Chip-en-PIN-creditcards zijn heel gebruikelijk in het Verenigd Koninkrijk en ze zijn ook in de VS aan het stijgen. Ze worden over het algemeen beschouwd als zowel handiger als veiliger dan de lang gebruikte Amerikaanse signature-kaarten. Een team van onderzoekers van de Universiteit van Newcastle voerde onlangs echter enkele alarmerende experimenten uit waarbij sommige chip-en-pin-kaartdragers zich zorgen maakten. Het is tijd om de feiten te leren en jezelf te beschermen.
Contactloze chip-en-pin-technologie
Om meer specifiek te zijn, de kaarten die het risico lopen die een RFID-chip (radiofrequentie-identificatie) gebruiken. Hoe werkt RFID-technologie? Hoe werkt RFID-technologie? Wat zit er in je portemonnee? Heeft u een contactloze creditcard of bankpas? Wist u dat uw contactloze kaart RFID gebruikt? Maar wat is RFID? Laten we het uitzoeken. Meer informatie om contactloze betalingen in te schakelen. Dit betekent dat er naast een kleine chip ook een kleine draad door de kaart loopt; wanneer het in de buurt van een terminal wordt gepasseerd, genereert die draad een kleine hoeveelheid elektriciteit, geeft informatie door aan de chip en stuurt een antwoord terug naar de terminal die de betaling autoriseert. Het is snel en gemakkelijk.
Over het algemeen is dit helemaal goed. Banken en kaartuitgevers hebben meestal geen pincode nodig voor kleine aankopen (meestal die tot £ 20) en iedereen is blij. Pincodes zijn vereist voor grotere aankopen, waardoor de kans op fraude kleiner is. Er is ook een limiet op offlinetransacties, die zijn toegestaan door de kaart, maar die pas later door de bank worden verwerkt van £ 100. Helaas werkt het systeem niet helemaal zoals gepland.
Tricking The Tech
Het team van de universiteit van Newcastle vond een interessante manier om de waarborgen van Visa te omzeilen en beschreef het in hun paper 'Oogst van valutatransacties met hoge waarde van EMV contactloze kredietkaarten zonder de pincode'. Ze vonden dat deze voorzorgsmaatregelen voor de gek gehouden werden door buitenlandse transacties, en laat een terminal in het algemeen kosten in rekening brengen op de kaart die maximaal acht cijfers kan bevatten, wat mogelijk kan oplopen tot $ 999.999, 99 of € 999.999, 99. Vermoedelijk is dit om buitenlandse transacties mogelijk te maken met valuta's die grote bedragen vereisen, zoals de Japanse yen, Zuid-Koreaanse won of de Indonesische rupiah.
Helaas weet de chip op de kaart niet of het in Japan, Zuid-Korea, Indonesië of een supermarkt in Londen is. Het kent ook niet het verschil tussen de contactloze terminal van een retailer en een gehackte terminal die in een zak kan worden gedragen. Je zou denken dat het moeilijk zou zijn om een gehackte terminal in een zak te dragen, maar het team van Newcastle slaagde erin om het te doen door een app te schrijven voor NFC-compatibele Android-telefoons. Het enige dat de dief hoeft te doen, is de kaart over je portefeuille zwaaien als hij op tafel zit, of tegen je aan botsen zodat de telefoon dicht genoeg bij de kaart in je zak komt - het lijkt veel op een schijf - door NFC hack How Does A Drive-By NFC Hack werk? Hoe werkt een drive-by NFC-hack? Lees verder .
Deze methode omzeilt niet alleen de limiet van £ 20, maar omzeilt ook de offline transactielimiet van £ 100, wat betekent dat de dief ver weg bij u kan zijn wanneer de transactie wordt verwerkt, dus zelfs als u een sms ontvangt van uw bank als je zegt dat er een verdachte transactie is ontdekt, heb je geen idee waar je was toen de dief je sloeg.
De auteurs van de krant zeggen dat als iemand zou profiteren van deze zwakte in het systeem, ze waarschijnlijk niet $ 999.999, 99 zouden kunnen krijgen, omdat dat andere alarmen bij de bank zou veroorzaken (tenzij je natuurlijk een van die mensen die regelmatig meer dan een miljoen dollar uitgeeft op hun creditcard). Zelfs als ze in staat zijn £ 50 korting te krijgen op elke persoon die ze tegenkomen, kan dat een enorme hoeveelheid geld opleveren. Hoeveel mensen komen je geregeld tegen op de metro of loop je door een drukke hoofdstraat?
Jezelf beschermen
De auteurs van het document bevelen een paar dingen aan die Visa zou moeten doen om hun klanten te beschermen tegen dit soort aanvallen, zoals altijd een pincode of online verificatie nodig hebben voor de verwerking van een transactie in een vreemde valuta. Visa reageerde op deze studie door te zeggen dat ze andere voorzorgsmaatregelen hebben getroffen en dat dit geen probleem zal zijn (maar we hebben dit soort dingen eerder gehoord). Totdat Visa specifieke oplossingen maakt, is het een goed idee om jezelf te beschermen.
De eenvoudigste manier om dit probleem te vermijden is ook de eenvoudigste: gebruik geen contactloze kaarten. Als uw bank u een keuze biedt, kiest u gewoon de optie zonder contact. Best makkelijk. U kunt ook vragen dat uw bank betalingen in vreemde valuta op uw kaart verbiedt als u niet vaak reist. Als u een van deze opties kiest, hoeft u zich geen zorgen te maken.
U kunt ook een portemonnee met signaalblokkering gebruiken, zoals de RFID-blokkerende portefeuilles waarover we vorig jaar spraken Wat zijn RFID-blokkerende portefeuilles en welke moet u kopen? Wat zijn RFID-blokkerende portefeuilles en welke moet u kopen? Als je wist dat iemand je creditcards, paspoort en zelfs rijbewijs kon lezen zonder ze echt te moeten vegen, zou je dan stappen ondernemen om je ertegen te wapenen? Lees verder . Er is nogal wat onenigheid over of deze wallets echt effectief zijn en of ze nodig zijn, maar het gebruik van een zeker zal je niet kwetsbaarder maken voor dit soort aanvallen. Er zijn tal van opties, van stijlvolle lederen portefeuilles tot stevige polycarbonaat koffers die u kunt gebruiken om signalen te blokkeren. Sommige mensen wikkelen hun kaarten ook gewoon in aluminiumfolie, hoewel de effectiviteit hiervan ook in twijfel is getrokken. Sommige mensen raden zelfs aan een Altoids blikje te gebruiken.
Of Visa de waarheid vertelt over hun andere veiligheidsmaatregelen die een dergelijke aanval vangen - en of portefeuilles met RFID-blokkering wel of niet hun werk doen - het is belangrijk om je bewust te zijn van potentiële bedreigingen zoals deze. Contactloze kaarten zijn erg handig, maar ze zijn nog niet zo lang in grote aantallen aanwezig, dus we hebben nog steeds een beetje tijd nodig om ze allemaal te begrijpen.
Wat denk je van deze dreiging? Maak je je zorgen over de beveiliging van je contactloze kaarten? Gebruikt u een contactloze kaart of een portemonnee met RFID-blokkering? Deel je gedachten hieronder!
Beeldcredits: Creditcards in ondiepe focus via Shutterstock (bewerkt), Swisstack via Wikimedia Commons, dief diefstal portemonnee van een man die op straat loopt. Zakkenrollen overdag op straat via Shutterstock.