Ulepszona holenderska karta płatnicza wciąż jest podatna na ataki z użyciem przekaźnika

Nowe funkcje bezpieczeństwa wdrażane w holenderskich kartach płatniczych nie powstrzymają tego rodzaju ataku, który oszuści mogliby wykorzystać w przyszłości w celu kradzieży pieniędzy z kont bankowych, wynika z badań przeprowadzonych przez University of Cambridge w Wielkiej Brytanii

Steven J. Murdoch i Saar Drimer z Cambridge Computer Group zademonstrowali w środę w holenderskim programie telewizyjnym "Goudzoekers", że karta płatnicza z nowymi zabezpieczeniami jest nadal narażona na tak zwany atak przekaźnikowy.

Atak typu "relay" to sposób, w jaki oszuści używają technologii bezprzewodowej do uzyskania danych karty bankowej i numeru PIN (osobistego numeru identyfikacyjnego) do kart płatniczych typu chip-and-PIN używanych w całej Europie. Karty chipowe i PIN-y wymagały od osoby wprowadzenia czterocyfrowego kodu PIN w punktach sprzedaży lub bankomatach, z kodem PIN uwierzytelnionym za pomocą mikroczipa osadzonego na karcie.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Podczas ataku sztafetowego szczegóły karty ofiary są rejestrowane za pośrednictwem zmodyfikowanego terminala płatniczego. Numer PIN jest obserwowany przez oszusta, a następnie przekazywany wspólnikowi dokonującemu równoczesnej transakcji gdzie indziej. Wspólnik posiada fałszywą, bezprzewodową kartę płatniczą, która wykorzystuje dane bankowe ofiary otrzymane z manipulowanego terminalu płatniczego w celu dokonania nieuczciwej transakcji.

Atak sztafetowy został zademonstrowany przez Drimer i Murdoch w 2007 roku, ale nie uważa się, że jest aktywnie wykorzystywane przez przestępców, ponieważ obecnie istnieją łatwiejsze sposoby na złamanie zabezpieczeń kart płatniczych, powiedział Murdoch.

Banki w Wielkiej Brytanii i Holandii planują ulepszyć karty płatnicze za pomocą nowych zabezpieczeń, aby udaremnić różnego rodzaju ataki. Murdoch i Drimer przetestowali kartę wydaną przez jeden holenderski bank, który ma trzy nowe funkcje.

Jednym z nich jest dynamiczne uwierzytelnianie danych, które umożliwia weryfikację karty jako autentycznej bez konieczności łączenia z systemami banku. To zapobiega tak zwanemu "tak" atakowi, gdzie każdy PIN zostanie zaakceptowany do transakcji. Inna funkcja zapewnia szyfrowanie kodu PIN klienta podczas komunikacji między terminalem płatniczym a kartą, co zapobiega przechwyceniu zwykłego kodu PIN.

Ostatnia nowa funkcja nosi nazwę iCVV. Karty z chipem i PINem zawierały wcześniej kopię informacji o pasku magnetycznym, która zawiera szczegóły konta w mikroukładzie karty. W przypadku iCVV, pełna informacja na temat paska magnetycznego nie jest już przechowywana w mikroukładzie, powiedział Murdoch.

Żadna z trzech funkcji nie zatrzymała ataku sztafetowego, jak wykazano w serialu, powiedział Murdoch. Jednak żaden z nich nie został zaprojektowany specjalnie do zatrzymania ataku przekaźników, powiedział. Producenci "Goudzoekers" chcieli sprawdzić, czy nowe karty nadal są podatne na atak sztafetowy, powiedział Murdoch. Koncert zapłacił tylko za jego i Drimer's loty do Holandii, aby przeprowadzić eksperyment, Murdoch powiedział.

Murdoch, który przeprowadził szeroko zakrojone badania w zakresie bezpieczeństwa kart chipowych i PIN, powiedział, że on i Drimer nie uważali nowe funkcje zapobiegną atakowi przekaźnikowemu. Jednak zaakceptowali prowizję programu w celu uzyskania "większego doświadczenia w systemach innych krajów", powiedział.

Holenderskie Stowarzyszenie Bankowe odrzuciło ostatni eksperyment, mówiąc w oświadczeniu, że atak sztafetowy ma prawie trzy lata i zbyt skomplikowane i skomplikowane do wdrożenia na szeroką skalę.

Murdoch przyznaje, że ataki sztafetowe są trudne do zniesienia. Ale jak inne, łatwiejsze drogi ataku są zamknięte ze względu na silniejsze zabezpieczenia kart, to prawdopodobnie przestępcy "mogą zacząć to analizować", powiedział.

Stowarzyszenie bankowe twierdzi, że "przestępcy są zbyt głupi i leniwi - powiedział Murdoch. "Przestępcy są leniwi, ale nie są głupi."