Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 69, views: 21.076 •

In New York zijn drie mensen gearresteerd omdat zij met behulp van pincodes die zouden zijn gestolen van een Citibank-server honderdduizenden dollars via geldautomaten opgenomen hebben.

Pin-automaatDe pincodes zouden afkomstig zijn uit een Citibank-server die het betalingsverkeer van geldautomaten afhandelt, en niet via bekende trucs als skimming of social engineering zijn verkregen. Daarmee zou het de eerste zaak in de VS zijn waarbij pincodes via vitale banksystemen in criminele handen zijn gekomen. Onduidelijk is echter of de server of de netwerkinfrastrucuur daadwerkelijk werd gekraakt, of dat de informatie via bijvoorbeeld een bankmedewerker naar buiten is gekomen.

Tegenover Wired ontkent Citibank dat zijn systemen ten prooi zouden zijn gevallen aan hackers, maar uit rechtbankgegevens blijkt dat bankmedewerkers de FBI in februari waarschuwden dat onbekenden toegang zouden hebben gekregen tot een server. Kort daarop werd de 32-jarige Yuriy Ryabinin uit Oekraïne opgepakt. Hij wordt beschuldigd van het veelvuldig illegaal opnemen van geld met behulp van gestolen informatie. De man, die actief zou zijn op diverse carding-fora in Oost Europa, wordt echter niet beschuldigd van het daadwerkelijk inbreken op de computers van Citibank. Ook een 30-jarige vriend en de vrouw van Ryabinin zouden in staat van beschuldiging zijn gesteld wegens het pinnen van enkele geldbedragen en het hinderen van het politieonderzoek.

Volgens de Amerikaanse justitie zou vorig najaar in twee dagen tijd vijf miljoen dollar zijn vergaard met wereldwijd negenduizend al dan niet gelukte transacties bij geldautomaten. Ryabinin zou volgens de aanklacht zelf honderdduizend dollar hebben gepind. Tijdens een inval in zijn woning trof de politie behalve een kaartlezer zevenhonderdduizend dollar in contanten aan. Ook bij zijn collega werd acht ton aan gestolen geld aangetroffen, terwijl zijn vrouw nog een ton in een bankkluis had verstopt.

Hoewel Citibank publiekelijk ontkent dat zijn systemen zijn gekraakt, heeft de bank in de periode dat de criminelen actief waren de daglimiet bij de geldautomaat voor een deel van zijn klanten gehalveerd. Dit zou de bank hebben gedaan omdat er in New York enkele 'geïsoleerde fraudegevallen' zouden zijn voorgevallen, zo liet het bedrijf aan een krant weten. Uit rechtbankverslagen blijkt echter dat Citibank de rekeningen bewust niet zou hebben geblokkeerd, mogelijk in de hoop zo de criminelen in de kraag te kunnen vatten en om de zwakke punten in hun systemen te kunnen vinden. Het is echter mogelijk dat de criminelen geen directe toegang hadden tot de centrale servers van Citibank, maar dat zij wel in staat waren om met 'slim' afluisterwerk langskomende pin-codes en rekeningnummers op het netwerk van de bank te onderscheppen, zo concludeert Wired.

Reacties (69)

Logisch van de bank dat ze ontkennen, het lijkt me nou niet echt een plus punt als een bank meld dat zijn systemen zijn gekraakt...
Is het niet juist veel beter als een bank het wel naar buiten brengt? Mensen houden dan zelf hun afschriften e.d. beter in de gaten. Waardoor er veel meer ontdekt wordt... toch!?
Ontkennen is standaard policy. Natuurlijk kunnen & willen ze het niet melden, want dan komt er een opname-rush en gaat de bank failliet (en dat is in niemand belang). Na afloop - zoals nu - duurt eerlijkheid toch echt het langst. Het blijven ontkennen - terwijl het toch redelijk waarschijnlijk is dat ze gewoon gehackt zijn - schaadt het imago veel meer dan eerlijk toegeven dat het fout is gegaan en beterschap beloven.

Hopelijk is dit een eye-opener voor de financiele industrie, zoveel instellingen (tussen handel, verzekeraars, banken) hebben anno 2008 nog steeds een belabberde beveiliging, hoe hard ze dat en public ook ontkennen ...
offtopic:
en publique
Lijkt me behoorlijk lastig om de juiste tijd dan te kiezen. Maar ik snap niet dat die pincodes niet degelijk gecodeerd zijn. Dan zijn ze toch helemaal niet te gebruiken, zelfs al jat je ze?
Ik neem aan dat je inside information hebt, waardoor je weet dat banken niets van innovatie moeten hebben ?

