Beveiligingsonderzoeker Andrea Barisani heeft tijdens het Chaos Computer Congres (CCC) in Hamburg laten zien (PDF) hoe verschillende aanvalsmethode op de EMV-chip in betaalkaarten zijn te combineren. Door kwetsbaarheden in de beveiliging van de EMV-standaard en de backend van betaalautomaten zijn gegevens op de chips, die in bankpassen en creditcards de magneetstrips vervangen, af te vangen. Indien ook de pincode wordt geskimd, zijn betaalkaarten na te maken en te misbruiken voor betalingen.

Het lek in betaalautomaten die gegevens op de chips niet goed beschermen is volgens Barisani overal in Europa te gebruiken, behalve in Nederland. In ons land is het lek al wel gedicht, schrijft Heise. De problemen zijn door de onderzoeker bij grote banken gemeld.

Combineren aanvallen

Al sinds 2006 worden er vraagtekens gezet bij de beveiliging van de EMV-standaard en zijn er kwetsbaarheden ontdekt. Barisani heeft bekende aanvallen samengevoegd, waardoor de hele beveiliging rond transacties is te omzeilen. Tijdens een video-demonstratie liet hij zien hij je met een geldige pincode gemakkelijk gekloonde kaarten kan maken. De backend van betaalautomaten is niet slim genoeg om zulk misbruik te detecteren.

Gratis geld uitgeven

Barisani lukte het om de inhoud van de EMV-chip op zijn creditcard aan te passen zodat er bij de betaling een digitale handtekening wordt gegeven, die helemaal niet klopt. Betaalapparaten keuren de transactie desalniettemin goed. Doordat de administratieve gegevens bij het betaalbedrijf niet kloppen, zou er niets betaald hoeven te worden.

De onderzoeker stelt dat creditcardmaatschappijen regelmatig moeilijk doen bij het erkennen van misbruik, omdat ze blijven volhouden dat de EMV-chip niet is te kraken. Zijn onderzoek moet helpen om twijfelachtige transacties te verklaren.