Hacker steelt creditcard door kleding heen
Een hacker heeft gedemonstreerd hoe ze creditcardgegevens door muren en kleding heen kan stelen. Het gaat om creditcards met een RFID-chip. Volgens de onderzoekster zijn deze kaarten kwetsbaar voor een moderne vorm van zakkenrollerij. Tijdens de Shmoocon hackercoferentie demonstreerde Kristin Paget hoe ze onzichtbaar de gegevens kan uitlezen, om vervolgens een frauduleuze transactie uit te voeren. De benodigde hardware om de aanval uit te voeren zou slechts een paar honderd dollar kosten.
Op eBay kocht ze voor 50 dollar een Vivotecth RFID-creditcardlezer. Hiermee kan ze alle gegevens van de kaart uitlezen. Via een andere tool van 300 dollar kan ze de gestolen gegevens op een lege kaart kopiëren. In de Verenigde Staten zouden er inmiddels zo'n 100 miljoen RFID-creditcards in omloop. Visa noemt de technologie payWave, bij MasterCard heet het PayPass, terwijl American Express het tot ExpressPay heeft omgedoopt.
Encryptie
Paget, die voor een geslachtsverandering Christopher Paget heette, stelt dat het voor criminelen volstaat om tegen een slachtoffer aan te botsen. De gebruikte lezer zou de creditcardgegevens door materiaal zoals een leren portemonnee en kleding heen lezen. De onderzoekster merkt op dat het hier niet om een kwetsbaarheid gaat, maar een fundamenteel probleem dat elke commerciële RFID-lezer de gegevens kan uitlezen. "Wat voor encryptie er ook is, het maakt niet uit", laat ze weten. "De lezer laat de nummers gewoon zien alsof ik de betaalautomaat ben, wat gewoon stom is. Dit is een gênant eenvoudige hack, maar het werkt."
Veiliger
Een woordvoerder van de Smart Card Alliance merkt op dat ondanks dit en andere onderzoeken, inmiddels honderd miljoen mensen de kaart gebruiken en er geen meldingen van fraude zijn gedaan. Het zou erg lastig voor criminelen zijn om de kwetsbaarheid te verzilveren. De contactloze kaarten zouden ten opzichte van traditionele kaarten één extra beveiligingsmaatregel hebben, namelijk een eenmalige CVV-code die bij elke scan wordt uitgegeven. Die codes zijn voor maar één transactie bruikbaar.
"De werkelijkheid is dat consumenten deze technologie zouden moeten omarmen, omdat het hen veiliger maakt", aldus de woordvoerder. "Pogingen om het gebruik van chiptechnologie in diskrediet te brengen maakt gebruikers van bestaande technologie alleen maar kwetsbaarder."
Verder, what else is new bij draadloze communicatie en beveiliging... De hele industrie wil voor geen meter nadenken over serieuze veiligheid als ze een nieuw product bedenken. Iets met rfid bedrijfstoegang, paspoorten, ov-systemen, persoonlijke betaalproducten...
Heeft iemand hier ervaring mee?
Marthy
Laatst onder het stadskantoor de parkeergarage ingereden. Ik hoefde niet eens mijn kaart tegen een lezer te houden, op het moment dat ik bij de slagboom kwam, ging die al omhoog en was mijn komst aangemeld. Ik ben blij, dat ik een smsje krijg wanneer ik aan en afmeld, want anders zou dit wel eens onnodig veel geld kunnen kosten.
Dit is alleen met kaarten die een RFID chip hebben, en na dit filmpje werden die snel teruggetrokken uit de markt.
En een extra kwetsbaarheid, zoals in het artikel beschreven. Maar daar wil een woordvoerder het natuurlijk niet over hebben, die moet positief zijn, en goed nieuws brengen. Waarom laten ze niet eens de CSO van zo'n bedrijf het woord voeren in plaats van een muts die niet weet waar ze het over heeft, en die denkt dat ze wat krom is recht moet praten. Vermoeiend die communicatie marketing types.
Ja hoor, en andere kleding ook, De RF overcoat
http://www.lessemf.com/personal.html
1. Dit allang geleden door een TV programma is gedemonstreerd. Zie de youtu.be link hierboven.
2. Er in elke transactie een "token" zit dat maar 1x gebruikt kan worden. Je kunt de data kopieren ja, maar niet nogmaals gebruiken of aanbieden.
3. Om dit een hack te noemen, zijn erg grote woorden. Dit is namelijk zo ontworpen vanaf de eerste testen met contactless kaarten, zo'n 8 jaar geleden.
Ja hoor, en andere kleding ook, De RF overcoat
http://www.lessemf.com/personal.html
1. Dit allang geleden door een TV programma is gedemonstreerd. Zie de youtu.be link hierboven.
2. Er in elke transactie een "token" zit dat maar 1x gebruikt kan worden. Je kunt de data kopieren ja, maar niet nogmaals gebruiken of aanbieden.
3. Om dit een hack te noemen, zijn erg grote woorden. Dit is namelijk zo ontworpen vanaf de eerste testen met contactless kaarten, zo'n 8 jaar geleden.
Maar als je het bronartikel gelezen had, had je gezien dat je alsnog eenmalig een aankoop kan doen. Als het geen hack is, dan is het op z'n minst een grote ontwerpfout.
1. Dit allang geleden door een TV programma is gedemonstreerd. Zie de youtu.be link hierboven.
2. Er in elke transactie een "token" zit dat maar 1x gebruikt kan worden. Je kunt de data kopieren ja, maar niet nogmaals gebruiken of aanbieden.
3. Om dit een hack te noemen, zijn erg grote woorden. Dit is namelijk zo ontworpen vanaf de eerste testen met contactless kaarten, zo'n 8 jaar geleden.
Maar als je het bronartikel gelezen had, had je gezien dat je alsnog eenmalig een aankoop kan doen. Als het geen hack is, dan is het op z'n minst een grote ontwerpfout.
Er staat niet in het artikel "dat je alsnog eenmalig een aankoop kan doen"... Ik snap wel op welke paragraaf je dat baseert, maar dat is een ongelukkige uitspraak van de woordvoerder. Hoewel het ook wel weer klopt, want als je het token voor een 2e keer aanbied, zal een bank zien dat het niet klopt. Wat hij er niet bij zegt is dat als het voor de 1ste keer aanbied, het ook niet klopt, want je hebt nog een bepaalde random waarde uit het betaalautomaat nodig.
Voor meer informatie, lees: http://www.emvco.com/specifications.aspx?id=21
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.