Mijn inside informatie zegt namelijk iets heel anders. Zeker op het gebied van beveiling worden de wetenschappelijke vorderingen nauwgezet in de gaten gehouden, want we hebben het wel over (heel veel) geld.
@Lasharor dus:En de chaos van de klanten zelf die zich zorgen maken over hun account.
Ik dacht dat de PIN code nooit ergens opgeslagen wordt omdat het met een rekensom idee werkte. De enige met de PIN code is de klant. Als CitiBank de PIN codes zelf opslaat op hun servers is er ergens iets goed mis. Denk niet dat de ING of Rabobank de PIN codes op een server heeft staan. Of heb ik het nu mis?
Dan nog is een pincode redelijk makkelijk te vinden aangezien er maar 10.000 mogelijkheden zijn. Alle pincodes en hun hashes zijn aan data niet veel groter dan een avatar van een gebruiker op het forum.
Dat is dus een kans van 3 op de 10.000 ;)
Na 3 mislukte pogingen word het rekeningnummer geblokkeerd.
Nee, dat is alleen als je die pogingen doet door de code ergens in te voeren. Als je de hash steelt kan je net zoveel en net zolang proberen als je zelf wilt, en dan gaat bruteforcen opeens heel erg snel, of de PIN-code nu uit 4, 6 of 8 cijfers bestaat.
De pinpas wordt geblokkeerd, het zou niet best zijn als de rekening geblokkeerd zou worden :P
je rekeningnummer niet, maar je pasje.. alle contante transacties, overboekingen en incasso's gaan gwoon doro!
Pasje. Maar geld dat ook als je een 2e pasje hebt aangevraagd?

Ik vraag me trouwens af of die pincode server(s) niet gewoon PCs zijn met een database. Als je direct bij die database kan komen, wordt er niets geblokkeerd. Beter om een stuk encryptie-hardware tussen de harddisks te zetten die maar 3 pogingen toelaat.
Dat is als je PIN code uit 4 nummers bestaat, wat volgens mij niet bij elke bank het geval is. Mijn HSBC kaart in Maleisie heeft 6 nummers en hier in UK ligt het tussen de 4 en 8 nummers afhankelijk van je bank.
Zie ook wikipedia:

De pin bestaat vaak uit vier cijfers, doordat de vrouw van de uitvinder, John Shepherd-Barron, maar vier cijfers kon onthouden. 8)7
in italie 5 cijfers
Italiaanse vrouwen zijn dan ook net iets slimmer ;-)
Mis ik iets of is het systeem van de Citibank erg brak? Als namelijk de pincode van mijn bankpas hebt. Heb je in principe nog steeds niets. Want je mist een essentieel onderdeel en dat is de bankpas. Dit is Strong Authentication.

Heb je bij de Citibank al genoeg aan het rekeningnummer c.q. credit kaart informatie en de pin code en/of hadden beide grijp klaar op hun computer systemen zitten?
Wat ik echt pas eng vind is dat je pincode als hash oid ook op je pas staat. Ga maar na, je randomreader of gelijksoortig apparaatje kan ook bepalen of je je pin verkeerd heb ingevoerd en evt blokkeren als je het 3 keer flikt. Die maakt echt niet contact met de bank en is niet specifiek voor jouw pasje.

Als je het algoritme weet is je pin snel uit te vogelen, 10.000 combinaties. Of op zijn minst is het aantal mogenlijkheden terug te brengen. (er zou bijv. op de pas alleen een checksum van de hash kunnen staan).

