En for nylig offentliggjort tekniske papir med titlen “Chip og pin-koden er knækket” af sikkerhedseksperter Steven Murdoch, Saar Drimer, Mike Bond og Ross Anderson afslører, hvor kriminelle kan bruge stjålne betalingskort uden pin-koden ved hjælp af manden i midten-angreb.
Det betyder ikke noget, hvis kortet er stjålet direkte eller kopieres, den metode, der virker begge veje. Publikationen sætter fokus på et alvorligt sikkerhedsproblem, da bankerne hævdede, indtil nu, at sikkerheden af betalingskort er beskyttet mod sådanne handlinger.
Angrebet er meget enkel i sin kerne. Det tager fordel af det faktum, at godkendelse forhandling afgøre, hvilken authentication metode anvendes, er ikke krypteret. Alt det gør, er at skifte den godkendelsesmetode, at “chip og underskrift transaktioner” at gøre terminalen brug af chip og pin-godkendelse. Effekten er, at angriberen kan indtaste det ønskede firecifrede ping til at godkende betalingen.
Hvad skal der ske, normalt er, at den pin-kode, der er indtastet af kunden er kontrolleret af terminalen. Transaktionen er kun tilladt, hvis pin-koden ind, er korrekte. Hvis det ikke er tilfældet, den transaktion, som ikke er godkendt, og en ny anmodning er blevet sendt for at indtaste den pin-kode.
Her er højdepunkterne i angrebet:
- angrebet gælder for kort, der bruges online (hvor købmanden POS kontakter den bank) såvel som offline.
- angrebet fungerer, uanset mængden af penge brugt (ikke bare for lille værdi, der ligger under gulvet grænse).
- angrebet virker ikke, når et kort er blevet annulleret af de bank — ligesom stjålne kort i fortiden, kan kun bruges til et bestemt vindue af tid, indtil ejeren af kortet, opdager, at kortet ikke er der længere eller meddelelser uautoriserede transaktioner.
- angrebet virker ikke i Pengeautomater (pengeautomater).
- den manglende gælder, at bank kort ordninger baseret på EMV – den mest udbredte standard til mine betalinger. Ældre nationale smartcard ordninger, der kan eller ikke kan være sårbar.
Følgende video er en rapport fra BBC om det problem, der viser nogle af de forskningsaktiviteter, herunder hvordan angreb er udført.
Ifølge forskerne, den ekspertise, der er nødvendig for at opbygge systemet ikke er alt for høj, og det udstyr, der er nødvendigt for det kan købes nemt. Det vises også nemt at skjule det, så handlende kan ikke registrere det.
Yderligere oplysninger findes i den offentliggjorte forskning papir.