Het 'nieuwe pinnen' is ook te skimmen - update

In Nederland wordt het nieuwe pinnen, met de EMV-chip, pas net ingevoerd. Nu blijkt dat de race met skimmers op voorhand als verloren is. Onderzoekers ontdekten een gat in het nieuwe systeem.

Nederlanders moeten van minister De Jager van FinanciŽn beginnen aan een nieuwe manier van pinnen. Door de bankpas niet door de sleuf te halen maar bovenin het apparaat te steken wordt het skimmers moeilijker gemaakt en het elektronische betaalsysteem veiliger. Het zou namelijk moeilijker zijn om de EMV-chip te skimmen dan de magneetstrip. Die chip wordt gebruikt bij het nieuwe pinnen, de onveilige magneetstrip moet eind dit jaar overbodig zijn.



Nu blijkt dat het ook relatief eenvoudig is om een EMV-chip te skimmen. Dat kan met een klein onopvallend apparaatje dat in de kaartgleuf wordt aangebracht, bewezen onderzoekers vorige week tijdens beveiligingsconferentie CanSecWest in Canada. Een plat printplaatje gaat in de gleuf en wordt gebruikt om de draadloze communicatie tussen de chip en de pinterminal te onderscheppen en te manipuleren.

Pincode afvangen
Beveiligingsblog The H Security wijst erop dat een dergelijke kleine EMV-skimmer een stuk minder opvalt dan voorzetstukken die voorheen wel gebruikt werden om magneetstrippen te skimmen. Uiteraard werden ook die methoden in de loop van de tijd een stuk minder opvallend.



"Een EMV skimmer kan credit card data onderscheppen bij een online en offline transactie. Ons onderzoek wijst uit dat de pincode in alle gevallen kan worden onderschept", verduidelijkt onderzoeker en chief security engineer Andrea Barisani van Inverse Path tegenover Webwereld.

De onderzoekers gebruiken een truc om de pincode op te vangen. De zwakte in het systeem zit in de zogenaamde Cardholder Verification Method (CVM), een bestandje dat op de chip staat. Deze lijst vertelt aan de betaalautomaat (de terminal) welke methode gebruikt moet worden om de transactie te verifiŽren. De onderzoekers ontdekten dat de terminal ook een CVM-lijst toestaat waarmee geknoeid is.

Door die lijst te veranderen wordt het mogelijk om een verificatiemethode af te dwingen waarmee de pincode wordt aangeleverd in platte, leesbare tekst, in plaats van versleuteld. Hierdoor kan de skimmer de code opslaan. Door vervolgens de pinpas of credit card te stelen of ook nog de magneet strip te skimmen en die op een andere kaart te zetten kan de rekening van het slachtoffer worden leeggetrokken, zonder dat het systeem het merkt.

Alle kaarten kwetsbaar
Probleem met deze methode is ook dat het niet uitmaakt wat voor chip er in de pinpassen is verwerkt. Er zijn twee soorten chips. Een goedkope versie zonder versleuteling die Static Data Authentication (SDA) heet, en de Dynamic Data Authentication (DDA) kaarten die wat duurder zijn en ook meer beveiligingsopties hebben.

Maar volgens de onderzoekers maakt dat met de gebruikte hackmethode niet uit. De methode is toepasbaar op alle EMV-implementaties. "De uitvoer van de aanval kan opgemerkt worden door de backend", stellen de onderzoekers. Maar dat gebeurt dan op basis van variabelen die realistisch gezien geen aanleiding kunnen zijn om de kaart te blokkeren, vinden de onderzoekers.

"Wij zijn van mening dat, ondanks de claims van de industrie over verminderde fraudegevoeligheid, de EMV ontoereikend en veel te complex is. Hij zou vervangen moeten worden door een meer simpele en schonere oplossing", aldus onderzoeksbureaus Inverse Path en Apture Labs in hun aanbeveling (pdf). Wel weten de onderzoekers redelijk zeker dat de aanvalsmethoden nog niet verder bekend zijn. "Dat betekent echter niet dat fraudeurs niet de intentie hebben ze te misbruiken."

Vergelijkbaar met camera-methode
Currence, dat gaat over het elektronische betalingsverkeer in Nederland, wijst erop dat alleen de pincode wordt buitgemaakt. "En een pincode zonder kaart, dat is eigenlijk niks", aldus een zegsvrouw."Op dit moment is het vergelijkbaar met iemand die een cameraatje gebruikt om een pincode af te kijken. En het blijft staan dat de EMV veiliger is dan de magneetstrip."

Maar dat is het punt niet, aldus Barisani. "Het installeren van een camera en dan interpreteren wat er op de video gebeurt is zeker niet makkelijk en ook geen automatisch proces zoals bij de EMV-skimmer. De EMV-skimmer kan op zeer eenvoudige wijze worden geÔnstalleerd (op POS terminals), en een zeer lange tijd onopgemerkt blijven omdat het niet zichtbaar is vanaf de buitenkant en automatisch werkt." Daarmee is het een stuk eenvoudiger om veel meer pincodes te oogsten dan met de cameramethode.

Onbegrijpelijke zwakte in EMV
Barisani is vooral verbaast dat er niet in de eerste plaats is gekozen voor een pas met een systeem waarbij het authenticatieproces helemaal (end-to-end) is versleuteld. "We zouden liever een systeem zien waarbij het onmogelijk is om op een eenvoudige manier de pincode te skimmen. Onze ontdekking is een kwetsbaarheid die moet worden aangepakt. Het feit dat de er altijd een camera kan worden geÔnstalleerd zou geen reden moeten zijn om dit probleem niet direct aan te pakken."