Na-upgrade na Dutch Payment Card Still Vulnerable sa Relay Attack

Ang mga bagong tampok sa seguridad na ipinatutupad sa mga card ng pagbabayad ng Dutch ay hindi titigil sa isang uri ng atake na maaaring gamitin ng mga fraudsters sa hinaharap upang makuhanan ng pera mula sa mga account sa bangko, ayon sa mga mananaliksik sa University of Cambridge sa UK

Steven J. Murdoch at Saar Drimer ng Computer Group ng Cambridge ay nagpakita sa Dutch television show na "Goudzoekers" noong Miyerkules na ang isang pagbabayad card na may mga bagong tampok sa seguridad ay mahina pa rin sa isang tinatawag na pag-atake ng relay.

Ang pag-atake sa relay ay isang paraan kung saan gumagamit ang mga manlolupot ng wireless na teknolohiya upang makakuha ng mga detalye ng bank card at PIN (Personal Identification Number) para sa mga card sa pagbabayad ng chip-at-PIN na ginagamit sa buong Europa. Kinakailangan ng isang Chip-and-PIN card ang isang tao na magpasok ng apat na digit na PIN at point-of-sale device o cash machine, na may PIN na pinatotohanan ng isang microchip na naka-embed sa card.

[Karagdagang pagbabasa: Paano mag-alis ng malware mula sa iyong Windows PC

Sa pag-atake ng relay, ang mga detalye ng card ng biktima ay naitala sa pamamagitan ng isang na-tampered na terminal ng pagbabayad. Ang PIN number ay sinusunod ng isang pandaraya at pagkatapos ay nakipag-ugnayan sa isang kasapakat na gumaganap ng isang sabay-sabay na transaksyon sa ibang lugar. Ang kasabwat ay may pekeng, wireless-enable na card sa pagbabayad na gumagamit ng mga detalye ng bangko ng biktima na natanggap mula sa terminal na napinsalang pagbabayad upang gumawa ng isang mapanlinlang na transaksyon.

Ang pag-atake sa relay ay ipinakita ni Drimer at Murdoch noong 2007, ngunit hindi pinaniniwalaan aktibong ginagamit ng mga kriminal dahil mas madali ang mga paraan upang ikompromiso ang mga card sa pagbabayad, sinabi ni Murdoch.

Ang mga bangko sa parehong UK at Netherlands ay may mga plano na mag-upgrade ng mga card ng pagbabayad gamit ang mga bagong tampok sa seguridad upang hadlangan ang iba't ibang uri ng mga pag-atake. Sinubok ni Murdoch at Drimer ang isang card na ibinigay ng isang Dutch bank na may tatlong bagong tampok.

Ang isa ay isang dynamic na authentication ng data, na nagpapahintulot sa isang card na ma-verify bilang tunay na hindi nangangailangan na kumonekta pabalik sa mga sistema ng bangko. Na pinipigilan ang isang tinatawag na "oo" atake, kung saan ang anumang PIN ay tatanggapin para sa isang transaksyon. Tinitiyak ng isa pang tampok na naka-encrypt ang PIN ng customer sa panahon ng komunikasyon sa pagitan ng isang terminal ng pagbabayad at ang card, na pumipigil sa pagharang ng isang plain-text PIN.

Ang huling bagong tampok ay tinatawag na iCVV. Nakapaloob ang chip-and-PIN cards ng isang kopya ng impormasyon ng magnetic stripe, na naglalaman ng mga detalye ng account sa loob ng microchip ng card. Sa iCVV, ang kumpletong impormasyon ng magnetic stripe ay hindi na naka-imbak sa loob ng maliit na tilad, sinabi ni Murdoch.

Wala sa tatlong tampok ang tumigil sa isang pag-atake sa relay, tulad ng ipinakita sa palabas, sinabi ni Murdoch. Gayunpaman, wala sa kanila ang partikular na idinisenyo upang itigil ang pag-atake ng relay, sinabi niya. Nais ng mga producer ng "Goudzoekers" na makita kung ang mga bagong card ay mahina pa rin sa pag-atake sa relay, sinabi ni Murdoch. Ang palabas ay binayaran lamang para sa kanyang at mga flight sa Drimer sa Netherlands upang gawin ang eksperimento, sinabi ni Murdoch.

Murdoch, na gumawa ng malawak na pananaliksik sa seguridad ng chip-at-PIN card, sinabi niya at Drimer ay hindi iniisip ang mga bagong tampok ay maiiwasan ang pag-atake ng relay. Gayunpaman, tinanggap nila ang komisyon ng palabas upang makakuha ng "mas maraming karanasan sa mga sistema ng ibang bansa," sinabi niya.

Ang Dutch Banking Association ay sumabog sa pinakabagong eksperimento, na nagsasabi sa isang pahayag na ang pag-atake sa relay ay halos tatlong taong gulang at masyadong mahirap at masalimuot na maipapatupad sa isang malawak na sukat.

Sinabi ni Murdoch na ang pag-atake sa relay ay mahirap iwanan. Ngunit tulad ng iba pang, mas madali ang mga avenue ng pag-atake ay isinara dahil sa mas malakas na mga tampok ng seguridad sa mga card, malamang na ang mga kriminal "ay maaaring magsimulang tumuklas dito.", "Sabi ni Murdoch. "Ang mga kriminal ay tamad, ngunit hindi sila bobo."