Verschillende Amerikaanse banken hebben met creditcardfraude te maken gekregen die waarschijnlijk het werk is van criminelen die een 'replay-aanval' uitvoerden. De banken kregen frauduleuze debit- en creditcardtransacties te verwerken die via de netwerken van Visa en MasterCard waren opgegeven als transacties waarbij de EMV-chip op de kaart gebruikt was. De banken in kwestie hadden echter nog geen betaalkaarten met een EMV-chip uitgegeven.

Tegenover IT-journalist Brian Krebs, die door de getroffen banken werd ingelicht, wilden Mastercard en Visa niet reageren. Mastercard zou aan één van banken hebben laten weten dat de aanvallers waarschijnlijk een replay-aanval hadden uitgevoerd. Daarbij hadden de criminelen mogelijk toegang tot een betaalautomaat en konden zo de datavelden van een transactie aanpassen.

Na het opvangen van het transactieverkeer van een echte betaalkaart met EMV-chip, kunnen de criminelen vervolgens de gegevens van de gestolen creditcarddata in de transactiestroom meesturen, waarbij de winkel en begunstigde bank in real-time kunnen worden aangepast.

Implementatie

Volgens fraudeanalist Avivah Litan van marktvorser Gartner zorgt het opgeven van frauduleuze transacties als zijnde EMV-transacties ervoor dat banken een minder strenge fraudecontrole hanteren. Hij stelt dat de criminelen waarschijnlijk niet het EMV-protocol hebben gekraakt, maar misbruik van een slechte implementatie maken. "Het goed doen van EMV is lastig en er zijn veel manieren om niet met de cryptografie maar met de implementatie van EMV te knoeien", aldus Litan.

De fraude vond in Brazilië plaats met creditcardgegevens die bij de Amerikaanse winkelketen Home Depot waren gestolen. Hoe groot de schade precies is, is onbekend. Eén van de banken zou 120.000 dollar aan frauduleuze transacties te verwerken hebben gekregen, maar wist uiteindelijk 80.000 dollar te blokkeren. De verwerker van de bank, die inkomende transacties verwerkt als de kritieke banksystemen offline zijn, liet de overige 40.000 dollar door.