10-02-16 10:05
"Cambridge-metoden"
Franskt bankväsen hävdar att det är samma typ av bedrägeri som Yes-card-bedrägeriet. Den fungerar endast när terminalen inte är online mot en bank.
Men den form av bedrägeri Cambridge-gruppen upptäckt fungerar för både online och offline-transaktioner. I försöket genomförs en sådan betalning trots att fel PIN-kod knappas in.
För att bedrägeriet ska kunna genomföras måste bedragaren först ha ett stulet kort och sedan ansluta en mellanstation mellan kort och terminal. Försöket har inte lyckats med ett kopierat kort.
Metoden rör inte internet- eller telefonförsäljning eftersom PIN-kod inte används då.
Utrustningen är enligt Cambridgegruppen inte speciellt avancerad (långt under den nivå som krävs för skimningsutrustning) och kan tas fram av en enstaka kriminell som kan sälja den vidare och användas utan djupare kunskaper.
Säkerhetsproblemen med chipkort kan vara mycket värre än de första rapporterna. Enligt den forskare som kom med avslöjandet fungerar bedrägeriet även på terminaler som är uppkopplade mot en bank. Här är rapporten och filmen som visar hur.
Svenska banker togs igår på sängen av nyheten om att de säkrare chipkorten kunde knäckas. Men rapporten från universitetslaboratoriumet i Cambridge om hur kortterminalerna manipuleras har redan cirkulerat i den europeiska bankvärlden i två månader – och skapat stor nervositet.
Cambridgegruppen visar hur kommunikationen mellan betalningsterminal och kort vilseleds. Betalterminalen tror att den kräver en pinkod, men godkänner en signatur.
Ett svar igår var att den nya tekniken för att manipulera säkerhetsprocessen bara fungerar när kortläsaren inte är uppkopplad mot banken. Och det är bara cirka fem procent av kortläsarna i butikerna i Sverige. Men i länder som Finland och England är uppåt 95 procent av terminalerna offline vid pin-verifikationen, och även stulna svenska kort kan då manipuleras.
Erik Nystrup, vd för PAN-Nordic Card Association, säger till Market att den här typen av attack ändå bara fungerar under väldigt speciella omständigheter.
– Man säger att man har knäckt pin och chip, men det har man inte.
– Den risk för manipulation som uppmärksammats kräver både att terminalen accepterar PIN-verifikation offline och att kortets utfärdare inte kontrollerar säkerhetsdata som följer med i transaktionen. Kontrollen av säkerhetsdata omöjliggör manipulation online och i Sverige förekommer inte PIN-verifikation offline. Om kortet är stulet och spärras blir det dessutom helt oanvändbart.
Men mannen som kom med avslöjandet, säkerhetsexperten och professorn Ross Anderson, hävdar att det fungerar lika bra online.
I sin blogg svarar han på bankernas och korttillverkarnas argument:
– Attacken fungerar lika bra på kort som används online, när POS-terminalen kontaktar banken, lika bra som offline.
– Attacken fungerar oavsett vilken summa pengar det gäller.
– Felet sitter i EMV-tekniken.
Ross Anderson bekräftar dock att deras försök inte fungerar på ett spärrat kort eller uttagsautomater.
– Men vi är mycket oroade för att om inget görs för att åtgärda det här problemet - och flera andra vi upptäckt - kommer andra regioner, som USA, göra samma misstag.