Päivitetty Hollantilainen maksukortti, joka on yhä haavoittuvassa suhteessa

Alankomaiden maksukortteihin sovellettavat tietoturvaominaisuudet eivät pysäytä sellaista hyökkäystä, jota petokset voivat käyttää tulevaisuudessa varojen saamiseksi pankkitililtä Cambridgen yliopiston tutkijoiden mukaan Isossa-Britanniassa

Steven J. Murdoch ja Cambridge Computer Groupin Saar Drimer osoittivat keskiviikkona hollantilaisessa tv-ohjelmassa "Goudzoekers", että maksukortti, jossa on uusia suojausominaisuuksia, on edelleen herkkä ns. relay-hyökkäykselle.

Relay-hyökkäys on tapa, jolla petostajat käyttävät langatonta teknologiaa saadakseen pankkikorttitiedot ja PIN-koodin (henkilökohtaisen tunnistusnumeron) sirulle ja PIN-kortille kaikkialla Euroopassa. Chip-and-PIN-kortit edellyttivät, että henkilö syöttää nelinumeroisen PIN-koodin myyntipisteisiin tai pankkiautomaatteihin, ja PIN-tunnisteen, jonka kortti on upotettu mikrosirulla.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Relay-hyökkäyksessä uhrin kortin tiedot tallennetaan vääristyneellä maksupäätteellä. Petostaja havaitsee PIN-numeron ja ilmoittaa sitten osallistujalle, joka suorittaa samanaikaisen tapahtuman jossain muualla. Sodentajalla on väärennetty, langaton maksukortti, joka käyttää väärän maksupäätteen saamia uhrin pankkitietoja petollisen liiketoimen tekemiseen.

Drimer ja Murdoch osoittivat välitysyrityksen vuonna 2007, mutta ei uskota olevan Murdoch totesi, että pankkien sekä Yhdistyneen kuningaskunnan että Alankomaiden pankit aikovat päivittää maksukortit uusilla turvallisuusominaisuuksilla estääkseen erilaisia ​​hyökkäyksiä. Murdoch ja Drimer testasivat yhden hollantilaisen pankin myöntämän kortin, jolla on kolme uutta ominaisuutta.

Yksi on dynaaminen tietojen todennus, jonka avulla kortti voidaan todentaa aitoiksi ilman, että tarvitsee muodostaa yhteyttä pankin järjestelmiin. Tämä estää niin kutsutun kyllä-hyökkäyksen, jossa kaikki PIN-koodit hyväksytään tapahtumalle. Toinen ominaisuus takaa, että asiakkaan PIN-koodi on salattu maksupäätteen ja kortin välisen tiedonsiirron aikana estäen tavallisen tekstin PIN-koodin leikkaamisen.

Viimeistä uutta ominaisuutta kutsutaan iCVV: ksi. Chip-and-PIN-kortit sisälsivät aikaisemmin kopion magneettinauhan tiedoista, joka sisältää kortin mikrosirun tiedot. ICVV: n avulla täydellistä magneettirivitietoa ei enää tallenneta siruun, Murdoch totesi.

Yksikään näistä kolmesta ominaisuudesta ei pysäyttänyt relay-hyökkäystä, kuten osoitettiin näytöksessä, Murdoch sanoi. Kuitenkaan mikään niistä ei ole suunniteltu nimenomaan lopettamaan relay-hyökkäyksen, hän sanoi. "Goudzoekers" -tuottajat halusivat nähdä, olivatko uudet kortit edelleen haavoittuvia releen hyökkäyksille, Murdoch sanoi. Murdoch, joka on tehnyt laajaa tutkimusta siru-ja PIN-korttien turvallisuudesta, sanoi, että hän ja Drimer eivät ajattelivat uusia ominaisuuksia estäisi relay-hyökkäys. He kuitenkin hyväksyivät näyttelypanoksen saadakseen "enemmän kokemuksia muissa maissa", hän sanoi.

Alankomaiden pankkiyhdistys hylkäsi viimeisimmän kokeilun, kun se totesi lausunnossaan, että välitystoiminta on lähes kolme vuotta vanha ja se on liian hankala ja monimutkainen, jotta se voidaan panna täytäntöön laaja-alaisesti.

Murdoch myöntää, että relaattajat ovat vaikeita vetää pois. Mutta kuten muut, helpompi hyökkäyskanavat suljetaan korttien vahvempien turvallisuusominaisuuksien vuoksi, on todennäköistä, että rikolliset "voivat alkaa tutkia tätä", hän sanoi.

Pankkiyhdistys väittää, että "rikolliset ovat liian tyhmiä ja laiskoja, "Murdoch sanoi. "Rikolliset ovat laiskoja, mutta he eivät ole tyhmiä."