zullen niet stoppen met een soort aanval die fraudeurs in de toekomst zouden kunnen gebruiken om geld te stelen van bankrekeningen, aldus onderzoekers van de Universiteit van Cambridge in het VK

demonstreerden Steven J. Murdoch en Saar Drimer van Cambridge's Computer Group op de Nederlandse tv-show 'Goudzoekers' op woensdag dat een betaalkaart met nieuwe beveiligingsfuncties nog steeds kwetsbaar is voor een zogenaamde relay-aanval.

Een relay-aanval is een manier waarop fraudeurs draadloze technologie gebruiken om de bankkaartgegevens en PIN (persoonlijk identificatienummer) voor chip-en-pin-betaalkaarten die in heel Europa worden gebruikt, te verkrijgen. Met chip-en-pin-kaarten moet een persoon een viercijferige pincode invoeren op apparaten voor verkooppunten of geldautomaten, waarbij de pincode wordt geverifieerd door een microchip die is ingesloten in de kaart.

[Meer informatie: malware verwijderen vanaf je Windows-pc]

Bij de relay-aanval worden de kaartgegevens van het slachtoffer vastgelegd via een beveiligde betaalterminal. De pincode wordt door een fraudeur nageleefd en vervolgens doorgegeven aan een medeplichtige die ergens anders een gelijktijdige transactie uitvoert. De medeplichtige heeft een valse, draadloos ingeschakelde betaalkaart die de bankgegevens van het slachtoffer gebruikt die zijn ontvangen van de gemanipuleerde betaalterminal om een ​​frauduleuze transactie te verrichten.

De estafette-aanval werd in 2007 door Drimer en Murdoch gedemonstreerd, maar wordt niet verondersteld te zijn actief gebruikt door criminelen omdat er nu eenvoudiger manieren zijn om betalingskaarten in gevaar te brengen, zei Murdoch.

Banken in zowel het VK als Nederland hebben plannen om betaalkaarten te upgraden met nieuwe beveiligingsfuncties om verschillende soorten aanvallen te dwarsbomen. Murdoch en Drimer hebben een kaart getest die is uitgegeven door een Nederlandse bank met drie nieuwe functies.

Eén daarvan is dynamische gegevensverificatie, waarmee een kaart als echt kan worden geverifieerd zonder dat er verbinding moet worden gemaakt met de systemen van de bank. Dat voorkomt een zogenaamde "ja" -aanval, waarbij een pincode voor een transactie wordt geaccepteerd. Een ander kenmerk zorgt ervoor dat de pincode van de klant wordt gecodeerd tijdens communicatie tussen een betaalterminal en de kaart, waardoor het onderscheppen van een pincode in platte tekst wordt voorkomen.

De laatste nieuwe functie wordt iCVV genoemd. Chip-en-PIN-kaarten bevatten eerder een kopie van de magnetische stripinformatie, die accountgegevens bevat binnen de microchip van de kaart. Met iCVV wordt de complete magnetische stripinformatie niet langer opgeslagen in de chip, zei Murdoch.

Murdoch, die uitgebreid onderzoek heeft gedaan naar de beveiliging van chip-en-PIN-kaarten, zei dat hij en Drimer niet dachten dat nieuwe functies zouden een relay-aanval voorkomen. Ze accepteerden echter de commissie van de show om 'meer ervaring op te doen in de systemen van andere landen', zei hij.

De Nederlandse Vereniging van Banken wees het nieuwste experiment af en zei in een verklaring dat de estafette-aanval bijna drie jaar oud is en te omslachtig en complex om op grote schaal te implementeren.