שדרוג הולנדית תשלום כרטיס עדיין פגיע להעביר התקפה

תכונות אבטחה חדשות מיושמות לתוך כרטיסי התשלום ההולנדי לא יעצור סוג של התקפה כי הרמאים יכול להשתמש בעתיד על מנת לגנוב כסף מחשבונות הבנק, על פי חוקרים באוניברסיטת קיימברידג ' ב בריטניה

סטיבן ג 'מרדוק וסער דרימר מקבוצת המחשב של קיימברידג' הפגינו בתוכנית הטלוויזיה ההולנדית "Goudzoekers" ביום רביעי כי כרטיס תשלום עם תכונות אבטחה חדשות עדיין חשוף להתקפה כביכול. התקפת ממסר היא דרך שבה הרמאים משתמשים בטכנולוגיה אלחוטית כדי לקבל את פרטי הכרטיס הבנקאי ואת מספר הזיהוי האישי (PIN) (מספר זיהוי אישי) עבור כרטיסי תשלום מסוג שבב ו- PIN המשמשים בכל רחבי אירופה. כרטיסי Chip ו- PIN דורשים מאדם להזין קוד PIN בן ארבע ספרות בנקודות המכירה או במכונות המזומנים, כאשר ה- PIN מאומת על ידי שבב המוטבע בכרטיס.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

בהתקפת הממסר, פרטי כרטיס הקורבן נרשמים דרך מסוף תשלום מטופל. מספר ה- PIN הוא נצפת על ידי רמאי ולאחר מכן התקשר אל שותף מבצע עסקה בו זמנית במקום אחר. לשותף יש כרטיס תשלום מזויף אלחוטי המאפשר שימוש בפרטי הבנק של הקורבן המתקבלים ממסוף התשלומים המטופל כדי לבצע עסקה מזויפת.

ההתקפה על הממסר הוכחה על ידי דרימר ומרדוק בשנת 2007, אך לא מאמינים שהיא אשר בשימוש פעיל על ידי פושעים מאז יש דרכים קלות יותר כדי להתפשר כרטיסי תשלום, אמר מרדוק.

הבנקים בבריטניה והן בהולנד יש תוכניות לשדרג כרטיסי תשלומים עם תכונות אבטחה חדשות כדי לסכל סוגים שונים של התקפות. Murdoch and Drimer בדקו כרטיס שהונפק על ידי בנק הולנדי אחד, בעל שלושה מאפיינים חדשים.

אחד הוא אימות נתונים דינמי, המאפשר כרטיס לאימות אמיתי ללא צורך להתחבר חזרה למערכות הבנק. זה מונע מה שנקרא "כן" התקפה, שבו כל PIN יתקבל לעסקה. תכונה נוספת מבטיחה כי קוד ה- PIN של הלקוח מוצפן במהלך תקשורת בין מסוף תשלום לכרטיס, ומניעת יירוט של קוד PIN רגיל.

התכונה החדשה האחרונה נקראת iCVV. כרטיסי Chip ו- PIN קודמים הכילו עותק של מידע המגנטי, המכיל פרטי חשבון בתוך שבב הכרטיס. ב- iCVV, המידע המלא על המגנטי אינו מאוחסן עוד בתוך השבב, אמר מרדוק. "אף אחד משלושת המאפיינים לא עצר את התקפת הממסר, כפי שמוצג בתערוכה, אמר מרדוק. עם זאת, אף אחד מהם לא תוכנן במיוחד כדי לעצור את ההתקפה ממסר, הוא אמר. המפיקים של "גאודזאוקרס" רצו לראות אם הקלפים החדשים עדיין חשופים למתקפת הממסר, אמר מרדוק. המופע רק שילם לטיסות שלו ושל דרימר להולנד כדי לבצע את הניסוי, אמר מרדוק. מרדוק, שערך מחקר מקיף על האבטחה של כרטיסי שבב ו- PIN, אמר שהוא ודרימר לא חשבו תכונות חדשות ימנעו התקפת ממסר. עם זאת, הם קיבלו את ועדת ההצגה על מנת לקבל "ניסיון רב יותר במערכות של מדינות אחרות", הוא אמר.

האיגוד הבנקאי ההולנדי דחה את הניסוי האחרון, ואמר בהצהרה כי ההתקפה ממסר הוא כמעט בן שלוש והוא מסובך מדי ומורכב כדי להיות מיושם בקנה מידה רחב.

מרדוק מודה כי התקפות ממסר קשה לשלוף. אבל כמו אחרים, דרכים קלות יותר של התקפה סגורות בשל תכונות אבטחה חזקות יותר של הקלפים, סביר להניח כי עבריינים "עשויים להתחיל להסתכל לתוך זה", אמר. "האגודה הבנקאית טוען כי" פושעים הם טיפשים מדי עצלן, "אמר מרדוק. "פושעים עצלים, אבל הם לא טיפשים"