Pincode emv-chip blijkt vatbaar voor skimmen - update

Onderzoekers hebben aangetoond dat de emv-chip, die de magneetstrip op pinpassen opvolgt, ook geskimd kan worden. De gevolgen voor pinnen in de EU lijken mee te vallen, omdat automaten meestal de pincode controleren bij de bank.

Emv-chip pincode skimmer Vier onderzoekers presenteerden op de CanSecWest-conferentie in Vancouver de mogelijkheid om emv-chips te skimmen. Een klein printplaatje dat in de sleuf van de automaat kan worden geïnstalleerd, is genoeg om de aanval uit te voeren. De printplaat stuurt een aangepaste approved verification method-lijst naar de pinautomaat, waardoor de pincode tijdens de transactie onversleuteld door de automaat wordt gecommuniceerd naar de chip ter controle.

Deze aanval is alleen mogelijk als de automaat in offlinemodus is en dus niet communiceert met een server van de bank om de pincode te verifiëren. De onderzoekers slaagden er echter ook in om de communicatie tussen chip en automaat zo te beïnvloeden dat een offlinetransactie als eerste wordt gestart, als beide mogelijkheden worden aangeboden. In de Europese Unie komt de mogelijkheid voor offline transacties echter zelden voor en wordt het wereldwijd nooit gebruikt om contanten op te nemen bij geldautomaten.

Het maakt volgens de onderzoekers niet uit of de emv-chip van het type sda of het beter beveiligde dda is; van het laatstgenoemde type zijn er weinig in omloop. De skimactie is mogelijk terug te vinden in de logboeken van de automaat, maar de onderzoekers stellen dat detectie misschien te ontwijken is met een aangepaste aanval. Zodra de pincode eenmaal is bemachtigd, moet de pinpas worden gestolen of een kopie van de magnetische strip worden gemaakt. Dat laatste werkt alleen als de strip niet beveiligd is met een icvv-code, die kan aantonen dat er met de strip is gerommeld.

De gevonden kwetsbaarheid zal volgens de onderzoekers niet eenvoudig te verhelpen zijn, omdat het probleem in de specificatie van emv schuilt. De onderzoekers noemen verder het emv-standaard inadequaat en onnodig complex. Ook vinden ze het zorgelijk dat de bewijslast bij eindgebruikers wordt geplaatst als er fraude heeft plaatsgevonden, omdat het emv-standaard als veilig wordt beschouwd door banken.

Update 12:00: offline transacties moeten aangeboden worden door de automaat om misbruik te maken van deze kwetsbaarheid, dit komt in de EU echter zelden voor. Het artikel is hierop aangepast.

IT-banen

Reacties (101)

johnkessels87 18 maart 2011 10:47

Wat is er mis met Cash geld...

Ontopic:

Is het überhaupt mogelijk een "echt veilig" betaalsysteem te maken?

Verwijderd @johnkessels87 • 18 maart 2011 10:54

Nee.

Om je te authenticeren, zul je iets aan informatie moeten opgeven. Of dat nou een pincode, een irisscan of je DNA is, het is informatie. En die informatie moet makkelijk genoeg zijn om op een ander moment in een andere situatie identiek genoeg te zijn om geaccepteerd te worden, maar moeilijk genoeg om niet eenvoudig door een ander nagebootst te kunnen worden.

Dus hoe moeilijk je authenticatiesysteem ook is, uiteindelijk valt elke vorm van authenticatie na te bootsen. Een wachtwoord van 20 tekens wordt als 'veilig' bestempeld, maar het is niet onmogelijk om al dan niet toevallig hetzelfde wachtwoord te reproduceren. Hetzelfde geldt voor een wachtwoord van 1000 tekens. Alleen is de kans daarvan kleiner, maar deze is ook niet makkelijk genoeg om zelf te reproduceren.

Cash is ook niet veilig. Het kan uit je handen gejat worden waar je bijstaat. Eigenlijk moeten dit soort problemen bij de bron aangepakt worden. Iets met criminelen en ruimtereizen enzo.

BeosBeing @Verwijderd • 18 maart 2011 15:36

Verbannen naar het toen vrijwel onbereikbare Australië hebben de Engelsen al eens geprobeerd, lost uiteindelijk niets op.

Verwijderd @johnkessels87 • 18 maart 2011 10:49

Cash geld is nog makkelijker te kopieren.

Wat is er mis met cash?
Welnu:
-Makkelijk na te maken
-Onveilig voor de gebruikers (overval-risico)
-Niet duurzaam
-Duur (handlingkosten en opslag)
-Tijdrovend

Roland684 @Verwijderd • 18 maart 2011 11:09

-Makkelijk na te maken
Maar lang niet zo makkelijk/goed als een digitaal systeem als een chip of magneetstrip.
Alleen een watermerk kost al meer moeite dan een ov-chipkaat manipuleren.

-Onveilig voor de gebruikers (overval-risico)
Mes in je rug bij de pinautomaat en je bankrekening is geplunderd. Met contact geld ben je alleen kwijt wat je op zak hebt. En winkeliers alleen wat ze nog niet afgestort hebben, oftwel alleen het wisselgeld.

-Niet duurzaam
Munten in 100 jaar nog niet slijten niet noemenswaardig en papiergeld gaat langer mee dan een bankpas. Euro-biljetten zijn nog redelijk kwetsbaar, neem roemeense Lei, die briefjes zijn bijna onverwoestbaar. Je kunt ze echt niet doorscheuren.

-Duur (handlingkosten en opslag)
Al die apparatuur, infrastructuur, en servers/administatie zijn ook niet gratis.

-Tijdrovend
Dat doen winkels zelf door alles voor 2.98 in de schappen te zetten ipv 3 euro.
En die tijd win je 10 keer terug bij de zoveelste storing.

+
Contant geld is niet sturingsgevoelig, duidelijk voor de gebruiker wat er gebeurd en de bediening overal hetzelfde.

BeosBeing @Roland684 • 18 maart 2011 15:35

Maar over contant geld hebben de banken geen controle, over giraal geld wel.
Controle betekent dat je er aan kunt verdienen.

Maar met contant geld zijn je transacties niet te traceren. Spaar je geld op in de (brandwerende en braakbestendige) kluis thuis en als je 5.000 hebt gespaard die je bij je hypotheek wilt leggen als je een huis gaat kopen, krijg je geheid vragen van de belastingdienst waar dat geld vandaan komt. Ze gaan er van uit dat je dat dan zwart verdient hebt.

In contante transacties kan de belastingdienst geen inzage krijgen, het werkt dus een zwart circuit in de hand en ze hebben er geen overzicht over.

Dat zijn de ware redenen waarom alles nu giraal moet. Eerst hebben we de goud (- en zilver-) standaard overboord gegooid zodat de schulden van met name de overheid door middel van inflatie verminderd worden en we via de banken het geld konden vermenigvuldigen. Nu moet voor hen ook het cash geld afgeschaft worden.

Giraal geld kun je blokkeren, een bankpas kun je blokkeren, een ov-chipkaart kun je blokkeren, als je opsporingsdiensten iemand zoeken, kunnen ze die heel effectief hinderen als hij nergens kan betalen, niet voor vervoer niet voor drinken en voedsel, en als hij het toch probeert, wordt hij gelijk gedetecteerd.

Neko Koneko @Verwijderd • 18 maart 2011 10:53

Klopt, maar als iemand dat doet kan hij daarmee niet mijn bankrekening leegroven.

Zelfs als iemand 10 euro van me steelt geeft hem dat geen mogelijkheid om mijn bankrekening leeg te roven. Contact geld is in dat opzicht dus relatief veilig.

BastiaanCM @johnkessels87 • 18 maart 2011 10:52

Vals cash geld, niet traceerbaar zwart geld, overvallen in winkels voor geld, overvallen op personen zelf, brandbaar.

Meh, ze hebben aangetoond dat je via de chip ook achter de pincode kunt komen. Alsof ik dat nog niet wist ? Dat ging ze sowieso wel lukken. Er zitten momenteel nog wel "maar"-en aan dus zo erg is`t nog niet ?

Bovendien zijn we eindelijk van niet werkende magneetstrippen af, sommige mensen gaan dan niet geloven dat hun pas het niet doet en staan een paar minuten dat ding er door heen te halen - pin automaat maar piepen

Verwijderd @BastiaanCM • 18 maart 2011 11:22

Aan de andere kant: als alles digitaal zou zijn dan zou het voor overheden ook heel erg gemakkelijk zijn om 'ongewensten' in 1 keer volledig uit te sluiten van wat voor economische deelname dan ook.

Theoretisch kun je dan met 1 druk op de knop iemand tot de hongerdood veroordelen.

Ik chargeer hier, dat weet ik.. maar je weet nooit dat de overheid zoals die er nu is er over 100 jaar nog is. Voor hetzelfde geld (no punt intended) is het dan opeens een dictatuur en is verzet onmogelijk omdat je anders buiten gesloten wordt van alle middelen.

Noem maar een dwarsstraat..

Verwijderd @Verwijderd • 18 maart 2011 20:44

Theoretisch kun je dan met 1 druk op de knop iemand tot de hongerdood veroordelen.

Hoezo theoretisch? Heeft de overheid een tijd terug niet een terrorisme verdachte verboden nog een ban krekening te hebben? Die persoon kan dus alleen nog maar zwart betaald worden,.

Pirate-Bozz @johnkessels87 • 18 maart 2011 10:49

Het is waarschijnlijk wel mogelijk om iets te maken wat een aantal jaren onkraakbaar blijft. Maar dat zal wel zoveel kosten dat het niet rendabel om te doen is.

Dat blijft namelijk altijd een factor in deze zaken.

Aragnut @johnkessels87 • 18 maart 2011 10:54

Met de chip zou je kunnen zeggen dat alleen de chip met wat koper connectoren verbonden hoeft te worden naar het apparaat. Als je de verbindingen in een heldere plexiglas behuizing giet, dan kan daar niet gerommeld worden. ALs het apparaat vervolgens fysiek beveiligd is tegen aanpassen (wat nu vaak al te zien is bij mijn weten) dan kan zo'n chip ook niet meer geplaatst worden.

Goldin @johnkessels87 • 18 maart 2011 10:49

Je kan wel een "echt veilig" systeem maken, maar dan is het nog altijd een kwestie van tijd voor dat deze ook gekraakt word.

Het blijft altijd een kat en muis spelletje.

gjvdree @johnkessels87 • 18 maart 2011 11:33

ja, maar het moet ook bruikbaar blijven

de.professor @johnkessels87 • 18 maart 2011 11:36

Is het überhaupt mogelijk een "echt veilig" betaalsysteem te maken?

Ja hoor, direct ruilhandel. De oudste vorm van "betalen" en geheel veilig zolang het om goederen gaat. Diensten zijn uiteraard een heel ander verhaal, hierover kan nog weleens een geschil ontstaan over de kwaliteit van de geleverde prestatie, maar dat het je nu bij geld/pin/bankoverschrijvingen ook.

SunnieNL

@de.professor • 18 maart 2011 11:59

Directe ruilhandel is ook niet veilig..
denk aan vervalsingen of berovingen...

Verwijderd @de.professor • 18 maart 2011 20:58

Diensten zijn uiteraard een heel ander verhaal, hierover kan nog weleens een geschil ontstaan over de kwaliteit van de geleverde prestatie,

Goederen ook hoor. Ik wil mijn 2 koeien terug, die laptop was defect! Hoezo, die koe was ziek?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:37]

Alcmaria 18 maart 2011 10:52

Ik geloof eigenlijk niet zoveel van dit verhaal
De chip communiceert NOOIT de clear pin naar andere apparaten, het is daar simpelweg niet toe in staat. Het enige wat de chip communiceert is een GOED of FOUT vlag richting de terminal.
Ook als de chip online gaat wordt de PIN niet gestuurd naar het autorisatiesysteem, alleen een waarde die zegt of de PIN wel of niet juist is gecontroleerd.

Wat wel mogelijk is gebleken is dat je aan de terminal een waarde "PIN IS OK" teruggeeft terwijl de chip zegt.. PIN IS NOK", ook daar moet hardware zitten tussen de CHIP en de Terminal.

Verwijderd @Alcmaria • 18 maart 2011 11:13

Het is ook niet de chip die de pin stuurt, het is de terminal die de PIN stuurt. Normaal doet die dit versleuteld, maar het is blijkbaar mogelijk om hem dus terug te laten vallen naar onversleuteld versuren.

