En nyligen publicerad tekniska dokument med titeln “Chip och pin-kod är trasig” av trygghet forskare Steven Murdoch, Saar Drime, Mike Bond och Ross Anderson avslöjar hur brottslingar kan använda stulna betalning med kort utan pin-koden med hjälp av man-i-mitten-attacker.
Det spelar ingen roll om kortet är stulet direkt eller kopieras, den metod som fungerar åt båda hållen. Publikationen belyser ett allvarligt säkerhetsproblem som bankerna hävdade först nu som säkerhet för betalning med kort är skyddade från sådana handlingar.
Angrepp är mycket enkel i sin kärna. Det tar fördel av det faktum att autentisering förhandlingar avgöra vilken autentiseringsmetod som används är inte krypterad. Allt det gör är att byta authentication method för att “chip och signatur transaktioner”, vilket gör terminalen använda chip och pin-kod. Effekten är att angriparen kan ange en fyrsiffrig ping för att godkänna betalningen.
Vad ska hända normalt är att den pin-kod som anges av kunden kontrolleras av terminalen. Transaktionen är endast tillåtet om pin-kontrollera att den är korrekt. Om detta inte är fallet, den transaktion som inte är auktoriserad och en ny begäran skickas för att ange den pin-kod.
Här är höjdpunkterna i attacken:
- attack gäller för kort som används online (där handlaren POS kontakter banken) såväl som offline.
- attacken fungerar oberoende av hur mycket pengar (inte bara för små värden som ligger under golvet gräns).
- attacken fungerar inte när ett kort har upphävts av bank — precis som stulna kort i det förflutna, som kan användas endast för en viss tidsperiod tills ägaren av kortet meddelanden om att kortet inte är det längre, eller meddelanden obehöriga transaktioner.
- attacken inte fungerar i Uttagsautomater (bankomater).
- felet gäller bank-kort program som bygger på att EMV – den mest spridda standarden för smartcard betalningar. Äldre nationella smartcard-system kan eller kan inte vara sårbar.
Följande video är en rapport från BBC om den fråga som visar en del av den forskning bland annat om hur attackerna utförs.
Enligt forskarna, den kompetens som behövs för att bygga upp systemet är inte alltför höga och den utrustning som behövs för att den kan köpas enkelt. Det verkar också lätt att gömma den så att handlarna inte kan identifiera den.
Ytterligare information finns i publicerad forskning på papper.