"Opvolger pinpas wel eenvoudig te kraken"
In tegenstelling tot wat de Nederlandse Vereniging van Bank beweert, is de aanval op de nieuwe pinpas helemaal niet zo ingewikkeld en omslachtig, aldus de onderzoekers die dit woensdag tijdens het VPRO-programma Goudzoekers lieten zien. Het ging hier inderdaad om de "relay aanval", die de onderzoekers van de Universiteit van Cambridge eerder al in 2007 demonstreerden. Het aanvallen van de Nederlandse EMVpinpas ging niet van een leien dakje. In tegenstelling tot de Britse pinpassen, zijn hier betere beveiligingsmaatregelen aangebracht.
Het gaat dan om Dynamische Data Authenticatie (DDA). Dat voorkomt dat aanvallers een chip kunnen klonen om bij offline transacties te gebruiken. Dit zorgt ervoor dat de kaart wel iets duurder wordt. Een ander onderdeel is de versleutelde PIN. In Groot-Brittannië is de door de gebruiker ingevoerde PIN onversleuteld als het naar de kaart wordt gestuurd, waardoor die via een gemanipuleerde betaalautomaat is af te luisteren. Verder beschikt de Nederlandse kaart over een feature genaamd iCVV, die een deel van de magnetische strip in de chip bewaart, terwijl dit bij de Britten de volledige magneetstrip is. Een aanvaller zou dan de magneetstrip weer kunnen klonen.
Tijdgebrek
Ondanks deze aanvullende maatregelen, werkt de relay aanval nog steeds, net als bij de demonstratie in 2007. "Dit laat zien dat één van de misvattingen over de relay aanval, dat DDA kaarten die voorkomen, niet waar is", zegt onderzoeker Steven J. Murdoch. Daardoor was hij ervan overtuigd dat hij de aanval ook in Nederland kon uitvoeren, maar dat ging niet zo makkelijk. De betaalautomaat werkte anders dan de Britse variant. Het grootste probleem was dat de terminal zeer gevoelig voor de vertraging was die door storing op de wireless verbinding werd veroorzaakt. Uiteindelijk kwamen ze met een oplossing, maar die werkte alleen voor de onversleutelde PIN, iets waar de onderzoekers geen rekening mee hadden gehouden. "Het implementeren van de aanval voor versleutelde PIN is lastiger, omdat je de incorrecte PIN moet vervangen met de correcte die met de publieke sleutel van de kaart versleuteld is en die we tijdens het begin van de transactie onderschepten."
Door tijdgebrek en het risico dat als men drie foute PINs invoerde de enige kaart die er was geblokkeerd zou worden, besloot men deze aanval te schrappen. "Dat kan één van de redenen zijn waarom de Nederlandse Vereniging van Banken zegt dat de aanval ingewikkeld en omslachtig is." Criminelen hebben deze beperking niet en kunnen de tijd nemen om de PIN-substitutie voor Nederlandse EMVpinpassen te implementeren, waardoor het beter haalbaar is."
Bescherming
De enige bescherming tegen de relay aanval is "distance bouding", zoals de onderzoekers in dit academisch onderzoek beschrijven. Het grote probleem is dat nog geen enkele smartcard dit ondersteunt. "De relay aanval is ook niet afhankelijk dat magnetische strip transacties worden ondersteund, noch kan versleutelde PIN de aanval voorkomen."
het mag niets kosten. xD
het mag niets kosten. xD
Het geen dat het kost wordt straks gewoon door berekend aan de klant ....
Maargoed al zouden ze een systeem kunnen ontwikkelen dat voor 99% veilig is dan verliest de rabobank jou gegevens wel op een USB stick .... :P
Er kwam best nogal wat apparatuur an te pas en een pinpas waarop en kabeltje was aangesloten die door de mouw van de skimmer loopt.
Maar het is te doen en als het te doen is, dan zal het zeker gedaan worden in de toekomst.
Maar de twee amerikaanse creditcard bedrijven die de kaarten leveren gaan er bakken aan verdienen.
Niet de komende 5 jaar want de prijs ligt 5 jaar vast, maar daarna zullen ze ons dubbel en dwars terug pakken.
In engeland en frankrijk zijn de pinkosten behoorlijk gestegen
Hoe zit het met de uitwisseling met het buitenland, ook wat veiligheid betreft?
Banken bieden de betaaldienst aan om van het contante geld af te komen, dus geen kassa's resp. geen kassiers meer, en geen geldtransporten . Want dat kost eerst geld. Niet in eerste instantie om aan de pin-transactie te verdienen.