Aragnut @Alcmaria • 18 maart 2011 11:15

Je zult toch ergens een vergelijking moeten doen van de PIN met de opgeslagen gegevens. Van wat ik van het verhaal begrijp wordt via een "beveiligd" communicatiepad de ingevoerde pin naar de chip gestuurd, deze bekijkt hem, en stuurt een OK of NOK terug. Ik heb me niet ingelezen in de werking van deze chip, dus ik kan er naast zitten.

Verwijderd @Aragnut • 18 maart 2011 13:16

Klopt, de PIN wordt als parameter aan een verificatie commando aangeboden. De vergelijking wordt in de chip gedaan en een OK status code teruggestuurd.

Bij een plain text PIN, wordt deze gewoon naar de chip gestuurd en kan onderschept worden. Er kan ook een YES-card gemaakt worden welk op het verificatie commando gewoon altijd een OK terugstuurd (eerder gepubliceerde Cambridge aanval).

Indien er een enciphered PIN optie is, dan wordt deze in non-plain gestuurd.

Verwijderd 18 maart 2011 10:45

Uiteindelijk is alles te skimmen/kopieren/hacken. Het zal in ieder geval moeilijker zijn dan bij de magneetstrip, maar wel weer een deukje in het imago van de grote voorvechters, die claimen dat dit absoluut veilig zou zijn.

EvilWhiteDragon @Verwijderd • 18 maart 2011 10:58

Het is op zich nog niet eens erg dat het te hacken is, maar wat het zorgelijk is dat er nu al meerdere methodes zijn voor skimmen, copieren en zonder het invoeren van een pincode betalen.
Nu is het ingewikkelder dan met de magneetstrip, maar daar heb je als klant niets aan omdat de banken nu ook de bewijslast naar de klant schuiven. Zonder toegang tot het geskimde/manipuleerde apparaat, de logs van de bank en misschien nog wel meer is het zo goed als niet te bewijzen. Dan ben je dus als consument hard de sjaak, omdat het mogelijk nog onzichtbaarder is dan skimmen van de magneetstrip.
Ik weet niet waar ik het laatst heb gezien, maar daar lieten onderzoekers zien dat je bij pinautomaten gewoon zonder pincode con pinnen omdat ze een man in the middle attack uitkonden voeren, waardoor de EMV chip dacht dat de lezer geen invoermethode accepteerde. Omdat het protocol zo gebouwt is dat je transactie dan toch door kan gaan ("klantvriendelijkheid"), is het mogelijk om dan zonder de echte pincode te betalen met een gestolen/gecopieerde pinpas.
Wat ook leuk is, is dat automaten zo verbouwt kunnen worden dat je een nader bedrag (en rekening) op het scherm/bon te zien krijgt dan dat je daadwerkelijk afrekend. Dan is je drankje misschien ineens geen 5 euro, maar 5000 euro.

Juok @EvilWhiteDragon • 18 maart 2011 11:09

De bank kan wel zeggen dat het bewijslast bij de klant ligt, maar de normale consument kan natuurlijk nooit zoiets bewijzen. Gezien de normale consument hier niet de middelen voor heeft. Als zoiets voor zou komen, dan kan je met de burden of proof de bewijslast omdraaien. De bank is immers de partij die zoiets het makkelijkst kan aantonen.

The Zep Man

Privacy
Hackers
Beveiliging

@Juok • 18 maart 2011 11:17

De bank kan wel zeggen dat het bewijslast bij de klant ligt, maar de normale consument kan natuurlijk nooit zoiets bewijzen. Gezien de normale consument hier niet de middelen voor heeft. Als zoiets voor zou komen, dan kan je met de burden of proof de bewijslast omdraaien. De bank is immers de partij die zoiets het makkelijkst kan aantonen.

Maak je geen zorgen: een bank zal het nooit afschuiven naar de consument, zoals gedaan wordt in de situatie die de onderzoekers schetsen.

De belangrijkste steunpilaar van een bank is vertrouwen. Als dat wegvalt, valt de bank weg. Daarom dat elk skimincident uitgebreid door de bank wordt onderzocht en gedupeerde klanten het onterecht afgeschreven geld terugkrijgen. Met het nieuwe systeem zal dit niet veranderen. Immers zal een bank die onterecht geld van rekeningen laat afschrijven nooit lang overeind blijven staan.

