Nadograđena nizozemska platna kartica još uvijek ranjiv na napad od prijenosa

Nove sigurnosne značajke koje se provode na nizozemskim platnim karticama neće zaustaviti nekakav napad koji bi prevaranti mogli koristiti u budućnosti kako bi ukrali novac s bankovnih računa, prema istraživačima na Sveučilištu u Cambridgeu u Velikoj Britaniji

Steven J. Murdoch i Saar Drimer iz kompjutorske grupe Cambridge pokazali su u srijedu na nizozemskoj televizijskoj emisiji "Goudzoekers" da je platna kartica s novim sigurnosnim značajkama još uvijek ranjiva na tzv. relejni napad.

Prijenosni napad je način na koji prevaranti koriste bežičnu tehnologiju kako bi dobili podatke o bankovnoj kartici i PIN (Personal Identification Number) za kartice za plaćanje čip-i-PIN korištenih diljem Europe. Kartice s čipom i PIN-om zahtijevale su od osobe da unese četveroznamenkasti PIN na prodajnim uređajima ili bankomatima, s PIN-om koji je ovjeren mikročipom ugrađenim u karticu.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

U napadu prijenosa podataka pojedinosti o žrtvi zabilježene su putem neovlaštenog terminala za naplatu. PIN broj primjećuje prevarant, a zatim se priopćuje suučesniku koji izvršava istodobnu transakciju negdje drugdje. Suučesnik ima lažnu, bežično omogućenu platnu karticu koja koristi bankovne podatke o žrtvi primljenoj od neovlaštenog platnog terminala radi lažne transakcije.

Dremiera i Murdocha pokazali su 2007. aktivno koriste kriminalci jer sada postoje lakši načini za kompromitiranje platnih kartica, kazao je Murdoch.

Banke u Velikoj Britaniji i Nizozemskoj planiraju nadograditi kartice s novim sigurnosnim značajkama kako bi spriječile različite vrste napada. Murdoch i Drimer testirali su karticu jedne nizozemske banke koja ima tri nove značajke:

Jedna je dinamična autentifikacija podataka koja omogućuje provjeru autentičnosti kartice bez potrebe za povezivanjem na bankovne sustave. To sprječava takozvani "yes" napad, gdje će bilo koji PIN biti prihvaćen za transakciju. Još jedna značajka osigurava da se PIN klijenta šifrira tijekom komunikacije između terminala za naplatu i kartice, čime se sprječava presretanje PIN-a uobičajenog teksta.

Zadnja nova značajka naziva se iCVV. Kartice s čipom i PIN-om prethodno su sadržavale kopiju podataka o magnetnoj traci koja sadrži podatke o računu unutar mikročip kartice. Sa iCVV-om, cjelokupni podaci o magnetnoj traci više nisu pohranjeni unutar čipa, rekao je Murdoch.

Nijedna od tri značajke nije zaustavila relejni napad, kao što je pokazano na emisiji, rekao je Murdoch. Međutim, nitko od njih nije bio posebno dizajniran da zaustavi relejni napad, rekao je. Proizvođači "Goudzoekers" željeli su vidjeti jesu li nove kartice još uvijek podložne napadaju, rekao je Murdoch. Murdoch, koji je provela opsežna istraživanja o sigurnosti čipova i PIN-a, izjavio je kako on i Drimer nisu mislili da će to učiniti. nove značajke bi spriječile relejni napad. Međutim, prihvatili su priznanje kako bi dobili "više iskustva u sustavima drugih zemalja", rekao je.

Nizozemska bankarska udruga odbacio je najnoviji eksperiment, izjavivši u priopćenju da je napadni relej star oko tri godine i previše zbunjujuće i složeno da se provede na širokom planu.

Murdoch priznaje da su napadi za relej teško izvaditi. No, kako su drugi, lakši avenues napada zatvoreni zbog jačih sigurnosnih značajki na karticama, vjerojatno je da bi kriminalci "mogli početi gledati u ovo", rekao je.

Bankarski savez tvrdi da su "kriminalci previše glupi i lijeni, "Rekao je Murdoch. "Kriminalci su lijeni, ali nisu glupi."