Jammer dat die chippies meteen hun inhoud verliezen als je zo een reader openmaakt. :( - of gelukkig natuurlijk...
In Nederland zit de pincode 'vast' aan je kaart. Die code wordt niet verzonden en dan centraal gecontroleerd. De locale pin-apparatuur controleert of de ingetoetste code klopt met de code die op de magneetstrip staat.
Dus als die op de magneetstrip staat dan moet die ook makkelijk met een kaartlezer uit te lezen zijn. Ik denk niet dat het zo gemakkelijk gaat, anders zou dit veel meer gebeuren.
Hahahah, lijkt me ook niet echt aannemelijk maar miss dat AvK gelijk heeft hoor.
...maar uit rechtbankgegevens blijkt dat bankmedewerkers de FBI in februari waarschuwden dat onbekenden toegang zouden hebben gekregen tot een server...
Prachtige zin. Met andere woorden de FBI probeert steeds hun servers te kraken. (zal wel in opdracht zijn denk ik :D )
Interessanter is dat de FBI dit weet, en heel gek dat die criminelen niet door de bank zelf zijn 'gezien'. Een bank is toch niet afhankelijk van een overheidsinstelling? Kan me voorstellen dat de FBI bepaalde kwaliteiten in huis heeft om zoiets te onderscheppen, maar het is niet minder logisch als die bank dat zelf ook zou kunnen...
zie het anders. stel, er vindt nogal wat fraude plaats. dit wordt vaak door georganiseerde bendes gedaan. FBI stelt een onderzoek in // infiltreert, en ontdekt een dergelijk geval. dan wordt dit uiteraard gelijk doorgespeeld... lijkt mij slechts een zeer nette gang van zaken bij een dergelijk opsporingsinstituut.
Volgens mij heeft in Nederland de bank gewoon een hash van je pincode op een server staan.

Je stopt je pas in de automaat, automaat downloadt de rekeninginfo (pincode hash, maximaal op te nemen bedrag, dat soort dingen) die bij de pas hoort terwijl je je pincode intoetst. Automaat hasht je pincode en vergelijkt die met wat ie van de server heeft gedownload.

Zo werkt zo'n beetje elk systeem dat passwords gebruikt. Waarom zou dat bij pinpassen dan anders zijn?
Nouja, een hash is natuurlijk redelijk zinloos aangezien je slechts 10000 verschillende mogelijkheden hebt. Je hasht als hacker gewoon de getallen 0000 t/m 9999 en dan heb je ze al allemaal te pakken. Dat is natuurlijk een rainbowtable van helemaal niks;)
Verrek, daar had ik even niet aan gedacht, maar je hebt helemaal gelijk.

Wellicht een hash dan van de combinatie pincode + rekeningnummer + pasnummer?
Dat zou het nagenoeg onmogelijk maken om alle combinaties van pincodes en hashes in één universele tabel te zetten, maar een aanvaller hoeft nog altijd slechts tienduizend getallen te proberen, gezien rekeningnummer en pasnummer bekend zijn.
Er staat in ieder geval een code op je pinpas, of dat nou de pin is of een hash ervan weet ik niet, maar dat er iets op staat is zeker. Rabobank-klanten kunnen het makkelijk uitproberen door op de random reader een verkeerde pin in te toetsen. Dan krijg je nl een prachtige melding.
"Foutieve PIN"
Nou, prachtig hoor 8)7

edit: Die chip zit er natuurlijk niet op voor de sier:

"As Digipass Pro 800 is platform
independent and needs no personalisation prior to
delivery to the customer, every reader is identical."
[documentatie van Vasco]

Rabobank gebruikt de DigiPass 810, wat een gerestylede versie van de DP800 is

[Reactie gewijzigd door PanTheo op 19 juni 2008 19:49]

Als het digitaal kraken van je pincode zo makkelijk was had men het skimmen niet uit gevonden. Voor skimmen moet je de deur uit. Dat vinden boeven lastig....

Je pincode staat op de een of andere manier op je kaart. Er zijn inderdaad maar 9999 combinaties mogelijk. De pinapparatuur controleert je code. De bank controleert je saldo. Daarom krijg je ook altijd eerst de melding 'foute pincode' en daarna pas 'ontoereikend saldo'. :)
De kaart is ook verbonden aan je rekeningnr. je pasnr., een verloopdatum etc. Kan je ook nog een sleutel van maken die unieker is dan je pincode alleen.
Daarom krijg je ook altijd eerst de melding 'foute pincode' en daarna pas 'ontoereikend saldo'.
Je denkt nu in termen van toevallig deze implementatie, maar er zit ook gewoon een goede reden qua authenticatie achter: met een foute pin heb je nog niet bewezen dat jij het saldo mag horen.
er zijn 10.000 combinaties :P 0000 is er ook 1 :) dat is meestal degene die mensen vergeten bij het uitrekenen.
En daarom is/lijkt het technisch mogelijk om van iedere weggehaalde pin pas via hetzelfde systeem de pincode te achterhalen.
Nevermind, niet goed gelezen, zag net dat het verhaal over de Rabobank random reader al door NetForce1 geplaatst is

