Kad Pembayaran Belanda yang Dipertingkatkan Masih Terjebak untuk Menyerang Serangan

Ciri-ciri keselamatan baru yang dilaksanakan dalam kad pembayaran Belanda tidak akan menghentikan sejenis serangan yang boleh digunakan oleh penipu pada masa depan untuk mencuri wang dari akaun bank, menurut para penyelidik di University of Cambridge di UK

Steven J. Murdoch dan Saar Drimer dari Kumpulan Komputer Cambridge menunjukkan pada pameran televisyen Belanda "Goudzoekers" pada hari Rabu bahawa kad pembayaran dengan ciri-ciri keselamatan baru masih terdedah kepada serangan relay yang disebut.

Serangan geganti adalah cara penipu menggunakan teknologi tanpa wayar untuk mendapatkan butiran kad bank dan PIN (Nombor Pengenalan Peribadi) untuk kad pembayaran cip dan PIN yang digunakan di seluruh Eropah. Kad-kad Chip-and-PIN memerlukan seseorang untuk memasukkan PIN empat digit pada peranti jualan atau mesin tunai, dengan PIN yang disahkan oleh microchip yang tertanam dalam kad.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows anda]

Dalam serangan geganti, butiran kad korban direkodkan melalui terminal pembayaran yang dicemari. Nombor PIN diperhatikan oleh penipu dan kemudian disampaikan kepada rakan sejenayah yang melakukan transaksi serentak di tempat lain. Kanun itu mempunyai kad pembayaran palsu yang didayakan tanpa wayar yang menggunakan butiran bank korban yang diterima dari terminal pembayaran yang telah diceroboh untuk melakukan transaksi penipuan.

Serangan relay itu ditunjukkan oleh Drimer dan Murdoch pada tahun 2007, tetapi tidak dipercaya Secara aktif digunakan oleh penjenayah kerana ada cara yang lebih mudah sekarang untuk mengompromikan kad pembayaran, kata Murdoch.

Bank di kedua-dua UK dan Belanda merancang untuk menaik taraf kad pembayaran dengan ciri-ciri keselamatan baru untuk menggagalkan pelbagai serangan. Murdoch dan Drimer menguji kad yang dikeluarkan oleh satu bank Belanda yang mempunyai tiga ciri baru.

Salah satu pengesahan data dinamik, yang membolehkan kad disahkan sebagai tulen tanpa perlu menyambung kembali ke sistem bank. Itu menghalang serangan yang dipanggil "ya", di mana mana-mana PIN akan diterima untuk transaksi. Ciri lain memastikan PIN pelanggan disulitkan semasa komunikasi antara terminal pembayaran dan kad, mencegah pemintasan PIN teks biasa.

Ciri baru yang terakhir dipanggil iCVV. Kad Chip-and-PIN sebelum ini mengandungi salinan maklumat jalur magnetik, yang mengandungi butiran akaun dalam microchip kad. Dengan iCVV, maklumat jalur magnetik yang lengkap tidak lagi disimpan di dalam cip itu, kata Murdoch.

Tak satu pun dari tiga ciri itu menghentikan serangan relay, seperti yang ditunjukkan pada pameran itu, kata Murdoch. Walau bagaimanapun, tiada seorang pun daripada mereka direka khas untuk menghentikan serangan geganti, katanya. Pengeluar "Goudzoekers" mahu melihat sama ada kad baru masih terdedah kepada serangan geganti, kata Murdoch. Pertunjukan itu hanya dibayar untuk penerbangannya dan Drimer ke Belanda untuk melakukan eksperimen itu, Murdoch berkata.

Murdoch, yang telah melakukan penyelidikan yang luas ke dalam keselamatan kad cip dan PIN, berkata dia dan Drimer tidak berfikir ciri-ciri baru akan menghalang serangan geganti. Namun, mereka menerima komisen itu untuk mendapatkan "pengalaman lebih banyak dalam sistem negara lain," katanya.

Persatuan Perbankan Belanda menolak percubaan terbaharu, dengan mengatakan dalam kenyataan bahawa serangan relay hampir tiga tahun dan terlalu rumit dan kompleks yang akan dilaksanakan secara besar-besaran.

Murdoch mengakui bahawa serangan relay sukar ditarik. Tetapi sebagai jalan serangan lain yang lebih mudah ditutup kerana ciri keselamatan yang lebih kukuh dalam kad, kemungkinan penjenayah "mungkin mula melihat ini," katanya.

Persatuan perbankan berpendapat bahawa "penjahat terlalu bodoh dan malas, "Kata Murdoch. "Penjahat malas, tetapi mereka tidak bodoh."