Pinpas met EMV-chip niet echt veilig
De EMV-chip zou de veiligheid van betalen moeten verhogen. Daarom vervangt deze in Nederland bijvoorbeeld in rap tempo de magneetstrip. Het onderzoek van Steven J. Murdoch, Saar Drimer, Ross Anderson en Mike Bond laat zien dat die doelstelling met de huidige implementatie niet gehaald wordt. Het geïmplementeerde protocol blijkt namelijk kwetsbaar voor een zogeheten ‘man in the middle’-aanval.
Shutterstock
© Shutterstock
Daarbij ontvangt de terminal waar gepint wordt, zogenaamd van de bank een goedkeuringscode voor de transactie, terwijl dit bericht in werkelijkheid niet afkomstig is van de banksystemen. Daardoor doet het er weinig toe, welke pin er wordt ingetoetst.
Voor het sturen van de nepauthenticatie hoeft men niet al te veel hoogstandjes uit te halen, stellen de onderzoekers. En wat erger is, het is in principe mogelijk om dit te doen met een apparaatje dat ergens op het lichaam wordt gedragen en is verbonden met de gestolen of nepkaart. De onderzoekers hebben dit ook in de praktijk bewezen.
In het betalingsverkeer draagt de kaarteigenaar meestal het verlies wanneer zijn pin is gebruikt bij betalingen nadat hij zijn kaart is kwijtgeraakt. Die verschuiving van de verantwoordelijkheid richting klant is niet te verdedigen bij de huidige implementatie van het EMV-protocol, stellen de onderzoekers. Ze pleiten voor een veiliger opzet van het communicatieproces tussen chip, terminal en banksystemen.
Het onderzoeksrapport is online in te zien.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee