Αναβαθμισμένη ολλανδική κάρτα πληρωμών εξακολουθεί να είναι ευάλωτη σε επιθέσεις μετάδοσης

Τα νέα χαρακτηριστικά ασφαλείας που εφαρμόζονται στις ολλανδικές κάρτες πληρωμών δεν θα σταματήσουν ένα είδος επίθεσης που οι απατεώνες θα μπορούσαν να χρησιμοποιήσουν στο μέλλον για να κλέψουν χρήματα από τραπεζικούς λογαριασμούς, σύμφωνα με τους ερευνητές του Πανεπιστημίου του Cambridge στο Ηνωμένο Βασίλειο

Ο Steven J. Murdoch και ο Saar Drimer του Computer Group του Cambridge κατέδειξαν την ολλανδική τηλεοπτική εκπομπή «Goudzoekers» την Τετάρτη ότι μια κάρτα πληρωμής με νέα χαρακτηριστικά ασφαλείας εξακολουθεί να είναι ευάλωτη σε μια λεγόμενη επίθεση ρελέ

Μια επίθεση αναμετάδοσης είναι ένας τρόπος με τον οποίο οι απατεώνες χρησιμοποιούν ασύρματη τεχνολογία για να αποκτήσουν τα στοιχεία της τράπεζας και τον αριθμό PIN (Personal Identification Number) για τις κάρτες πληρωμών chip και PIN που χρησιμοποιούνται σε ολόκληρη την Ευρώπη. Οι κάρτες Chip και PIN απαιτούσαν από ένα άτομο να εισάγει έναν τετραψήφιο κωδικό PIN στις συσκευές σημείου πώλησης ή σε ταμειακές μηχανές, με το PIN επικυρωμένο από έναν μικροτσίπ ενσωματωμένο στην κάρτα.

[Περαιτέρω ανάγνωση: Τρόπος κατάργησης κακόβουλου λογισμικού από τον υπολογιστή σας Windows]

Στην επίθεση αναμετάδοσης, τα στοιχεία της κάρτας του θύματος καταγράφονται μέσω ενός τερματικού τερματικού πληρωμής. Ο αριθμός PIN παρατηρείται από έναν απατεώνα και στη συνέχεια κοινοποιείται σε συνεργάτη που εκτελεί ταυτόχρονη συναλλαγή κάπου αλλού. Ο συνεργός διαθέτει μια πλαστή κάρτα πληρωμής με δυνατότητα ασύρματου δικτύου που χρησιμοποιεί τα τραπεζικά στοιχεία του θύματος που έλαβε από το τερματικό πληρωμής για να πραγματοποιήσει μια δόλια συναλλαγή.

Η επίθεση ρελέ επιδείχθηκε από τους Drimer και Murdoch το 2007, αλλά δεν πιστεύεται ότι είναι που χρησιμοποιούνται ενεργά από εγκληματίες, καθώς υπάρχουν ευκολότεροι τρόποι για να υπονομευθούν οι κάρτες πληρωμών, δήλωσε ο Murdoch

Οι τράπεζες τόσο στο Ηνωμένο Βασίλειο όσο και στις Κάτω Χώρες σχεδιάζουν να αναβαθμίσουν κάρτες πληρωμών με νέα χαρακτηριστικά ασφάλειας για να αποτρέψουν διάφορες επιθέσεις. Ο Murdoch και ο Drimer εξέτασαν μια κάρτα που εκδόθηκε από μια ολλανδική τράπεζα που διαθέτει τρία νέα χαρακτηριστικά.

Ο ένας είναι η αυθεντικοποίηση δυναμικών δεδομένων, η οποία επιτρέπει την επαλήθευση μιας κάρτας ως γνήσια χωρίς να χρειάζεται να συνδεθεί πίσω στα συστήματα της τράπεζας. Αυτό αποτρέπει τη λεγόμενη "ναι" επίθεση, όπου οποιοδήποτε PIN θα γίνει αποδεκτό για μια συναλλαγή. Μια άλλη λειτουργία διασφαλίζει ότι το PIN του πελάτη κρυπτογραφείται κατά την επικοινωνία μεταξύ ενός τερματικού πληρωμής και της κάρτας, αποτρέποντας την υποκλοπή ενός PIN απλού κειμένου.

Η τελευταία νέα λειτουργία ονομάζεται iCVV. Οι κάρτες Chip και PIN περιέχουν προηγουμένως αντίγραφο των πληροφοριών μαγνητικής λωρίδας, οι οποίες περιέχουν στοιχεία λογαριασμού εντός του μικροτσίπ της κάρτας. Με το iCVV, οι πλήρεις πληροφορίες μαγνητικής λωρίδας δεν αποθηκεύονται πλέον στο τσιπ, δήλωσε ο Murdoch.

Κανένα από τα τρία χαρακτηριστικά δεν σταμάτησε μια επίθεση ρελέ, όπως έδειξε στο show, είπε ο Murdoch. Ωστόσο, κανένα από αυτά δεν σχεδιάστηκε ειδικά για να σταματήσει μια επίθεση ρελέ, είπε. Οι παραγωγοί των "Goudzoekers" ήθελαν να δουν αν οι νέες κάρτες εξακολουθούσαν να είναι ευάλωτες στην επίθεση ρελέ, δήλωσε ο Murdoch. Ο Murdoch, ο οποίος έχει κάνει εκτενή έρευνα για την ασφάλεια των καρτών chip και PIN, δήλωσε ότι ο Drimer δεν πίστευε ότι οι οδηγοί του, νέα χαρακτηριστικά θα εμπόδιζαν μια επίθεση ρελέ. Ωστόσο, δέχτηκαν την επιτροπή της επίδειξης προκειμένου να αποκτήσουν "περισσότερη εμπειρία σε συστήματα άλλων χωρών", ανέφερε.

Ο Ολλανδός Σύνδεσμος Τραπεζών απέρριψε το τελευταίο πείραμα, λέγοντας σε μια δήλωση ότι η επίθεση ρελέ είναι σχεδόν τριών ετών και είναι πολύ βαρύ και περίπλοκο για να εφαρμοστεί σε ευρεία κλίμακα.

Ο Murdoch παραδέχεται ότι οι επιθέσεις ρελέ είναι δύσκολο να αποσυρθούν. Αλλά καθώς άλλες, ευκολότερες οδούς επίθεσης είναι κλειστές λόγω των ισχυρότερων χαρακτηριστικών ασφάλειας στις κάρτες, είναι πιθανό οι εγκληματίες να "αρχίσουν να εξετάζουν αυτό το θέμα", δήλωσε.

Ο τραπεζικός σύλλογος υποστηρίζει ότι "οι εγκληματίες είναι πολύ ηλίθιοι και τεμπέλης, Δήλωσε ο Murdoch. "Οι εγκληματίες είναι τεμπέλης, αλλά δεν είναι ηλίθιοι."