Oppgradert nederlandsk betalingskort som fortsatt er utsatt for relayattack

Nye sikkerhetsfunksjoner som blir implementert i nederlandske betalingskort, vil ikke stoppe et slags angrep som svindlere kan bruke i fremtiden for å stjele penger fra bankkontoer, ifølge forskere ved University of Cambridge I Storbritannia

demonstrerte Steven J. Murdoch og Saar Drimer fra Cambridges Computer Group på onsdagens fjernsynshow "Goudzoekers" at et betalingskort med nye sikkerhetsfunksjoner fortsatt er sårbart for et såkalt relayangrep.

Et reléangrep er en måte som svindlere bruker trådløs teknologi for å få tak i bankkortdetaljer og PIN-kode (Personlig Identifikasjonsnummer) for chip-og-PIN-betalingskort som brukes i hele Europa. Chip-and-PIN-kort krevde en person til å skrive inn en firesifret PIN-kode ved salgssteder eller kontantmaskiner, med PIN-koden godkjent av en mikrochip innebygd i kortet.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

I reléangrepet blir offerets kortdetaljer registrert gjennom en manipulert betalingsterminal. PIN-nummeret observeres av en svindler og kommuniseres deretter til en medskyldig som utfører en samtidig transaksjon et annet sted. Medskyldige har et falskt, trådløst aktivert betalingskort som bruker offerets bankdetaljer mottatt fra den manipulerte betalingsterminalen for å gjøre en bedragerisk transaksjon.

Reléangrepet ble demonstrert av Drimer og Murdoch i 2007, men antas ikke å være Brukes aktivt av kriminelle siden det er enklere måter å kompromittere betalingskort, sa Murdoch.

Banker i både Storbritannia og Nederland har planer om å oppgradere betalingskort med nye sikkerhetsfunksjoner for å bekjempe ulike typer angrep. Murdoch og Drimer testet et kort utstedt av en nederlandsk bank som har tre nye funksjoner.

En er dynamisk dataautentisering, noe som gjør at et kort kan verifiseres som ekte uten å måtte koble til bankens systemer. Det forhindrer et såkalt "ja" angrep, der en PIN-kode vil bli akseptert for en transaksjon. En annen funksjon sørger for at kundens PIN-kode krypteres under kommunikasjon mellom en betalingsterminal og kortet, for å forhindre avlytelse av en vanlig tekst-PIN.

Den siste nye funksjonen kalles iCVV. Chip-and-PIN-kort inneholdt tidligere en kopi av magnetstrimmelinformasjonen, som inneholder kontoopplysninger i kortets mikrochip. Med iCVV er den komplette magnetiske stripeinformasjonen ikke lenger lagret i brikken, sa Murdoch.

Ingen av de tre funksjonene stoppet et reléangrep, som demonstrert på showet, sa Murdoch. Men ingen av dem ble designet spesielt for å stoppe et reléangrep, sa han. Produsentene av "Goudzoekers" ønsket å se om de nye kortene fortsatt var sårbare for reléangrepet, sa Murdoch. Visningen betalte bare for hans og Drimers fly til Nederland for å gjøre forsøket, sa Murdoch.

Murdoch, som har gjort omfattende undersøkelser av sikkerheten til chip-and-pin-kort, sa at han og Drimer ikke trodde Nye funksjoner vil forhindre et reléangrep. Men de aksepterte showets oppdrag for å få "mer erfaring i andre lands systemer," sa han.

Den nederlandske bankforeningen avviste det siste eksperimentet og sa i en uttalelse at reléangrepet er nesten tre år og er altfor tungvint og komplekst å bli implementert i stor skala.

Murdoch innrømmer at reléangrep er vanskelig å trekke av. Men som andre, blir enklere avenyer avstengt på grunn av sterkere sikkerhetsfunksjoner i kortene, er det sannsynlig at kriminelle "kan begynne å se på dette," sa han.

Bankforeningen hevder at "kriminelle er for dumme og dovne, Sa Murdoch. "Kriminelle er lat, men de er ikke dumme."