Onderzoekers hacken betaalautomaat met nep-pinpas
Onderzoekers hebben tijdens de Black Hat conferentie in Las Vegas laten zien hoe ze via een vervalste pinpas betaalautomaten kunnen hacken. Via de aanval is het mogelijk om creditcardnummers te stelen, zo bericht Tweakers.net, dat op de conferentie aanwezig is. Rafael Dominguez Vega en 'Nils' plaatsten op de vervalste pinpas hun eigen software. Daarmee is het vervolgens mogelijk om code op de betaalautomaat uit te voeren.
Uitlezen
Bij één van de betaalautomaten is het mogelijk om via deze software alle nummers van creditcards en de bijbehorende pincodes in het geheugen van de automaat uit te lezen. Het invoeren van de vervalste pinpas volstaat. Met een tweede vervalste pas is de informatie uit het geheugen van de betaalautomaat uit te lezen.
Aanvallers zouden wel op dezelfde dag moeten toeslaan, aangezien de hack na een reboot van de automaat ongedaan wordt gemaakt.
Patch
De kwetsbare betaalautomaten zijn wijdverbreid, maar de onderzoekers willen niet zeggen om welke fabrikant het gaat. Een patch zou inmiddels gereed zijn, maar nog niet zijn uitgerold.
Via een lek in een ander pinapparaat kunnen de aanvallers een transacties nabootsen zonder te betalen. "Als op het scherm wordt getoond dat de betaling is geslaagd en er uit de printer een bon komt, denkt de verkoper dat de transactie is voltooid", aldus Nils.
Met dank aan Jay voor de tip
Bij één van de betaalautomaten is het mogelijk om via deze software alle nummers van creditcards en de bijbehorende pincodes in het geheugen van de automaat uit te lezen.
De pincode is alleen nodig bij een transactie en hoort toch helemaal niet bewaard te worden?
Bij één van de betaalautomaten is het mogelijk om via deze software alle nummers van creditcards en de bijbehorende pincodes in het geheugen van de automaat uit te lezen.
De pincode is alleen nodig bij een transactie en hoort toch helemaal niet bewaard te worden?
oh ja joh, lekker makkelijk. niet bepaald nagedacht zeker?
de patch zal waarschijnlijk het geheugen lek dichten, en de transacties dubbel controleren op de vernieuwde transactie faker.
hoe dan ook, goed dat dit uitgezocht is. hoewel ik denk dat VEEL betaal automaat eigenaren niet veel met de patch zullen doen.
dit lijkt wel een beetje op de coldboot attack, hoewel dit natuurlijk anders werkt.
De pincode is alleen nodig bij een transactie en hoort toch helemaal niet bewaard te worden?
Ik had er natuurlijk even aan moeten denken naar het originele artikel te kijken.
Op Tweakers lees je dit:
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.