Systemet med chipkort, också kallat EMV (Europay, MasterCard and Visa), introducerades 2004 eftersom kort med magnetremsa hade visat sig vara lätta att manipulera och kopiera i syfte att göra falska transaktioner. Gentemot kunder som uppger att de blivit drabbade av kortbedrägerier brukar bankerna hävda att detta inte låter sig göras med EMV, men nu har alltså forskarna visat att detta är fel.
Det man måste göra om man vill ”kapa” ett kort med chip är att manipulera kommunikationen mellan kortet och terminalen.
I en video demonstrerar forskarna hur man med hjälp av en vanlig kortläsare som är gömd i en ryggsäck och har anslutits till ett kort där chipet ersatts av kontaktytor. Det stulna kortet sätts in i kortläsaren i ryggsäcken. Detta kommunicerar nu med den kortterminal som man vill lura via sladden, som man låter löpa genom ärmen, och kontaktkortet. När man ska betala kan man slå in vilken kod som helst, eftersom mjukvaran i kortläsaren i ryggsäcken talar om för kortläsaren i butiken att kortet har godkänt koden. På kvittot står sedan att transaktionen är verifierad med PIN-kod.
”Detta är en av de största säkerhetsluckorna som vi har upptäckt – som någonsin har upptäckts – i betalningssystem, och jag har arbetat i den här branschen i 25 år”, säger professor Ross Anderson vid universitetet i Cambridge till BBC.
Vid det förutnämnda sättet måste man tillgång till kortet när man gör transaktionen. Men forskarna har också visat att man kan ”mjölka ur” information från ett chipkort att användas vid ett senare tillfälle. Detta går i praktiken att jämställa med kloning av kortet, något som bankerna säger är omöjligt.
Den lucka som man i detta fall kan utnyttja är det faktum att det slumptal som kortterminalen skickar till kortet vid transaktionen och som sedan används av banken för att kontrollera att kortets förfrågan om att göra en transaktion är giltig i själva verket ofta kan förutsägas.Genom att mata kortet med en serie
förväntade slumptal och transaktionsdata kan man utvinna en serie giltiga förfrågningar. Eftersom det inte heller förekommer någon kontroll av om slumptalet kommer från terminalen (eller bankomaten) är det lätt för en bedragare att helt sonika byta ut detta mot sitt eget i förfrågan som skickas till banken. Banken, som inte kan se skillnad mellan denna förfrågan och en äkta, godkänner transaktionen och saken är biff.
För att få bukt med problemet måste man byta ut inte bara den programvara som används i systemet utan också själv korten. Men också efter att detta har gjorts kommer problemet att kvarstå under lång tid, eftersom man måste tillåta gamla kort att fungera tills de blivit utbytta.
Tills detta problem har lösts anser forskarna att kunderna har rätt att kräva att få full kompensation av bankerna om de upptäckt transaktioner de inte känner igen, och att bankerna om de vägrar måste ta på sig den fulla bevisbördan för att felet inte ligger hos dem själva.
Inga kommentarer:
Skicka en kommentar