"Ook toekomstige pinpas onveilig"
De nieuwe pinpas met EMV-chip, bedoeld om skimmen tegen te gaan, is onveilig en te kraken, zo laten onderzoekers vanavond in het VPRO televisieprogramma Goudzoekers zien. In de uitzending demonstreren twee onderzoekers van de Universiteit van Cambridge een aanval op de nieuwe pinpas die van EMV-chip is voorzien. Om welke aanval het precies gaat is onduidelijk, hoewel het lijkt om een "relay attack" te gaan. Al in 2006 onthulde de universiteit verschillende aanvallen op de EMV-chip, waaronder het afluisteren en relay-aanvallen.
Een aanvaller zou op verschillende manieren de PIN kunnen onderscheppen of de kaart en PIN in real-time kunnen gebruiken. Via een geprepareerde betaalautomaat zou al het verkeer van de kaart via een draadloze verbinding naar een andere crimineel worden verstuurd, die bijvoorbeeld bij de juwelier staat. “Naast deze mogelijkheid, zal ook veel van de fraude zoals die momenteel gepleegd wordt, nog steeds voorkomen. Want ook met het nieuwe systeem zullen de bankpassen waarschijnlijk nog steeds een magneetstrip hebben, om buiten Europa te kunnen betalen", zegt onderzoeker Steven Murdoch
Campagne
De banken starten binnenkort een grote campagne voor "Het Nieuwe Pinnen". In plaats van de magneetstrip, die nu op de bankpas zit, gebruikt men een EMV-chip, waarop de informatie wordt opgeslagen. Tegelijkertijd zal het Nederlandse PIN plaatsmaken voor Maestro of V Pay, beide betaalmerken van grote Amerikaanse creditcardmaatschappijen. Volgens de banken is de overstap nodig om het elektronisch betalen veilig te maken, en aansluiting te vinden op een gezamenlijk Europees pinsysteem. De Nederlandse banken zijn niet ongerust over de bevindingen van de onderzoekers en houden vol dat de nieuwe pinpassen wel veilig zijn. “Pinnen via de EMV-chip is veiliger dan via de magneetstrip.”
Nu kunnen de Roemenen lekker dicht bij huis hun skimming technieken uittesten zodat ze het later met alle gemak in Luilekkerland (Nederland) kunnen toepassen.
Deze "aanval" is al jaren geleden beschreven. Deze is erg onpraktisch, en vereist veel coordinatie en medewerking van frauduleuze winkeliers en omstanders. Er worden geen kaarten gekraakt of geskimmed.
Deze "aanval" is al jaren geleden beschreven. Deze is erg onpraktisch, en vereist veel coordinatie en medewerking van frauduleuze winkeliers en omstanders. Er worden geen kaarten gekraakt of geskimmed.
Als je de pasterminals modificeert en samenspant met de kassiers/cassieres, dan kan je nog wel meer trucs uithalen. Maar de pakkans wordt dan wel erg groot.
De banken moeten naast de EMV-chip ook aandacht besteden aan het tamper-proof maken van de pasterminals. Ik veronderstel dat dat ook wel gebeurt.
@Anoniem 11:22. Keuze? Dit is volgens mij juist een situatie waar je zo snel mogelijk iedereen naar chip only wilt migreren. Zolang er plekken bestaan waar je met magneetstrip kunt betalen, is je pas kopieerbaar.
@Insider 12:00. De eerste terminal kan helemaal nep zijn toch? Alle data wordt transparant doorgesluisd naar een smart card simulator (een "season interface" [1] oid) die in de tweede (wel echte) terminal zit. De tweede terminal hoef je daar niet voor aan te passen, maar verdacht staat het wel, dus omstanders en cassieres (m/v) moeten even de andere kant op kijken.
[1] http://images.google.com/images?q="season interface"
Zolang er plekken bestaan waar je met magneetstrip kunt betalen, is je pas kopieerbaar.
Dus geen pin-transacties van Europese passen meer buiten Europa toestaan, zodat de magneetstrip afgeschaft kan worden?
chip is veilig hoor, de overheid KAN EN ZAL NIET MEE KIJKEN...
chip is veilig hoor, de overheid KAN EN ZAL NIET MEE KIJKEN...
De overheid heeft bij EMV net zoveel mogelijkheden om zaken in te zien als bij de huidige kaarten.
Je moet in de tussentijd (dat er nog magneetstrippassen en non-EMV betaalpunten zijn) accepteren dat het risico op skimmen er nog steeds is.