Pixeltje

@The Zep Man • 18 maart 2011 11:34

Behalve als alle banken hetzelfde protocol hanteren. Dan heeft het geen zin om weg te gaan bij je bank n.a.v. zo'n geval; de bank waar je heen zou willen hanteert dezelfde regels..

Denk wel dat ze daar onderling over hebben nagedacht hoor. Het gebeurt maar zelden dat de dader van zo'n skimactie gepakt wordt. Zelfs als dat wel gebeurt is het nog maar de vraag of al het gestolen geld nog teruggehaald kan worden. Criminele organisaties worden ook slimmer; ze laten een lowlife opdraaien voor de diefstal, hij krijgt misschien een procent van de 'opbrengst'. Van een kale kip kun je niet plukken, dus de banken zien over het algemeen weinig tot niets terug van het geld dat ze uitkeren aan bestolen klanten.

Als de banken dat zat zijn beleggen ze een vergadering, daar blijkt dat alle collega-banken het ook zat zijn. Uniforme regels opstellen en klaar is Kees (of eigenlijk, klaar is bank).

[Reactie gewijzigd door Pixeltje op 22 juli 2024 18:37]

Sisko @Pixeltje • 18 maart 2011 12:43

En dan komt er een nieuwe bank op die wel klantvriendelijk blijft en wordt in een klap de grootste. Sorry hoor, maar jouw scenario is zo vergezocht, als de banken dat al zouden doen wordt er wel ingegrepen door een hogere instantie, of dat nu de nederlandse overheid of europa is.

Verwijderd @Pixeltje • 18 maart 2011 20:38

Behalve als alle banken hetzelfde protocol hanteren. Dan heeft het geen zin om weg te gaan bij je bank n.a.v. zo'n geval; de bank waar je heen zou willen hanteert dezelfde regels..

Wat er dan gebeurt vinden de banken nog veel vervelender: dan gaat men helemaal niet meer pinnen maar neemt men het hele salaris contant op en betaalt alles contant. Een soort bankrun light.

3raser @The Zep Man • 18 maart 2011 11:41

De belangrijkste steunpilaar van een bank is vertrouwen. Als dat wegvalt, valt de bank weg. Daarom dat elk skimincident uitgebreid door de bank wordt onderzocht en gedupeerde klanten het onterecht afgeschreven geld terugkrijgen. Met het nieuwe systeem zal dit niet veranderen. Immers zal een bank die onterecht geld van rekeningen laat afschrijven nooit lang overeind blijven staan.

Dat klinkt bijna te mooi om waar te zijn. Helaas vind ik banken vergelijkbaar met verzekeraars. Zeker op het moment dat je afhankelijk van ze bent. En verzekeraars doen er ook alles aan om zo weinig mogelijk uit te hoeven keren.

Als skimmen vaker voor gaat komen zal de bank op den duur zeggen dat de klant zelf verantwoordelijk is. Dat recht hebben ze al, en als het ze veel geld gaat kosten zullen ze dat vast ook gaan gebruiken. Want dan moet de klant maar opletten bij het pinnen. Een verzekeraar keert ook niet uit als je auto bijvoorbeeld is leeggestolen zonder braakschade. Moderne technieken zorgen ervoor dat de diefstal (of het skimmen) vrijwel onzichtbaar blijft. Bijkomend effect is dat klanten zichzelf gaan bestelen en zeggen dat ze geskimd zijn. Op zo'n moment zullen banken dus echt niet meer uitkeren. Ongeacht of je nu wel of niet werkelijk slachtoffer van skimming bent.

SunnieNL

@3raser • 18 maart 2011 11:54

Ze kunnen het alleen afschuiven op het moment dat er niets met de automaat kan gebeuren. Dus op het moment dat ze het naar je afschuiven, moeten ze jou ook toegang verlenen tot de logs van de pinautomaat, zodat je zaken kan nalopen.

Een verzekeraar is wat anders. Als er iets uit je auto gestolen wordt, kunnen ze idd aan jou vragen om maar te laten zien dat je er niets aan kon doen. Het is immers jou auto.
Bij de bank is het echter hun automaat en niet de mijne. Dus laat de bank maar bewijzen dat de automaat goed is. Als daar uitkomt dat er niets aan de hand is, dan kunnen we verder gaan kijken. Al denk ik dat als er iets mis is met de automaat, dat de bank meer klanten krijgt met klachten en dan wordt het voor hen lastig van zich afschuiven.

Zelfde geldt overigens voor een verzekeraar. Als de eigenaren van een bepaald type auto ineens allemaal inbraken melden zonder inbraaksporen, dan weten de verzekeraars en de politie ook wel dat er iets aan de hand is.

Folke @The Zep Man • 18 maart 2011 11:55

Maak je geen zorgen: een bank zal het nooit afschuiven naar de consument, zoals gedaan wordt in de situatie die de onderzoekers schetsen.

Ik weet uit eigen ervaring dat de meeste banken niet zo'n boodschap hebben aan het "vertrouwen" van één consument. Als het er veel zijn (Bijenkorf 2 jaar terug?) en ze zitten bij Kassa of Radar dan zijn de banken ineens heel braaf.

Ik heb moeten vechten tot de rechter voor een paar rot centen (is de rechtsbijstand verzekering in iedergeval niet voor niets)

BeosBeing @Juok • 18 maart 2011 11:59

De enige oplossing is volgens mij gewoon weer te gaan betalen met muntgeld, en dan niet de Euro (één munt voor heel Europa is op zich wel een goed idee, maar die moet waardevast zijn, dus niet zo'n inflatiemunt, ook al weet men de inflatie laag te houden) maar een munt met een intrinsieke waarde, zoals gouden of zilveren munten, ook al kunnen die niet zo mooi geslagen zijn, en zijn ze niet zo hard en slijtvast als de huidige. Of papiergeld behouden moet blijven, wil ik geen uitspraken doen, ook dat is op termijn altijd te vervalsing, net zoals alles te hacken is.

PepijnK @BeosBeing • 18 maart 2011 13:08

Papiergeld had al jaren geleden afgeschaft moeten worden. Er zijn vele male praktischer materialen beschikbaar om geld van te maken. Zie bijvoorbeeld de bankbiljetten in Australie, die zijn van plastic. Daar kan je niet op schrijven, die kunnen niet scheuren, kunnen doorzichtige delen hebben en noem maar op.

mae-t.net @BeosBeing • 19 maart 2011 21:24

Ik zou een stapje minder ver teruggaan en gewoon met bankbiljetten en niet-intrinsieke munten betalen. Dat systeem heeft zich goed bewezen en kent niet de nadelen van intrinsieke munten noch die van virtueel geld zoals bij banken in gebruik.

leuk_he @Verwijderd • 18 maart 2011 11:03

Het is een groter probleem als dit signaal genegeerd wordt. Dat is precies wat bij de ov-chipkaart is gebeurd. Onderzoekers tonen aan dat er een lek zit. Dit wordt gebagitaliseerd, en bij invoereing 2 jaar later blijkt het hele systeem zo lek als een mandje.

De oplossing is hiervoor simpel: sta geen terminals meer toe die ongeencrypte verificatie toestaan. (aanpassing van standaard). Dat is niet zo heel simpel omdat je met levernaciers hebt te maken.

Niks doen omdat skimmers de kaart toch nog niet hebben is niet slim.

Verwijderd @leuk_he • 18 maart 2011 11:41

Het is een groter probleem als dit signaal genegeerd wordt. Dat is precies wat bij de ov-chipkaart is gebeurd. Onderzoekers tonen aan dat er een lek zit. Dit wordt gebagitaliseerd, en bij invoereing 2 jaar later blijkt het hele systeem zo lek als een mandje.

Het valt mee, het is zeker niet zo lek als een mandje.

Zodra de pincode eenmaal is bemachtigd, moet de pinpas worden gestolen of een kopie van de magnetische strip worden gemaakt.

De magneet strip verwijderen als optie en de kaart is weer "veilig".

Natuurlijk moeten banken security op de voet blijven volgen.

Daarbij is de emv-chip niet te vergelijken met de MIFARE Classic card.

Ik vraag me af hoe het zit met de chip de "Nederlandse" Europassen. Ik verwacht dat deze minimaal net zo "veilig" zijn als de emv chip.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:37]

WVL_KsZeN @Verwijderd • 18 maart 2011 12:08

Of een aparte pincode voor de magneetstrip en voor de emv-chip.. dan kan de magneetstrip blijven, zelfs al is je emv-pincode geskimd.

OverSoft @WVL_KsZeN • 18 maart 2011 12:46

Leuk idee, maar dat ga je er natuurlijk NOOIT inkrijgen bij de gemiddelde consument.
De gemiddelde persoon zal het geen fluit uitmaken hoe ze hun pas in een automaat stoppen en hoe die gelezen wordt en ze willen zich daar ook helemaal niet mee bezig houden.

leuk_he @Verwijderd • 19 maart 2011 12:45

Ov chipkaart is nu hardstikke lek. Met genoeg technische kennis kun je reizen zonder dat controleurs dit kunnen checken. Wellicht was dit op te lossen toen in een vroeg stadium signalen kwamen dat de MIFARE chip geen goede encrypty had. Je kunt het bagitaliseren dat strippenkaarten ook te vervalsen zijn en dat men nog steeds kan reizen. Maar als betrouwbaar systeem heeft het gefaald.

Blijkbaar heeft de EMV chip ook een lek. Wellicht is die zelfs te dichten. Dat moet nu aandacht krijgen i plaats van uitspraken "het valt wel mee", of "er zijn andere manieren om dit te detecteren"

Als op je europas en Mastercard of Visa symbool staat kun je er van uit gaan dat de chip op de kaart de EMV standaard gebruikt.

Blokker_1999

Hackers
Betalingsverkeer
Privacy

@Verwijderd • 18 maart 2011 11:43

veiligheid is nooit absoluut. Alles is te breken.

herbalx @Verwijderd • 18 maart 2011 12:17

Moeilijker weet ik niet, maar ik blijf nog met de "oude" techniek pinnen omdat ik dan nog zicht heb om eventueel geplaatst apparatuur. bij de insteekgleuf kan ik niet zien of er mee geknoeid is....

Kadardar 18 maart 2011 10:50

Zou dat gaan btekenen dat het nieuwe pinnen word uitgesteld en dat de passen gaan vervangen worden met een andere chip of gaan we het toch nog doorvoeren en gewoon opletten of de sleuf wel klopt?

maar dan is ook de vraag hoe lang dat nieuwe veilig zou zijn.

[Reactie gewijzigd door Kadardar op 22 juli 2024 18:37]

mtsr @Kadardar • 18 maart 2011 11:25

De EMV-chip wordt inmiddels al een aantal jaar gebruikt in het Verenigd Koninkrijk en daar zijn vooralsnog geen grote problemen ontstaan. De chip is in elk geval veiliger dan de magneetstrip, omdat deze niet (zomaar) te kopiëren is.

Verwijderd @mtsr • 18 maart 2011 11:43

In Nederland kun je ook al op heel veel plaatsen op deze wijze betalen. En ook met creditcards.

SunnieNL

@Kadardar • 18 maart 2011 12:01

Nee, het probleem is immers snel en makkelijk op te lossen:
Sta geen pintransakties toe zonder verbinding met de server.
Meestal zijn die verbindingen er toch wel omdat er gekeken moet worden of je uberhaupt geld op je rekening hebt staan

Daarnaast is de emv chip altijd nog veiliger dan de huidige magneetstrip.

BastiaanCM @Kadardar • 18 maart 2011 10:59

Nee joh dat word gewoon doorgevoerd. Sowieso is alles te hacken en dit is toch veiliger dan de magneetstrip.

BeosBeing @BastiaanCM • 18 maart 2011 15:39

Veiliger, blijkbaar dus niet, zelfs makkelijker voor de skimmers want ze hebben geen camera meer nodig om de pin te achterhalen. Wel is het betrouwbaarder in de zin dat de chip niet slijt door gebruik, terwijl de magneetstrip op een krom pasje (portemonaie in je kontzak) al niet meer werkt.

Verwijderd @BeosBeing • 18 maart 2011 21:00

Die chip kan ook kapot hoor. Paar pasjes op elkaar en dat is zo gebeurd.

DeadMetal 18 maart 2011 10:55

De EMV-standaard bestaat al sinds 2005 en banken hadden dit van de EU eigenlijk al in 2007 ingevoerd moeten hebben. Waarom komen die onderzoekers nu pas met dergelijke bevindingen?

cire @DeadMetal • 21 maart 2011 20:02

2005? Versie 3.1 was er al in 1996

Verwijderd 18 maart 2011 10:56

Bij DDA kaartjes is er een signature over de CVM lijst, dus bij online transacties en een aangepaste CVM lijst klopt de signature niet en dit wordt gedetecteerd. Binnen EU zijn meeste transacties online.

