Nederlandse PIN-passen zijn volgens Nederlandse banken niet kwetsbaar voor de Britse kraak. Daarbij zijn betalingen te doen zonder de PIN-code te weten.
In Nederland wordt er bij PIN-betalingen namelijk tijdens de transactie online gecontroleerd, vertelt woordvoerster van het EMV-projectbureau (Europay, Mastercard, VISA) van de Nederlandse banken. Zij zegt tegen Webwereld dat de Britse kraakmethode dus niet van toepassing is in ons land.
PIN-code vervalsen
De Britse wetenschappers hebben echter bij de bekendmaking van hun kraak van het EMV-protocol al gesteld dat online authenticatie ook kwetsbaar is. De onderzoekers van de universiteit van Cambridge hebben vorige week een fundamenteel lek in het pin- en chipsysteem onthuld. Dat hebben ze gedaan nadat ze in december vorig jaar de banken en bankautoriteiten hebben ingelicht. Daarop hebben ze echter geen reactie gekregen van die financiële instituten.
De kraak bestaat uit het onderscheppen van de PIN-code, die wordt ingevoerd op een betaalautomaat en wordt gecontroleerd met de pas. Tussen de - gestolen of gekloonde - pas zit een laptop met een Python-script en wat goedkope standaardelektronica, die de betaalterminal 'voorliegt' dat de ingevoerde PIN-code correct is.
'Werkt wel online'
De security-onderzoekers stellen dat hun kraakmethode ook werkt voor 'online' transacties, dus als de betaalautomaat van een winkelier contact opneemt met de bank. 'Zelfs als het autorisatiesysteem van de bank alle transactiedata krijgt toegezonden voor verificatie', blogt één van de onderzoekers. Dat de kraak toch werkt ondanks de live online-controle is te danken aan de complexiteit van de achterliggende ict, stelt hij.
'Bankautorisatiesystyemen zijn complex; ze omvatten cryptografiecontroles, accountcontroles, databasecontroles en interfaces met fraudedetectiesystemen die dan een puntenscore kunnen toepassen op de output van al die andere elementen. In theorie is alle data die je nodig hebt om de aanval waar te nemen aanwezig, maar in de praktijk? Bovendien: hoe kun je het waarnemen, als je er niet naar uitkijkt? De banken realiseren zich niet eens dat ze hierop moeten controleren.'
Zowel de EMV-projectgroep van de Nederlandse banken als enkele banken zelf moeten Webwereld nog antwoord geven op deze en andere vragen. De Nederlandse Vereniging van Banken (NVB) verwijst door naar de EMV-projectgroep.
Britse bankpassen kwetsbaar
De nu onthulde kraakmethode werkt voor debit- en creditcards, maar alleen bij PIN-automaten in winkels, niet bij geldautomaten. De wetenschappers hebben hun kraak getest met passen van de grote Britse banken: Barclays, Halifax, Bank of Scotland, HSBC, John Lewis en de Co-operative Bank. Die passen zijn allemaal kwetsbaar, blijkt uit de tests.
De hoogte van de betaling speelt geen rol; de kraak werkt ook bij hogere bedragen waar er sprake is van extra controle (boven de zogeheten floor limit). Een vervallen kaart is niet meer bruikbaar voor deze kraak. Criminelen hebben dus maar beperkt de tijd om een gestolen pas te benutten.
---
Het chippen zou voorlopig wel eens veel veiliger kunnen zijn dan pinnen.
Bij gebruik van de chipknip voer je de PIN alleen in bij het opladen, en dat doe je bij een relatief veilige bank terminal.
Bij het betalen in de winkel heb je geen PIN nodig, kan derhalve ook niet geskimd worden. Ook lijkt het onwaarschijnlijk dat kriminelen het zou gelukken geld van een chippas naar een eigen rekening door te sluizen via het systeem van bank en begunstigde.
Laatstgenoemde zou het meteen opvallen dat betaling voor geleverde producten niet op zijn rekening terecht is gekomen. Verliezen van de Chipknip is het ergste wat je kan overkomen.
Ook 'rood' staan op de chipknip is niet mogelijk.
Misschien valt het kwartje nog op tijd bij de gewone consument, vóór dat de banken de Chipknip afgeschaft hebben...