Betaalkaartgegevens die zijn uitgegeven door grote banken en organisaties zijn voortdurend het doelwit van computercriminelen die verschillende hackmethoden gebruiken. Echter, de Visa-betaalkaarten blijken kwetsbaar te zijn voor een nieuw soort aanval, gecategoriseerd als een PIN-bypass. Hiermee kunnen hackers betaalterminals manipuleren om kaarttransacties van niet-authentieke kaarten te accepteren.
Visa-betaalkaarten geïdentificeerd met nieuwe authenticatiefout die leidt tot pincodeverificatie omzeilen
Banken en financiële instellingen moeten op hun hoede zijn voor een nieuw ernstig veiligheidsprobleem dat de betaalkaarten op basis van het VISA-netwerk treft. Een academische beveiligingsgroep heeft uitgebreid onderzoek gepubliceerd genaamd EMVrace waaruit blijkt dat de Visa kwetsbaar is voor een PIN-omzeilaanval. Dit is een van de geconstateerde tekortkomingen die zijn aangebracht na een gedetailleerde analyse van de manier waarop betalingen worden gedaan met behulp van de huidige EMV-norm.
Een van de gevaarlijkste gevolgen is de waargenomen en gedemonstreerde methode waarmee hackers geld van kaarthouders kunnen verkrijgen en webwinkeliers kunnen manipuleren om ze zonder authenticatie te accepteren. Bij contactloze betalingen is voor de transacties een pincodeverificatie vereist wanneer een bepaalde contant geldlimiet is bereikt. Daaronder, in bijna alle gevallen worden de betalingen geautomatiseerd.
Om de aanval te laten plaatsvinden, moeten de criminelen de gegevens van de betaalkaart verkrijgen door deze te stelen of op een andere manier te verkrijgen. Het alternatief is om dit via de populaire NFC skimmin optie die gebruikmaakt van de nearfield-communicatietechnologie om kaarten in de buurt te scannen en hun gegevens te kopiëren.
Om de efficiëntie en het gevaar van deze aanval te bewijzen, de onderzoekers hebben een demonstratief gemaakt proof-of-concept scenario. Het is gebaseerd op het opzetten van een man-in-the-middle-benadering met behulp van een speciaal ontworpen Android-applicatie. Het wordt gebruikt om het gedrag van betaalterminals te wijzigen die zijn ontworpen om de reacties van de kaart te wijzigen voordat ze op het apparaat worden afgeleverd.
Als resultaat van de gemaakte aanval, de criminelen kunnen hun aankopen afronden met de slachtofferkaart en kunnen de limiet zonder pincode omzeilen door een waarde aan te passen Kwalificaties voor kaarttransacties. Door misbruik te maken van de verbinding met behulp van de protocollen op afstand, zullen de betaalterminals worden geïnstrueerd om de pincodeverificatie te overwinnen en erop te vertrouwen dat de identiteit van de kaarthouder al is geverifieerd. Voor verdere bevestiging van het succes van de aanval, de onderzoekers hebben de aanval ook getest op live terminals in fysieke winkels.
Als gevolg van de gemaakte aanslagen, merken de onderzoekers op deze methode is van toepassing op zowel Visa- als Mastercard-protocollen.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: