Upgradovaná nizozemská platební karta je stále zranitelná vůči přenosovému útoku

Nové bezpečnostní prvky, které jsou implementovány do nizozemských platebních karet, nezabrání jakémukoli útoku, který by podvodníci mohli v budoucnu využít k ukradnutí peněz z bankovních účtů, podle výzkumníků z University of Cambridge ve Spojeném království

Steven J. Murdoch a Saar Drimer z počítačové skupiny Cambridge prokázali ve středu v holandské televizní show "Goudzoekers", že platební karta s novými bezpečnostními funkcemi je stále zranitelná vůči takzvanému relé útoku

Přenosový útok je způsob, jakým podvodníci využívají bezdrátovou technologii k získání údajů o bankovních kartách a PIN (Personal Identification Number) pro čipové a PIN platební karty používané v celé Evropě. Karty Chip a PIN vyžadovaly, aby osoba zadala čtyřmístný kód PIN v zařízeních nebo pokladnách, kde byl kód PIN ověřen mikročipem vloženým do karty.

[Další informace: Jak odstranit malware z vašeho počítače se systémem Windows]

Při útoku na relé jsou údaje o kartě oběti zaznamenány prostřednictvím neoprávněného platebního terminálu. Číslo PIN je zaznamenáno podvodníkem a poté oznámeno spolupachateli provádějícímu současnou transakci někde jinde. Komplica má falešnou platební kartu s bezdrátovou platností, která využívá bankovní údaje oběti, které obdržely z neoprávněného platebního terminálu, aby podvodnou transakci provedli.

Útok byl předveden Drimerem a Murdochem v roce 2007, ale není věřil být akvizice jsou využívány kriminálníky, protože nyní existují jednodušší způsoby, jak kompromitovat platební karty, uvedl Murdoch.

Banky ve Velké Británii a Nizozemsku mají v úmyslu aktualizovat platební karty s novými bezpečnostními funkcemi, aby zamezily různým druhům útoků. Murdoch a Drimer testovali kartu vydanou jednou holandskou bankou, která má tři nové funkce.

Jedním z nich je ověřování dynamických dat, které umožňuje ověřit, že karta je skutečná, aniž by bylo nutné se připojit k bankovním systémům. Zabraňuje takzvanému "ano" útoku, kde bude pro transakci akceptován jakýkoli PIN. Dalším znakem je, že PIN kód zákazníka je šifrovaný během komunikace mezi platebním terminálem a kartou, což zabraňuje zachycení PIN kódu.

Poslední nová funkce se nazývá iCVV. Chip a PIN karty předtím obsahovaly kopii informací o magnetickém proužku, které obsahují údaje o účtu v rámci mikročipu karty. S iCVV, kompletní informace o magnetickém proužku nejsou ukládány do čipu, řekl Murdoch.

Žádný ze tří funkcí nezastavil reléový útok, jak ukázal na show, řekl Murdoch. Žádný z nich však nebyl navržen speciálně k tomu, aby zastavil reléový útok, řekl. Výrobci hry "Goudzoekers" chtěli zjistit, zda jsou nové karty stále zranitelné vůči útoku na relé, řekl Murdoch. "Murdoch, který provedl rozsáhlý výzkum v oblasti bezpečnosti čipových a PIN karet, řekl, že on a Drimer nemysleli nové funkce by zabránily útoku relé. Nicméně, oni přijali provizi výstavy, aby získali "více zkušeností v systémech jiných zemí," řekl.

Holandská bankovní sdružení odmítla poslední experiment, říkat ve svém prohlášení, že relé útok je téměř tři roky a je příliš těžkopádná a složitá, aby byla implementována v širokém měřítku.

Murdoch připouští, že útoky relé jsou obtížné vyjít. Ale jelikož jiné, snadnější cesty útoku jsou uzavřeny kvůli silnějším bezpečnostním prvkům v kartách, je pravděpodobné, že se zločinci "začnou zabývat," řekl.

Bankovní sdružení tvrdí, že "zločinci jsou příliš hloupí a líní, "Řekl Murdoch. "Zločinci jsou líní, ale nejsou hloupí."