Siti web

Carta di pagamento olandese aggiornata ancora vulnerabile all'attacco di staffetta

Quanto costa iniziare con il dropshipping?

Quanto costa iniziare con il dropshipping?
Anonim

Le nuove funzionalità di sicurezza implementate nelle carte di pagamento olandesi non fermeranno un tipo di attacco che i truffatori potrebbero utilizzare in futuro per rubare denaro dai conti bancari, secondo i ricercatori dell'Università di Cambridge nel Regno Unito

Steven J. Murdoch e Saar Drimer del Computer Group di Cambridge hanno dimostrato lo show televisivo olandese "Goudzoekers" mercoledì che una carta di pagamento con nuove funzionalità di sicurezza è ancora vulnerabile a un cosiddetto attacco relay.

Un attacco relay è un modo in cui i truffatori utilizzano la tecnologia wireless per ottenere i dati della carta di credito e il PIN (Personal Identification Number) per le carte di pagamento chip-e-PIN utilizzate in tutta Europa. Le schede Chip-and-PIN richiedevano che una persona inserisse un PIN di quattro cifre nei dispositivi di vendita al dettaglio o nei bancomat, con il PIN autenticato da un microchip incorporato nella scheda.

[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]

Nell'attacco di inoltro, i dettagli della carta della vittima vengono registrati tramite un terminale di pagamento manomesso. Il numero PIN è osservato da un truffatore e poi comunicato a un complice che esegue una transazione simultanea da qualche altra parte. Il complice ha una falsa carta di pagamento senza fili che utilizza le coordinate bancarie della vittima ricevute dal terminale di pagamento manomesso per effettuare una transazione fraudolenta.

L'attacco a staffetta è stato dimostrato da Drimer e Murdoch nel 2007, ma non si ritiene che sia Utilizzato attivamente dai criminali poiché ora ci sono modi più semplici per compromettere le carte di pagamento, ha affermato Murdoch.

Le banche del Regno Unito e dei Paesi Bassi hanno intenzione di aggiornare le carte di pagamento con nuove funzionalità di sicurezza per contrastare diversi tipi di attacchi. Murdoch e Drimer hanno testato una carta emessa da una banca olandese con tre nuove funzionalità.

Una è l'autenticazione dinamica dei dati, che consente di verificare la genuinità di una carta senza dover riconnettersi ai sistemi della banca. Ciò impedisce un cosiddetto attacco "sì", in cui qualsiasi PIN verrà accettato per una transazione. Un'altra funzione garantisce che il PIN del cliente sia crittografato durante la comunicazione tra un terminale di pagamento e la carta, impedendo l'intercettazione di un PIN in testo normale.

L'ultima funzione è chiamata iCVV. Le carte Chip-and-PIN contenevano in precedenza una copia delle informazioni sulla banda magnetica, che contiene i dettagli dell'account all'interno del microchip della scheda. Con iCVV, le informazioni complete sulla banda magnetica non sono più memorizzate nel chip, ha detto Murdoch.

Nessuna delle tre caratteristiche ha fermato un attacco a staffetta, come dimostrato nello show, ha detto Murdoch. Tuttavia, nessuno di loro è stato progettato specificamente per fermare un attacco a staffetta, ha detto. I produttori di "Goudzoekers" volevano vedere se le nuove carte fossero ancora vulnerabili all'attacco a staffetta, ha detto Murdoch. Lo show ha pagato solo i suoi voli per Drimer e l'Olanda per fare l'esperimento, ha detto Murdoch.

Murdoch, che ha fatto ricerche approfondite sulla sicurezza delle carte chip-e-PIN, ha detto che lui e Drimer non pensavano che nuove funzionalità impedirebbero un attacco relay. Tuttavia, hanno accettato la commissione dello spettacolo per ottenere "più esperienza nei sistemi di altri paesi", ha detto.

L'Associazione bancaria olandese ha respinto l'ultimo esperimento, affermando in una dichiarazione che l'attacco a staffetta ha quasi tre anni ed è troppo ingombrante e complesso da attuare su larga scala.

Murdoch ammette che gli attacchi a staffetta sono difficili da realizzare. Ma come altre vie di attacco più facili sono chiuse a causa di caratteristiche di sicurezza più forti nelle carte, è probabile che i criminali "possano iniziare a indagare su questo", ha detto.

L'associazione bancaria sostiene che "i criminali sono troppo stupidi e pigri ", Ha detto Murdoch. "I criminali sono pigri, ma non sono stupidi."