Nerd-criminelen pakken het technisch aan: pinpassen skimmen en zo. De meer fysiek gerichte criminelen rukken je tas van je schouder. Of, als ze veel tv kijken, kopen een mes of een pistool.
Nu is het net als met schoonmaakmiddelen. Als die 99% van alle huishoudbacteriën doden, geven ze de echt gevaarlijke bacteriën ruim baan. Dat zien we nu overal gebeuren. Dat kan ook met criminelen. Blokkeer alle mogelijkheden voor de nerds, en wat houd je over? De echte fysieke rovers. Nou, een geplunderde rekening is één, maar een mes in je ribben is nog heel andere koek.
Dus: laat een gaatje voor de niet-gewelddadige criminaliteit. Zie het als een veiligheidsklep. Het geld ben je toch kwijt, als het niet is aan diefstal, dan wel aan anti-diefstalmaatregelen. Of aan de salarissen van duizenden en duizenden extra politiemensen. (Wil hier trouwens iemand politieagent worden? Nee? Wie wel dan?)
zonder risico voor je privacy...
CASH !
ik hoop dat er nog geen rfid chip in ons briefgeld zit...;)
Veiligheids marges worden ingeschat met als argument dat er tot op het moment van schatten zich geen fouten hebben voorgedaan.
Als we het volgende horen of lezen dan kan je er van op aan dat er gelogen en grof gemarchandeerd word met veiligheid, ten gunste van financieel gewin:
- honderd procent veilig bestaat niet
- samenwerken van belangen partijen zoals banken, detailhandel en overheid in een overleg platvorm
- slechts 1% schade op de gehele omzet
- het valt wel mee maar we doen er geen mededelingen over - EMV is veiliger dan strip.
Banken zijn volkomen onnozel over wat de consument van hun qua veiligheid verwacht.
De Nederlandse banken zijn er al sinds 2001 mee bezig, maar wij hadden al een goede debitcard infrastructuur (pin)
Verbaast mij nix dat de technologie nu achterhaald is. Besliskracht kan men interbancair niet bepaald krachtig noemen in dit kikkerlandje.
de uitzending is geweest. Dat viel behoorlijk tegen. Veel poeha om niets zou ik zeggen.
Het is dus precies dezelfde relay attack als het tweetal in 2007 heeft uitgevoerd.
De VPRO legt helemaal niets uit, alleen maar bombastische stellingen (de pas is nu al gekraakt). Gelukkig ken ik deze aanval.
Dit heeft helemaal niets met EMV te maken. *Elk* protocol tussen betaalterminal en chip dat je zou kunnen bedenken is kwetsbaar hiervoor. Want de chip en de betaalterminal praten met elkaar alleen nu over een grote afstand. De kern is dat mensen hun pasjes in gemanipuleerde apparaten duwen. Het is alsof je aan iemand je pasje geeft en je geeft (typt) er ook nog je pincode bij. Als een onbekend persoon je hierom zou vragen zou je hem uitlachen, maar als een apparaat je hierom vraagt doe je het zonder agwaan. Probleem blijft hetzelfde dus: de mens maar er valt hem niets te verwijten.
Bovendien, in de backend systemen van de bank gaat het wel opvallen dat je op twee verschillende plekken op nagenoeg identieke tijd met dezelfde pas een transactie doet. Een makkie om eruit te pikken ten opzichte van de geavanceerde detectie die ze op credit card systemen hebben. Vooral omdat we het hier over online transacties hebben (dwz er wordt nog steeds met de bank gechecked of het geld er echt is).
In jouw "nagenoeg dezelfde tijd" opmerking zit mogelijk wel een technische oplossingsrichting voor relay attacks, zie http://en.wikipedia.org/wiki/Distance-bounding_protocol.
Het toont wel weer aan dat ook Nederlandse banken bewust voor onveilige systemen/producten kiezen vanwege financieel gewin. Maar ook daar is niets nieuws aan:)
Van mij mogen ze elke week dit soort documentaires herhalen tot dat ze bij de banken wakker worden dat hun gemakzuchtige mentaliteit niet werkt.
We leven tegenwoordig in een maatschappij waar verantwoording voor product foutjes word afgewezen in de levering voorwaarden en in de media worden opgelost door ze te ontkennen en gewoon door te gaan met levering. Overgenomen van de software industrie, die zijn ook nergens verantwoordelijk voor:)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.