EMV pinpas fraude gevoelig

Geplaatst op 12 maart 2010 door Pim Willems

De nieuwe pinpas met de EMV chip (welke staat voor Europay, Mastercard, VISA) is een nieuw ontwikkelde technologie om de pinpassen veiliger te maken tegen verschillende zware misdrijven bij de oude passen. Deze chip wordt momenteel al in verschillende passen gebruikt, zoals ook in Nederland.

Nu is er bij een onderzoek van de Universiteit van Camebridge naar deze nieuwe technologie gebleken dat deze pas zware tekortkomingen heeft. De chip welke in de pinpas verwerkt is heeft namelijk een optie. Deze houdt in of je de pincode via internet laat verifiëren of niet. Het laatste kost meer moeite voor bedrijven en banken, maar is wel veiliger. Vandaar dat veel mensen dit niet doen, en hier gaan ze de fout in.

De passen zijn namelijk niet bestand tegen het “Britse” kraken. Dit houdt in dat de pas wordt gekraakt via de authenticatie procedure van de pincode. Wanneer een pinpas wordt gestolen (of gevonden) kan deze door deze methode gekraakt worden zonder enige gebruik van een pincode.

De aanval onderbreekt namelijk de authenticatie van de pincode. In een normaal geval zal de pinpas kijken of de pincode goed is en zal hierna een berichtje terug sturen, welke maar twee reacties kan opbrengen, namelijk goed of fout. Deze reacties gaan natuurlijk alleen over de pincode, namelijk of deze goed is of niet. Maar er wordt met de nieuwe EMV chip jammer genoeg niet altijd gecontroleerd of dit antwoord wel van de pas zelf komt.

En dit is het punt waar de Universiteit van Camebridge handig gebruik van heeft gemaakt. Ze hebben een computer aangesloten op hun eigen betaalsysteem en hebben deze de pincode authenticatie laten onderbreken, zodat de computer zelf een antwoord terug kan sturen naar het pinautomaat. Hierdoor heb je dus geen pincode meer nodig om bij iemands geld te komen.

Er zit alleen één gebrek aan deze methode. Je hebt namelijk altijd een pincode nodig om de transactie te verifiëren. Nu is het geval dat in landen zoals in Engeland een pinpas ook gebruikt kan worden als handtekening, waarbij er geen pincode nodig is. Waardoor de banken ook nooit een probleem zullen ontdekken in pincode-loze transacties.

Wat er tegen te doen is, is nog niet duidelijk. De optie om de pinpas via het internet te laten verifiëren is nog lang niet goed ingeburgerd. Om deze optie namelijk aan te zetten moet de eigenaar van de pinautomaat en van de pinpas verschillende aanpassingen doen, welke ook nog eens veel gaan kosten. Vandaar dat dit nog niet in veel landen gebeurd.

In Nederland hebben wij tot nu toe nog geen last van het “Britse” kraken, want in Nederland is er bij elk gebruik van deze chip een internet verificatie nodig. Daarom heeft deze manier van kraken in Nederland nu nog geen zin. Gelukkig hebben de banken hier niet op de centjes gelet, en de internet verificatie gewoon aangezet.

Dit artikel is geplaatst op 12 maart 2010 om 13:54 en heeft de volgende tags Tags: , , , , , , , , . Je kan de reacties op dit artikel volgen met de RSS 2.0 feed.Plaats een reactie, of een trackback vanaf je eigen site.

Er is al een reactie, plaats de jouwe ook!