Verbesserte niederländische Zahlungskarte weiterhin anfällig für Relay-Attacke

Neue Sicherheitsmerkmale, die in niederländischen Zahlungskarten implementiert werden, werden eine Art Angriff nicht stoppen, den Betrüger in Zukunft verwenden könnten, um Geld von Bankkonten zu stehlen, so Forscher der Universität von Cambridge im Vereinigten Königreich

Steven J. Murdoch und Saar Drimer von der Cambridge Computer Group demonstrierten am Mittwoch in der niederländischen Fernsehshow "Goudzoekers", dass eine Zahlungskarte mit neuen Sicherheitsmerkmalen immer noch anfällig für einen sogenannten Relay-Angriff ist.

Ein Relay-Angriff ist eine Art und Weise, in der Betrüger Funktechnologie verwenden, um die Bankkartendetails und PIN (Personal Identification Number) für Chip-und-PIN-Karten, die in ganz Europa verwendet werden, zu erhalten. Chip-und-PIN-Karten erforderten die Eingabe einer vierstelligen PIN an POS-Geräten oder Geldautomaten, wobei die PIN durch einen in die Karte eingebetteten Mikrochip authentifiziert wurde.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Bei der Relais-Attacke werden die Kartendetails des Opfers über ein manipuliertes Zahlungsterminal aufgezeichnet. Die PIN-Nummer wird von einem Betrüger beobachtet und dann einem Komplize mitgeteilt, der eine gleichzeitige Transaktion an einem anderen Ort durchführt. Der Komplize verfügt über eine gefälschte, wireless-fähige Zahlungskarte, die die Bankdaten des Opfers nutzt, um eine betrügerische Transaktion durchzuführen.

Der Staffelangriff wurde 2007 von Drimer und Murdoch demonstriert, wird aber nicht vermutet aktiv von Verbrechern verwendet, da es jetzt leichtere Möglichkeiten gibt, Zahlungskarten zu kompromittieren, sagte Murdoch.

Banken in Großbritannien und den Niederlanden haben Pläne, Zahlungskarten mit neuen Sicherheitsmerkmalen zu aktualisieren, um verschiedene Arten von Angriffen zu verhindern. Murdoch und Drimer testeten eine Karte einer niederländischen Bank mit drei neuen Funktionen.

Eine davon ist die dynamische Datenauthentifizierung, mit der eine Karte als echt verifiziert werden kann, ohne dass eine Verbindung zu den Systemen der Bank hergestellt werden muss. Dies verhindert einen sogenannten "Ja" -Angriff, bei dem eine PIN für eine Transaktion akzeptiert wird. Eine weitere Funktion stellt sicher, dass die Kunden-PIN während der Kommunikation zwischen einem Zahlungsterminal und der Karte verschlüsselt wird, wodurch das Abfangen einer Klartext-PIN verhindert wird.

Die letzte neue Funktion heißt iCVV. Chip-und-PIN-Karten enthielten zuvor eine Kopie der Magnetstreifeninformation, die Kontodetails auf dem Mikrochip der Karte enthält. Mit iCVV wird die komplette Magnetstreifeninformation nicht mehr innerhalb des Chips gespeichert, sagte Murdoch.

Keines der drei Merkmale stoppte einen Relaisangriff, wie in der Show gezeigt wurde, sagte Murdoch. Allerdings wurde keiner von ihnen speziell entwickelt, um einen Staffelangriff zu stoppen, sagte er. Die Produzenten von "Goudzoekers" wollten sehen, ob die neuen Karten für den Staffelangriff noch anfällig seien, sagte Murdoch. Die Show bezahlte nur für seine und Drimers Flüge in die Niederlande, um das Experiment zu machen, sagte Murdoch.

Murdoch, der die Sicherheit von Chip-und-PIN-Karten umfassend erforscht hat, sagte, er und Drimer hätten nicht gedacht neue Funktionen würden einen Relaisangriff verhindern. Sie akzeptierten jedoch die Show-Kommission, um "mehr Erfahrung in den Systemen anderer Länder zu bekommen", sagte er.

Der Niederländische Bankenverband wies das letzte Experiment zurück und sagte in einer Erklärung, dass der Staffelangriff fast drei Jahre alt ist und ist zu schwerfällig und zu komplex, um in großem Umfang umgesetzt zu werden.

Murdoch gibt zu, dass Staffelangriffe nur schwer durchführbar sind. Aber wie andere, einfachere Wege des Angriffs wegen der stärkeren Sicherheitsmerkmale in den Karten gesperrt werden, ist es wahrscheinlich, dass Kriminelle "anfangen können, sich das zu überlegen", sagte er.

Der Bankenverband argumentiert, dass "Kriminelle zu dumm und faul sind, Sagte Murdoch. "Kriminelle sind faul, aber sie sind nicht dumm."