Britse onderzoekers hebben mogelijk bewijs gevonden criminelen ook het nieuwe pinnen kunnen skimmen. Ross Anderson begon het onderzoek naar mogelijke fraude met EMV-pinpassen meer dan negen maanden geleden, toen bankklanten over fraude klaagden, ook al hadden ze hun pincode met niemand gedeeld. De banken wilden de slachtoffers niet vergoeden, omdat de EMV-technologie fraude onmogelijk zou maken.

Gebruikte de oude pinpas nog een magneetstrip, de EMV-pinpas is van een chip voorzien, die niet te skimmen zou zijn. De kwetsbaarheid die de aanvallers mogelijk hebben misbruikt bevindt zich in de willekeurige nummers die geld- en betaalautomaten genereren. Met deze nummers worden transacties geauthenticeerd. De nummers zijn echter niet geheel willekeurig, maar voorspelbaar.

Pre-play
Via een 'pre-play' aanval kunnen aanvallers met een vervalste betaalpas een frauduleuze transactie vesturen. Deze valse betaalpas is voorzien van een geprepareerde chip. EMV-apparaten moeten voor elke transactie een onvoorspelbaar nummer genereren. Bij oudere versies van de EMV-specificatie werd niet duidelijk gesteld hoe de willekeurige nummers moesten worden gegenereerd. De enige vereiste was dat het betaalapparaat vier opeenvolgende onvoorspelbare nummers genereerde.

De onderzoekers analyseerden 1.000 transacties van 22 verschillende geldautomaten en 5 betaalautomaten en ontdekten dat het inderdaad mogelijk is om een 'pre-play' aanval uit te voeren. Hierbij gebruiken de aanvallers een nummer waarvan ze weten dat de betaalautomaat dit in de toekomst zal genereren.

Daarbij hebben de aanvallers de pincode van de klant niet eens nodig, omdat de betaalautomaat die niet naar de bank stuurt, maar offline controleert. Hierbij wordt de pincode met de waarde op de kaart vergeleken, maar aangezien de aanvaller een vervalste kaart gebruikt, kan die een willekeurige pincode kiezen en die vervolgens bij de automaat invoeren.

Wel moet de aanvaller eerst de details van de te skimmen pinpas bemachtigen. Dit kan volgens de onderzoekers in een winkel die door bijvoorbeeld criminelen wordt gerund. Zodra de klant zijn pas in de geprepareerde automaat steekt, worden de gegevens gekopieerd en later gebruikt voor een gekloonde kaart. De aanvallers moeten wel aan bepaalde voorwaarden voldoen. Zo moeten ze van tevoren het aan te vallen land, datum en bedrag kiezen.

Banken
"Keer op keer hebben klanten geklaagd over fraude en kregen van banken te horen dat EMV veilig is, en dat ze het verkeerd hadden of logen als ze een transactie in twijfel trekten. Keer op keer blijken banken het bij het verkeerde eind te hebben", zo concluderen de onderzoekers. Het ene na het andere lek zou door criminelen zijn ontdekt en misbruikt. "En het is aan onafhankelijke onderzoekers om te ontdekken wat er gebeurt."

Voorwaarden
Uit het onderzoek blijkt dat banken technisch gezien veel van deze aanvallen kunnen detecteren. Iedere transactie die door een bankkaart wordt uitgevoerd bevat ook een counter die wordt opgehoogd. Een bank kan zien dat iets verkeerd gaat wanneer een transactie een lagere counter bevat dan een eerdere transactie. De aanvaller moet de aanval dus uitvoeren voordat het slachtoffer ergens anders pint.

Tevens wordt na de transactie nog een bewijs van de transactie door de bankkaart gegenereerd. Dit bewijs wordt pas gecontroleerd nadat de pinautomaat het geld heeft gegeven, maar biedt de bank dus wel de mogelijkheid om te zien dat de transactie niet klopte en de kaart geblokkeerd moet worden.

Passieve monitoringkaart met echte EMV-chip, met monitoring microcontroller en flashgeheugen