Verder is dit artikel is een academisch lulverhaal. Omdat het zo'n makkie is in "Great" Britain nemen ze bij voorbaat al aan dat het overal zo gemakkelijk gaat. Alsof GB de standaard de dingen is. Gelukkig zijn toch wat wijzer (geworden).
Banken bieden de betaaldienst aan om van het contante geld af te komen, dus geen kassa's resp. geen kassiers meer, en geen geldtransporten . Want dat kost eerst geld. Niet in eerste instantie om aan de pin-transactie te verdienen.
Verder is dit artikel is een academisch lulverhaal. Omdat het zo'n makkie is in "Great" Britain nemen ze bij voorbaat al aan dat het overal zo gemakkelijk gaat. Alsof GB de standaard de dingen is. Gelukkig zijn toch wat wijzer (geworden).
academisch lulverhaal heh ? Aan jou taalgebruik te zien zul jij nooit van je leven een academie van binnen zien.
Jou hele beargumentering klopt niet, je betaalt immers zelf voor transport. Je betaalt voor het tellen van het contant geld en ook daar verdienen ze op. PIN is alleen maar een extra mogelijkheid om extra geld binnen te halen, consumenten merken daar niet zoveel van omdat een transactie voor hun gratis is. Het bedrijfsleven kan betalen per abbo of per transactie in beide gevallen zal het duurder worden omdat de bank nu een "geldige" reden heeft om de hoogte van het abbo of van de transactie te verhogen.
Het zal nog wel even duren voor de aanvaller dus danig zijn ontwikkeld zodat ze makkelijk bruikbaar zijn zoals skimming. Dit pinpas bestond namelijk al even voordat er op grote schaal geskimmed werd, dat zal hier ook wel mee gebeuren.
Ik voel meer voor een thee-way-authentication, iets in de trant met een Token of een soort van persoonlijke random reader ofzo ....
En overigens ben ik van mening dat totale veiligheid in het betalingslverkeer onwenselijk is. Dan is geweld nog de enige mogelijkheid om aan andermans geld te komen. Daar wordt het niet prettiger van op straat. De criminaliteit volledig uitbannen? Hahahaha!
Het is: niet jou maar jouw..., en academisch lulverhaal, hè?
"Het zal nog wel even duren voor de aanvaller dus danig zijn ontwikkeld zodat ze makkelijk bruikbaar zijn zoals skimming. Dit pinpas bestond namelijk al even voordat er op grote schaal geskimmed werd, dat zal hier ook wel mee gebeuren".
en het is ...de aanvallen dusdanig...
en het is niet: ...dit pinpas maar de pinpas...
Jij bent eerder rijp voor een opfriscursus NL.
Een bank is geen sociale maar een commerciële instelling, die zich net als elk ander bedrijf voor zijn diensten laat betalen.
De pinpas op zich is al een token, en jij wilt er nog eentje aan toe voegen, zeer onpraktisch dus volstrekt onuitvoerbaar.
Ik blijf gewoon werken zoals ik al jaren doe, pinnen bij en automaat en voor de rest contant betalen.
Wat dat betreft zoeken de banken het maar lekker uit.
Ik blijf gewoon werken zoals ik al jaren doe, pinnen bij en automaat en voor de rest contant betalen.
Wat dat betreft zoeken de banken het maar lekker uit.
Hier ben ik het helemaal mee eens!
PS Het is ook niet "dit pinpas" maar "deze pinpas" Predjuh :)
Waar het om gaat, is wie er voor de ontstane schade opdraait. Bij de 'oude' creditcards (toen je nog gewoon met handtekening betaalde) had de kaarthouder altijd gelijk: je hoefde maar te zeggen dat je een transactie niet had gedaan en je kreeg je geld terug (en pas als ononstotelijk vaststond dat je het toch echt wel zelf had gedaan moest je alsnog betalen).
In het nieuwe systeem wordt de klant verantwoordelijk voor al het gebruik van de pas in combinatie met de juiste pincode. Dus in het scenario dat iemand je pincode afkijkt tijdens het intoetsen, en vervolgens je pasje uit je zak rolt, ben jij in het vervolg de pineut. De logfile van de bank die aantoont dat de pincode in 1 keer goed is ingetoetst, is al eerder geaccepteerd als bewijs dat ofwel de klant de transactie zelf heeft gedaan, ofwel dat hij onzorgvuldig met z'n pincode is omgegaan - en daarmee verantwoordelijk is voor het gepinde bedrag.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.