Továbbfejlesztett holland fizetési kártya továbbra is sebezhető a relé támadáshoz

A holland fizetőkártyákon végrehajtott új biztonsági funkciók nem fognak megállítani egy olyan támadást, amelyet a csalók a jövőben használhatnak a bankok számlájáról való pénzeltávolítás céljából, a Cambridge-i Egyetem kutatói szerint az Egyesült Királyságban

Steven J. Murdoch és a Cambridge Computer Group Saar Drimer a szerdai "Goudzoekers" holland televíziós show-on mutatták be, hogy az új biztonsági jellemzőkkel rendelkező fizetési kártya továbbra is sebezhető az úgynevezett relé támadással szemben.

A relé támadás olyan módszer, amely során a csalók használják a vezeték nélküli technológiát, hogy megkapják a bankkártya adatait és a PIN-kódot (személyi azonosítószám) az egész Európában használt chip- és PIN-kártyákhoz. A chip-és-PIN-kártyáknál egy személynek négy számjegyű PIN-kódot kellett beírnia az értékesítési pontokon vagy a készpénzzel ellátott gépeken, és a PIN-kódot a kártyán található mikrochip hitelesítette.

[További olvasmány: Windows PC-jéről]

A relé támadás során az áldozat kártyájának adatait egy szabotázs fizetési terminálon rögzítik. A PIN-kódot egy csaló észleli, majd egy másik ügyféllel egyidejűleg végrehajtott bűntársa felé továbbítja. A bűntársa hamis, vezeték nélküli fizetési kártyával rendelkezik, amely a hamisított fizetési terminálról kapott áldozat bankadatait használja csaló tranzakció céljából.

A relé támadást Drimer és Murdoch 2007-ben mutatta be, de nem hitték hogy a bűnözők aktívan használják, mivel a fizetőkártyák kompromisszumának könnyebb módja van, Murdoch elmondta:

Az Egyesült Királyságban és Hollandiában a bankok új fizetési kártyákkal bővítik a fizetési kártyákat, hogy megakadályozzák a különböző típusú támadásokat. Murdoch és Drimer egy olyan holland bank által kibocsátott kártyát tesztelt, amely három új funkcióval rendelkezik:

Az egyik dinamikus adat hitelesítés, amely lehetővé teszi, hogy a kártyát hitelesnek tekinthessük anélkül, hogy vissza kellene kapcsolódnunk a bank rendszeréhez. Ez megakadályozza az úgynevezett "igen" támadást, ahol minden tranzakcióhoz PIN kódot fogadnak el. Egy másik funkció biztosítja, hogy az ügyfél PIN kódja a fizetési terminál és a kártya közötti kommunikáció során titkosítva megakadályozza a sima szövegű PIN kód lehallgatását.

Az utolsó új funkciót iCVV-nek hívják. A chip-és-PIN kártyák korábban tartalmazták a mágnescsíkos információk egy példányát, amely a kártya mikrochipén belül tartalmaz adatokat. Az iCVV-en keresztül a teljes mágnescsík-információ már nem tárolódik a chipen belül, mondta Murdoch.

A három funkció közül egyik sem állt meg egy relé támadással, amint azt a show is mutatja. Azonban egyiket sem tervezték kifejezetten a relé támadás megállítására, mondta. A "Goudzoekers" producerek azt akarták látni, hogy az új kártyák továbbra is kiszolgáltatottak-e a relé támadásnak, mondta Murdoch. A show csak a saját és Drimer járatait Hollandiába fizette, hogy elvégezze a kísérletet, Murdoch azt mondta:

Murdoch, aki kiterjedt kutatást végzett a chip- és PIN-kártyák biztonságáról, azt mondta, hogy Drimer és Drimer nem gondolják új funkciók megakadályozzák a relé támadást. Azonban elfogadták a show megbízását, hogy "több tapasztalatot szerezzenek más országok rendszereiben" - mondta.

A holland bankszövetség elutasította a legújabb kísérletet, amelyben kijelentette, hogy a közvetítő támadás közel három éves, és túlságosan nehézkes és összetett ahhoz, hogy széleskörűen megvalósulhasson.

Murdoch elismeri, hogy a relé támadások nehezen lehúzódnak. De mivel a kártyák erősebb biztonsági jellemzői miatt a támadások egyéb, könnyebb útvonalait bezárják, valószínű, hogy a bűnözők "elkezdhetik ezt vizsgálni", mondja. "A bankszövetség úgy érvel, hogy" a bűnözők túl hülyék és lusta, "Mondta Murdoch. "A bűnözők lustaak, de nem hülyék."