Auteur

Rafe @Verwijderd • 18 maart 2011 11:22

Signing van de CVM lijst erkennen ze ook in de presentatie (pagina 26 en verder), maar dat weten ze toch te omzeilen. Dat er gerommeld is met de CVM zou wel in de backend te detecteren kunnen zijn, maar ze stellen ook een manier voor dat dat verborgen kan worden.

feuniks 18 maart 2011 10:59

Tot nu toe vind ik het nog niet zo speciaal. Je kunt via de chip wel achter de pincode komen, maar verder niets. Dat betekent dat je de magneetstrip moet kopiëren om er iets mee te kunnen. Bij het gebruik van de chip, steek je normaal gesproken de pas niet helemaal erin, maar slechts een stuk. De magneetstrip kan dan dus niet helemaal gelezen worden door een apparaat. Daar komt nog bij dat de magneetstrip in onbruik raakt. Binnen nu en twee jaar kun je nergens in Europa meer met je strip terecht. De chip zelf kan men nog niet uitlezen. Het namaken van kaartjes met chip is dus ook vooralsnog niet aan de orde.

Alcmaria @feuniks • 18 maart 2011 11:05

In principe heb je de magneetstrip niet meer nodig om een transactie te doen.. als je je pas in een geldautomaat stop wordt ook nooit meer de magneetstrip gelezen maar alleen de chip.

en wellicht ten overvloede.. er is ook nog een kopie van de magneetstrip op de chip opgeslagen.

fre0n 18 maart 2011 11:01

er zijn al skim apparaatjes aangetroffen in raboreaders, die bij de bank liggen voor gebruik door klaten. erg handig, onderzoekers die dit skim apparaat onderzochten kwamen erachter dat de pincodde op de chip van het pasje opgeslagen is, de pincode kan dus achterhaald worden met alleen het pasje! geen cam meer nodig en login calculatoren zijn niet meer betrouwbaar...

Verwijderd @fre0n • 18 maart 2011 11:10

Dat klopt dat de PIN in de chip opgeslagen is, maar "kan dus achterhaald worden" is niet makkelijk met alleen een pasje, je moet hem tijdens een transactie onderscheppen wanneer de gebruiker deze intypt.

fre0n @Verwijderd • 18 maart 2011 12:44

klopt je hebt iets van een auth nodig, maar skimming apparatuur in de readers slaan de benodigde data dus op, met een dump van de chip. Erg goed verborgen want wie verdenkt er nu de readers die door de bank worden verstrekt? Helaas zijn die dus makkelijk om te wisselen. Er zijn dus reeds dergelijke gemodificeerde apparaatjes aangetroffen.

kmf 18 maart 2011 11:02

Oftewel, alle pinautomaten in winkels en aan de muur zijn veilig, maar je moet oppassen met mobiele pinautomaten?

Auteur

Rafe @kmf • 18 maart 2011 11:16

Uit de presentatie: "offline transactions are rare in EU". In Noord-Amerika kennelijk niet, aangezien ze het als een reële aanval presenteren...

BeosBeing @kmf • 18 maart 2011 15:47

In hoeverre mobiele apparaten veilig zijn laat ik in het midden.
Die in de winkels, daar verdwijnt je pas niet helemaal in, kan dus alleen de magneetstrip aflezen aan de hand van de chip. Bij geldautomaten, verdwijnt je pas helemaal, dus als er een magneetstrip-kopiëerder is ingebouwd kan die ook de echte magneetstrip uitlezen. Of het verschil maakt weet ik niet, maar veiliger is het zeker niet.

Verwijderd 18 maart 2011 10:51

De printplaat stuurt een aangepaste approved verification method-lijst naar de pinautomaat, waardoor de pincode tijdens de transactie onversleuteld wordt gecommuniceerd.

Ik dacht dat het met een challenge-response mechanisme zou werken, maar de ontwerpers hebben er een 'backdoor' in gelaten en daar wordt nu handig gebruik van gemaakt

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (101)

Sorteer op:

Weergave: