Et forskerteam fra University of Cambridge fant i 2012 en alvorlig sikkerhetsfeil i såkalte EMV-kort – betalingskort med chip og PIN-kode. Dette er kortstandarden som brukes av over 1,6 milliarder mennesker og som erstattet bruken av magnetstripen.
Feilen som ble funnet den gangen skal ha gjort det mulig for hackere og personer med onde hensikter å svindle brukere av både Mastercard, Visa-kort og flere andre kort.
Under IT-sikkerhetskonferansen IEEE Symposium on Security and Privacy i California mandag, offentliggjorde det samme forskerteamet at problemet er større enn først antatt.
I deres rapport forklarer forskerne nå hvordan svindlere kan klone andres betalingskort, uten at dette lar seg oppdage av bankene når en transaksjon med kortet gjennomføres. Svindlerne trenger ikke engang å vite PIN-koden for å foreta kjøp som ser genuine ut.
– Vår nye rapport viser at det er mulig å lage klonede chip-kort, og bankene vil ikke være i stand til å skille det fra det ekte kortet, skriver en av forskerne, Steven J. Murdoch, i rapporten.
Forutser uforutsigbare tall
I motsetning til kort som benytter seg av magnetstripen, benytter chip-kortene seg av et ekstra lag med sikkerhet i form av en tallkombinasjon som overføres mellom kortet og terminalen.
Denne tallkombinasjonen skal tilsynelatende være tilfeldig, men ifølge forskerne er ikke dette tilfellet. I stedet er det i mange tilfeller mulig for svindlere å forutsi disse tallene.
Dette kan svindlerne utnytte. Ved å skaffe seg midlertidig tilgang til et kort kan svindlerne laste opp de "tilfeldige" tallene til kortet. Dermed vil disse matche tallene i terminalen, noe som gjør at en ordentlig transaksjon kan gjennomføres, selv med et klonet kort.
Bankene vil ikke kunne påvise at transaksjonen er gjennomført av en svindler.
– Siden transaksjonene ser legitime ut, kan bankene nekte å refundere pengene til ofrene, sier Murdoch.
Saken fortsetter nedenfor.
Bankene sliter med å skille klonede kort fra ekte kort.
Foto: ColourboxTrenger ikke PIN-kode
En annen oppdagelse, som forskerne gjorde i 2012, var at det går an å bruke kort uten PIN-kode.
Ifølge forskerne fungerer dette ved at svindlere kan lure kortet til å tro at det skal gjennomføres en signaturbasert betaling. Selve betalingsterminalen tror imidlertid at et vanlig PIN-kode-kjøp foretas. Resultatet er at svindleren ikke trenger å taste inn PIN-kode, men kjøpet godkjennes likevel.
– Nesten to år etter at vi avduket protokollfeilen, ser det ut til at ingenting har skjedd. EMV-terminalene i verden fortsetter å være sårbare mot angrep som involverer terminal-malware eller der en person manipulerer kommunikasjonen med terminalen.
– Ingen alvorlig trussel
Morten Tandle er daglig leder i FinansCERT, Finansnæringens brannkorps mot internettkriminalitet. Han mener sårbarheten foreløpig ikke er noen alvorlig trussel.
– Angrepet kan gjennomføres under spesielle forhold om de kriminelle har stor teknisk forståelse, gjennomføringsevne og ressurser. Samtidig er forventet utbytte relativt lite, angrepet er lett å oppdage – samtidig som mottiltak er relativt billige å implementere, sier Tandle til NRK.no.
– Per i dag ser vi derfor ikke på dette angrepet som noen alvorlig trussel.
VISA: – Risikoen er alltid til stede
En av de største aktørene som benytter seg av chip og PIN-kodesystemet, er VISA.
Selskapet gir følgende kommentar til NRK.no:
– EMV-kortene er vesentlig sikrere enn kort med magnetstriper, men risiko for at kriminelle vil kunne misbruke tapte eller kopiere kort er dessverre til stede, selv om sannsynligheten er meget lav, sier Andreas Andersen, Pressekoordinator for Visa Europe i Norge.