[Reactie gewijzigd door ChillinR op 20 juni 2008 00:49]

Wel nogal een smak geld om zomaar bij te houden!
Niet zo vreemd hoor, als je weet hoe ze aan het geld kwamen. Weinig reden voor hun om vertrouwen in banken te hebben. ;)
De echte reden is natuurlijk dat je niet zomaar dit soort bedragen contant geld (alles was gepint tenslotte) op de bank kan zetten. Dat gaat opvallen.
Ik zou wel willen weten hoe ze dat hebben weten te kraken. Ik bedoel, ik mag wel verwachten dat ze de pincode die op de server stond zodanig hebben beveiligd dat niemand er bij kan :S Je moet dus wel erg goed zijn wil je de server kraken en de pincode stelen, lijkt me of zie ik het verkeerd?
Zal wel een (ex) medewerker geweest zijn, want anders was zo'n server wel eerder tot dusver gehackt dat ze ook pincodes weten te bemachtigen. Althans, het moet iemand met kennis van zo'n netwerk zijn geweest. Denk dat banken ook honeypots gebruiken? Daar wil je niet instinken als hacker... en wie kan dat nu beter omzeilen... ;)
lijkt me dus de ideale manier van beveiliging:
- pincode intoetsen
- zware encrytie door automaat
- naar server sturen
- vergelijken met andere enkrypte code
- server stuurt terug naar automaat: Goed of Fout

heb ik nou en punt of zit ik mis?
Je pincode zit in je bankkaart en kan dus ad hoc geverifieerd worden normaal. Dus ik zie niet helemaal in waarom de pincode ook nog eens naar de server gestuurd moet worden. Verder ging ik er van uit dat zulke verbinding encrypted waren.

Tenzij de suggestie van het artikel fout is en dat er in plaats van onderschepping wel degelijk een hack is gebeurd.
Pincode zit NIET op de magneetstrip en kan dus niet op het apparaat zelf gecontroleerd worden (met de chipknip is dat iets anders).

Het is helemaal niet nodig om de pincode naar de server te sturen. Het is waarschijnlijk eerder een soort chalange response systeem. Daarbij is het versturen niet. Het is dus meer zoiets:

-pincode intoetsen
-zware encryptie over verbinding
-server vraagt "doe eens deze berekening met de pincode en je eigen geheime code die we niet communiceren maar wel beiden weten"
-pinautomaat zegt "Nou, dan komt er 4234789 uit"
-server zegt "ok, dat klopt met wat ik hier meereken"
Er wordt in Nederland geen pin-informatie verstuurd naar een centrale server. Je code wordt lokaal gecontroleerd (dus op de apparatuur in de winkel). De bank controleert je saldo. Beetje een vreemd nieuwsbericht dit.
Het pin systeem is er in amerika al heel erg lang. Banken hebben er een hekel aan om systemen te vernieuwen en draaien het liefst 20 of 30 jaar lang met hetzelfde systeem door. Waarschijnlijk vindt er dus ook weinig vernieuwing plaats op het gebied van beveiliging.

9/11 gaf wel aan hoe goed alles in de V.S. beveiligd is. Not. De gemiddelde Hollywood schrijver heeft betere ideeen over beveiliging dan het pentagon lijkt het wel :) De indruk werd altijd gewekt alsof zoiets onmogelijk is maar tegelijkertijd is beveiliging gewoon de sluitpost

Geen wonder dus, dat dit soort dingen af en toe gebeurt.
Je vergeet hierbij wel dat het goed mogelijk is dat boel in opdracht van hogeraf is opgeblazen. Je krijgt macht door een angst te creeeren.
In nederland staat op je magneetstrip de pinblock (een ge-encrypte versie van je pin), niet je complete pin (uiteraard).
Leesbare pins worden nergens bijgehouden, zelfs als je root acces heb tot de systemen kan je NOOIT achter de pin van een klant komen.

De apparaten die pins berekenen en goedkeuring of afkeuring regelen (Host security Modules).. komen alleen in autorized state (beheermodus) door 2 stafleden die met hun securitycard en fysieke sleutel naar de box komen om hem te unlocken om er onderhoudt op te plegen.

Eventueel te verzenden berichten worden altijd versleuteld met meerdere sleutels waarvan elke partij in een transactie een deel heeft, Bank <> Gelduitgever <> Kaart.
Hou jij maar eens 302 miljoen Amerikanen onder de duim ;)

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneiPhone

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013