Yükseltilmiş Hollandalı Ödeme Kartının Röle Saldırısına Karşı Korunması

Hollandalı ödeme kartlarına uygulanan yeni güvenlik özellikleri, Cambridge Üniversitesi'ndeki araştırmacılara göre, banka hesaplarından para çalmak için gelecekte suistimallerin kullanabileceği bir saldırıyı durduramayacak. İngiltere'de

Cambridge Üniversitesi Bilgisayar Grubu'ndan Steven J. Murdoch ve Saar Drimer Çarşamba günü Hollanda televizyon dizisi "Goudzoekers" da yeni güvenlik özelliklerine sahip bir ödeme kartının sözde röle saldırısına karşı savunmasız olduğunu gösterdi.

Bir röle saldırısı, dolandırıcıların, Avrupa genelinde kullanılan çip ve PIN ödeme kartları için banka kartı bilgilerini ve PIN kodunu (Kişisel Kimlik Numarası) elde etmek için kablosuz teknolojiyi kullanmanın bir yoludur. Çip-ve-----------kartlar, bir kişinin kart üzerinde bulunan bir mikroçip tarafından doğrulanmış bir PIN ile, satış noktası cihazlarında veya nakit makinelerinde dört haneli bir PIN girmesini gerektirdi.

[Daha fazla okuma: Kötü amaçlı yazılım nasıl kaldırılır Windows PC'nizden

Röle saldırısında, kurbanın kart bilgileri değiştirilmiş bir ödeme terminali üzerinden kaydedilir. PIN numarası bir sahtekâr tarafından gözlemlenir ve daha sonra başka bir yerde eşzamanlı bir işlem gerçekleştiren bir suç ortağıyla paylaşılır. Bir suç ortağı, sahte bir işlem yapmak için kurcalanmış ödeme terminalinden alınan kurbanın banka bilgilerini kullanan sahte, kablosuz özellikli bir ödeme kartına sahiptir.

2007'de rötar saldırısı Drimer ve Murdoch tarafından gösterildi, ancak Suçlular tarafından aktif olarak kullanıldığından, artık ödeme kartlarını ödün vermenin daha kolay yolları olduğundan, Murdoch şunları söyledi:

Hem İngiltere hem de Hollanda'daki bankalar, farklı saldırı türlerini engellemek için ödeme kartlarını yeni güvenlik özellikleriyle yükseltmeyi planlıyorlar. Murdoch ve Drimer, üç yeni özelliğe sahip bir Hollanda bankası tarafından verilen bir kartı test etti.

Biri, bir kartın banka sistemlerine geri bağlanmaya gerek kalmadan orijinal olarak doğrulanmasını sağlayan dinamik veri kimlik doğrulaması. Bu, herhangi bir PIN'in bir işlem için kabul edileceği bir "evet" saldırısını engeller. Bir başka özellik, müşterinin PIN'inin bir ödeme terminali ile kart arasındaki iletişim sırasında şifrelenmesini ve bir düz metin PIN'inin engellenmesini önler.

Son yeni özellik iCVV olarak adlandırılır. Çip-ve-PIN kartları daha önce kartın mikroçipinde hesap detaylarını içeren manyetik şerit bilgisinin bir kopyasını içeriyordu. Murdoch, iCVV ile tam manyetik şerit bilgisinin artık çip içinde depolanmadığını söyledi.

Üç özellikten hiçbiri gösteride gösterildiği gibi bir röle saldırısını durdurmadı. Ancak, hiçbirinin özel olarak bir röle saldırısını durdurmak için tasarlanmadığını söyledi. Murdoch, "Goudzoekers" yapımcılarının yeni kartların röle saldırısına karşı savunmasız olup olmadığını görmek istediklerini söyledi. Gösteri, sadece ve Drimer'in Hollanda'ya yaptığı denemeyi denemek için yaptığı parayı ödedi. Murdoch, dedi.

Çip ve PIN kartlarının güvenliği konusunda kapsamlı bir araştırma yapan Murdoch, kendisi ve Drimer’in yeni özellikler bir röle saldırısını önleyecektir. Ancak, "diğer ülkelerin sistemlerinde daha fazla deneyim" elde etmek için gösterinin komisyonunu kabul ettiler.

Hollanda Bankacılık Derneği son röleyi reddetti; Çok geniş ve karmaşık bir şekilde uygulanacak kadar karmaşık bir yapıya sahip.

Murdoch, röle saldırılarının çekilmesinin zor olduğunu kabul ediyor. Ancak diğer yandan, daha güçlü güvenlik özellikleri nedeniyle kartlarda daha kolay güvenlik yolları kapatıldı, muhtemelen suçluların "buna bakmaya başlayabileceğini" söyledi.

Bankacılık derneği, "suçluların çok aptal ve tembel olduğunu" savunuyor. "Murdoch dedi. "Suçlular tembel, ama aptal değiller."