‘Betaalautomaten van banken zijn kwetsbaar voor aanvallen’

Door een reeks aan ontwerpfouten zijn betaalautomaten van banken kwetsbaar voor meerdere hackaanvallen. Het kopiëren van pincodes, het stelen van betalingen en overnemen van de terminal horen tot de mogelijkheden.

Dat demonstreerden de beveiligingsonderzoekers Karsten Nohl, Fabian Bränlein en Dexter op de hackersbijeenkomst CCC in Hamburg. Het onderzoek werd gedaan naar het Duitse pinsysteem, maar Nohl vermoedt dat de problemen in meerdere landen spelen omdat de technologie en protocollen worden gebruikt. De onderzoekers analyseerden de werking van een betaalautomaat en de communicatieprotocollen. Als gevolg van zwakheden in sommige automaten is het mogelijk om een noodzakelijke sleutel te achterhalen, waarbij het bij gebruik van een draadloos netwerk zelfs op afstand mogelijk is in te loggen. Het gaat hierbij om het hacken van het apparaat zelf, niet om het skimmen van een pinpas. Transactie De onderzoekers demonstreerden de theorie door een transactie op een automaat uit te voeren. Omdat de gegevens onversleuteld langskomen, is het mogelijk zowel de gegevens op de pas als invoers van gebruikers uit te lezen. Als de gebruiker de pincode ingeeft dan lekt deze uit. Ook is het technisch mogelijk om de automaten te openen en de fysieke beveiliging gericht op het rommelen van de automaat te omzeilen. Daarmee kunnen kwaadwillenden de informatie uit de automaat uitlezen. Zwakheid Een andere manier van aanvallen ligt niet aan de terminals zelf, maar aan de manier waarmee het protocol werkt om gegevens uit te wisselen. Door een zwakheid is het mogelijk een echte betaalautomaat na te doen en met de bank te communiceren. Die handelt de transacties af alsof er niets aan de hand is. Op deze manier konden de onderzoekers niet alleen oplaadcodes afgeven voor prepaid telefoons, maar ook een restitutiebetaling doen. “De automaat voert die transactie uit en controleert niet of er eerder ook een betaling is gedaan”, legt Nohl uit. Op die manier is het mogelijk om ook grotere bedragen te stelen. Aanval De laatste aanval is mogelijk, omdat de communicatie met de bank zo is opgezet dat de automaat altijd op dezelfde manier ‘beveiligd communiceert’ door middel van het beheerderswachtwoord en het automaatnummer. Het standaard beheerderswachtwoord was via Google te vinden, het automaatnummer van de automaat staat op iedere pinbon en is bovendien makkelijk te raden. Om de aanval te demonstreren kochten de onderzoekers een automaat op internet voor zeven euro inclusief verzendkosten en toonden de aanval op het toneel van de conferentie. Ze maakten een opwaardeerbon van 50 euro om het saldo van prepaid telefoons te verhogen en 100 euro terug te boeken op de rekening van een bankrekeninghouder. CCC Het jaarlijkse Chaos Communication Congres is een van de grootste hackersconferenties ter wereld. Er zijn 15.000 bezoekers die vier dagen lang kijken naar zwakheden van technologie, de gevaren van technologie voor de samenleving en activisten. /Brenno de Winter

Managementstyle.nl

Het bericht ‘Betaalautomaten van banken zijn kwetsbaar voor aanvallen’ verscheen eerst op ManagementStyle.nl

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *