In Nederland wordt er bij PIN-betalingen namelijk tijdens de transactie online gecontroleerd, vertelt de woordvoerster van het EMV-projectbureau (Europay, Mastercard, VISA) van de Nederlandse banken. Zij zegt tegen Webwereld dat de Britse kraakmethode dus niet van toepassing is in ons land.

PIN-code vervalsen

De Britse wetenschappers hebben echter bij de bekendmaking van hun kraak van het EMV-protocol al gesteld dat online authenticatie ook kwetsbaar is. De onderzoekers van de universiteit van Cambridge hebben vorige week een fundamenteel lek in het pin- en chipsysteem onthuld. Dat hebben ze gedaan nadat ze in december vorig jaar de banken en bankautoriteiten hebben ingelicht. Daarop hebben ze echter geen reactie gekregen van die financiële instituten.

De kraak bestaat uit het onderscheppen van de PIN-code, die wordt ingevoerd op een betaalautomaat en wordt gecontroleerd met de pas. Tussen de - gestolen of gekloonde - pas zit een laptop met een Python-script en wat goedkope standaardelektronica, die de betaalterminal 'voorliegt' dat de ingevoerde PIN-code correct is.

'Werkt wel online'

De security-onderzoekers stellen dat hun kraakmethode ook werkt voor 'online' transacties, dus als de betaalautomaat van een winkelier contact opneemt met de bank. "Zelfs als het autorisatiesysteem van de bank alle transactiedata krijgt toegezonden voor verificatie", blogt één van de onderzoekers. Dat de kraak toch werkt ondanks de live online-controle is te danken aan de complexiteit van de achterliggende ict, stelt hij.

"Bankautorisatiesystyemen zijn complex; ze omvatten cryptografiecontroles, accountcontroles, databasecontroles en interfaces met fraudedetectiesystemen die dan een puntenscore kunnen toepassen op de output van al die andere elementen. In theorie is alle data die je nodig hebt om de aanval waar te nemen aanwezig, maar in de praktijk? Bovendien: hoe kun je het waarnemen, als je er niet naar uitkijkt? De banken realiseren zich niet eens dat ze hierop moeten controleren."

Zowel de EMV-projectgroep van de Nederlandse banken als enkele banken zelf moeten Webwereld nog antwoord geven op deze en andere vragen. De Nederlandse Vereniging van Banken (NVB) verwijst door naar de EMV-projectgroep.

Britse bankpassen kwetsbaar

De nu onthulde kraakmethode werkt voor debit- en creditcards, maar alleen bij PIN-automaten in winkels, niet bij geldautomaten. De wetenschappers hebben hun kraak getest met passen van de grote Britse banken: Barclays, Halifax, Bank of Scotland, HSBC, John Lewis en de Co-operative Bank. Die passen zijn allemaal kwetsbaar, blijkt uit de tests.

De hoogte van de betaling speelt geen rol; de kraak werkt ook bij hogere bedragen waar er sprake is van extra controle (boven de zogeheten floor limit). Een vervallen kaart is niet meer bruikbaar voor deze kraak. Criminelen hebben dus maar beperkt de tijd om een gestolen pas te benutten.

Update:

De EMV-woordvoerster komt in een aanvullend antwoord met de uitleg dat de implementatie van het EMV-protocol in Nederland strenger is dan in Groot-Brittannië. Daardoor is volgens haar deze hack in ons land niet effectief; de fraude komt hier aan het licht. "Bij de online authenticatie is het PIN-veld in de verzonden data dan blanco", vertelt zij over de hack waarbij een willekeurige PIN-code wel als valide wordt geaccepteerd door de betaalautomaat.

Over de mate van wel of geen strikte EMV-implementatie in andere landen - en daarmee wel of geen kwetsbaarheid voor de Britse kraak - kan zij geen uitspraken doen. Zij antwoordt ook namens de door Webwereld benaderde Nederlandse banken.

Actualiteitenprogramma Newsnight van de BBC belicht de Britse PIN-kraak: