Nieuws

Criminelen fraudeerden voor tonnen met EMV-creditcards

woensdag 21 oktober 2015, 11:41 door Redactie, 7 reacties

Criminelen zijn er op een zeer slimme manier in geslaagd om voor tonnen te frauderen met creditcards die van een EMV-chip zijn voorzien. De EMV-chip is de opvolger van de magneetstrip en moet het lastiger voor criminelen maken om te frauderen, bijvoorbeeld door het skimmen van betaalpassen.

Toch is ook de chip niet immuun voor aanvallen, zo blijkt uit onderzoek (pdf) van Franse onderzoekers waar Wired over bericht. Vier jaar geleden werden een dozijn creditcards in Frankrijk gestolen, die vervolgens in België werden gebruikt. Iets dat onmogelijk zou moeten zijn zonder de pincode van de kaarthouders. Dit leidde tot politie-onderzoek en uiteindelijk de aanhouding van verschillende bendeleden.

Uit het onderzoek dat volgde en waarvoor de onderzoekers röntgenstralen gebruikten bleek dat de criminelen een tweede chip op de EMV-chip van de gestolen creditcards hadden aangebracht. Via deze chip konden ze de verificatie van de pincode omzeilen, aangezien elke ingevoerde pincode werd geaccepteerd. Daarbij maakten de criminelen gebruik van het feit dat de authenticatie van de pincode destijds was losgekoppeld van de transactieverificatie van EMV-betaalkaarten.

Transactie

Een normale EMV-transactie bestaat uit drie stappen. Authenticatie van de betaalkaart, verificatie van de kaarthouder en als laatste de autorisatie van de transactie. Tijdens de transactie mocht de originele chip op de aangepaste betaalkaart gewoon op de authenticatiecontrole reageren. Bij de verificatie van de kaarthouder vroeg de betaalautomaat om de pincode van de gebruiker. De crimineel vulde vervolgens een willekeurige code in.

Op dat moment werd de aangebrachte chip actief en liet de betaalautomaat weten dat de pincode correct was, die dat accepteerde. Tijdens de laatste transactie-autorisatie gaf de tweede chip de data tussen de betaalautomaat en de originele eerste chip door. Op deze manier wist de bende voor zo'n 600.000 euro met de aangepaste creditcards te stelen. Uiteindelijk liepen de criminelen tegen de lamp omdat ze steeds op dezelfde plekken de gestolen creditcards gebruikten.

Experts geven 10 tips voor wereldwijde privacybescherming

Oracle dicht 154 lekken, waarvan 25 in Java

Reacties (7)

21-10-2015, 11:46 door User2048

Uiteindelijk liepen de criminelen tegen de lamp omdat ze steeds op dezelfde plekken de gestolen creditcards gebruikten.

Dit is een behoorlijk geavanceerde aanval, en toch lopen de daders op een knullige manier tegen de lamp...

21-10-2015, 11:55 door Plopeye

De grootste fout in het hele verhaal zit hem nog wel dat de verificatie van de kaarthouder een lokale aangelegenheid is.
Je hoeft dus alleen de lokale automaat voor de gek te houden en je transactie wordt uigevoerd...

Wat mij betreft moet de kaart + houder een signature opleveren die met de transactie mee gaat.
Hiermee kan later ook nog eens een verificatie gedaan worden, en was deze truuk dus niet gelukt... (signature fout door willekeurige code)

21-10-2015, 12:15 door Anoniem

Door Plopeye: De grootste fout in het hele verhaal zit hem nog wel dat de verificatie van de kaarthouder een lokale aangelegenheid is.
Je hoeft dus alleen de lokale automaat voor de gek te houden en je transactie wordt uigevoerd...

Wat mij betreft moet de kaart + houder een signature opleveren die met de transactie mee gaat.
Hiermee kan later ook nog eens een verificatie gedaan worden, en was deze truuk dus niet gelukt... (signature fout door willekeurige code)

Banken en credit card maatschappijen vinden het veel belangrijker dat klanten kunnen betalen, waar en wanneer ook ter wereld. De kans dat een realtime signature verificatie met jouw lokale bank niet lukt wanneer jij in die vage winkel in Thailand staat is best aanzienlijk.

De hoeveelheid mislukte transacties en bijbehorende ontevreden klanten wegen in dit geval voor de betaal-providers zwaarder dan de fraude die het met zich mee brengt.

Ik zeg niet dat het goed is. Het is wel de reden.

Maar het hek is nu van de dam, dus zullen ze er iets op moeten vinden.

21-10-2015, 13:07 door Anoniem

Als ik het goed lees is dit helemaal niet meer relevant.
Het feit dat er staat "destijds was losgekoppeld " suggereert dat dit probleem verholpen is.

21-10-2015, 17:41 door Anoniem

De grote fout is dat de drie controles niet in samenhang gebeurden, de kaart behandelde ze als onafhankelijke handelingen en autoriseerde daardoor rustig een transactie zonder eerst de pincode te hebben goedgekeurd. De kaart vertrouwde er dus op dat de geldautomaat integer was en de samenhang tussen de drie controles wel goed regelde, de geldautomaat vertrouwde er op zijn beurt op dat de EVM-chip integer was en dat elk resultaat klopte. Dat maakte deze MITM-aanval mogelijk.

Door Anoniem: Als ik het goed lees is dit helemaal niet meer relevant.
Het feit dat er staat "destijds was losgekoppeld " suggereert dat dit probleem verholpen is.

In Europa wel, schrijft Wired. Kennelijk is men in de VS nu bezig een "watered down"-versie in te voeren, wat niet veel goeds belooft. Een ander treurig detail is dat onderzoekers voor dit plaatsvond al op deze mogelijkheid hadden gewezen, compleet met een proof-of-concept, en dat dat toen is afgedaan als onwaarschijnlijk of onmogelijk.

21-10-2015, 22:31 door Anoniem

Door User2048:

Uiteindelijk liepen de criminelen tegen de lamp omdat ze steeds op dezelfde plekken de gestolen creditcards gebruikten.

Dit is een behoorlijk geavanceerde aanval, en toch lopen de daders op een knullige manier tegen de lamp...

Menselijk gedrag is zeer moeilijk te omzeilen en mensen zijn gewoontedieren. Hierdoor zijn ook criminelen vrij eenvoudig op te sporen.

23-10-2015, 14:12 door Anoniem

Deze werkwijze is al een tijd bekend, o.m. door onderzoek van Cambridge University. De transactie systemen van Nederlandse kaartuitgevers controleren op de samenhang tussen transactie certificaat en de geslaagde pincontrole. Niet alle banken wereldwijd hadden dat destijds even goed op orde.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Mijn NAS bevat een backdoor. Is de fabrikant aansprakelijk?

17-04-2024 door Arnoud Engelfriet

Juridische vraag: Ik zit met het volgende. Ik heb dus een D-Link NAS waar een backdoor account in aanwezig is. Nu begrijp ik ...

9 reacties

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

WhatsApp moet open van Europa en dat kan veilig, maar kent ook risico’s

10-04-2024 door Arnoud Engelfriet

Juridische vraag: Diverse media meldden dat WhatsApp van de Europese Unie haar dienst moet openstellen voor andere apps, zoals ...

12 reacties

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Criminelen fraudeerden voor tonnen met EMV-creditcards

Transactie

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Wachtwoord Vergeten

Password Reset

Registreren