'Nederland niet kwetsbaar voor PIN-kraak' - UPDATE

Waarom kan ik met mijn PIN-pas dan in Frankrijk gewoon betalen met een halfbakken krabbel die voor mijn handtekening moet doorgaan?

Nederlandse PIN-passen zijn volgens Nederlandse banken niet kwetsbaar voor de Britse kraak. Daarbij zijn betalingen te doen zonder de PIN-code te weten.
Onze voordeur is niet te kraken, daarbij staat deze altijd open.

Dus mijn nieuwe ABN-Amropas doet het niet in Groot Brittanië?

Onze pinpas is in een groot aantal landen zonder PIN te gebruiken. Simpel door de lezer halen, bedrag intikken en weg is het geld.

Bijv. in Frankrijk volstaat het om een handtekening op een kopie van de kassabon te plaatsen als het om onze PIN-passen met Maestro logo gaat.

Onze passen zijn dus al jaren zo lek als een mandje.

Tja, wat wil je met een systeem met maar 10000 mogelijke cijfer combinaties.

Na 3 foute combinaties is een pas ongeldig, maar zelf dan nog kun je met een je kaarten simpel copieren en bruteforcen.

3333 pogingen is niet zoveel als je een kopie van de bankpas van een miljonair hebt gevonden.. huur je desnoods een stel chinesen in.
Goldfarming in een mmorpg is nog meer werk :p

En dan hebben we het niet eens over de mogelijkheden om de hash op een magneetstrip te virtueliseren en een gehackte pin-lezer op een computer aan te sluiten.

De magneetstrip is al bijna achterhaald het moment dat het PIN systeem in nederland geintroduceerd werd.

De chip op de pinpas ook *echt* gebruiken en de magneetstrip niet meer ondersteunen is het enigste wat je nog een beetje kan doen.
Een chip kun je nog zo programmeren dat die niet alleen self-destruct als je 3 keer een verkeerde code invoert, maar ook als getracht word de gehele hash uit te lezen.

Maarja, de banken zien dat het vertrouwen van de consument dat ze veilig zijn belangrijker dan de re"ele veiligheid.. Zelfs als overgaan naar een veiliger systeem niet duurder is dan gewoon uitkeren aan slachtoffers zien ze het waarschijnlijk alsnog dat veranderen van het systeem een soort toegeven van onveiligheid is, en dus slecht voor het imago.

De banken geven gewoon niet graag toe dat het hele systeem kwetsbaar is. Ik kwam er tijdens een weekendje weg pijnlijk achter dat ik geskimmed was. In drie dagen tijd hadden ze meer dan 2.500 euro van mijn rekening geschreven. Allemaal transacties vanuit Amerika. Het is inmiddels 3 weken geleden en de bank moet het geld nog steeds terugstorten.

Het hele systeem is gewoon zo lek als een mandje.

het viel mij laatst op in Duitsland dat de betaling met mijn credit card met chip (uitgegeven door de ING) de pin code meteen wist af te keuren. De melding kwam vrijwel onmiddelijk, dus er vond geen on-line validatie plaats. Nu begrijp is dus hoe e.e.a. geimplementeerd is. Het is dus wachten tot de eerste skimacties plaatsvinden met passen die zo'n chip hebben.

Ik vind het overigens onbegrijpelijk dat er zo lang gewacht is met de opvolger van de magneetstrip. Zodra je een nieuw systeem invoert, moet je al op zoek gaan naar een opvolger met de nieuwste beveiligingsmogelijkheden. Het duurt meestal een aantal jaren om deze uit te rollen, zeker als je dit Europees/globaal wilt doen.

Zijn er al nieuwe technieken waar de banken naar kijken als de opvolger van de EMV chip? Zoniet, zie ik het somber in, want alleen de duur van de uitrol van de EMV chip geeft de criminelen genoeg tijd om deze te kraken.

Doet me denken aan de fout wat laatst op tv was bij NL-banken.
Banken horen en zijn wettelijk verplicht altijd een controle uit te voeren op correctheid van gegevens. Blijkbaar zijn ze hier nogal laks mee overal. Terwijl dit gewoon wettelijk verplicht is.

Dat de banken zeggen dat hun pas niet kwetsbaar is lijkt me tamelijk een open deur. Als ze zouden zeggen dat hij wel kwetsbaar is dan kunnen ze hem per direct afschaffen.

Ik weet niet of de foto die er bij staat weergeeft hoe de hack in werkelijkheid gaat, maar ik denk dat als je in de C1000 met zo'n apparaat en een pinpas wil gaan betalen dat het wel een beetje opvalt xD
En aangezien de hack op bankautomaten niet werk moeten de hackers dus naar winkels. Tenzij ze zelf een pinautomaat hebben natuurlijk...

De nederlandse passen zijn net zo kwetsbaar als alle andere passen. Wat ze bedoelen is dat in Nederland geen PINtransacties te doen zijn die niet online gevalideerd worden. Nederlandse passen zijn in het buitenland net zo gevoelig als alle andere passen. Zodra de pas in Nederland als creditcard gebruikt wordt, of voor chiptransacties (de chipknip gaat vervallen, offline verificatie zoals voor parkeermeters en dergelijke komt er voor in de plaats) zijn wij net zo kwetsbaar.

Wat me opvalt is dat de communicatie tussen de pas en de betaalterminal onversleuteld plaatsvindt. Dit betekent dat je een laag beveiliging die eenvoudig aan te brengen was geweest mist, waardoor de aanvaller in ieder geval de volledige gegevensuitwisseling tussen de pas en de terminal kan lezen en aanpassen. Als in de basis van het systeem al zo'n fout gemaakt is, kan het bijna niet anders dat er op andere plaatsen in het protocol ook grote fouten gevonden gaan worden. Het systeem is nog niet koud in gebruik en er wordt al op zo'n grote schaal overheen gewalst met in de praktijk uitvoerbare fraudes. Zodra er meer gebruik gemaakt van worden, zal de criminele sector al zo ver zijn met hun technieken, dat het systeem niet veiliger meer is dan de huidige magneetstrip nu nog is.