De Verenigde Staten hebben laatst een verschuiving ondergaan van het gebruik van onveilige magneetstrippen in creditcards en bankpassen naar beter beschermde chip- en pinpassen, gereguleerd door de EMV-standaard. Dat is een grote stap in de goede richting wat betreft het verhogen van transactieveiligheid en de vermindering van kaartfraude, en men zou kunnen denken dat het einde in zicht is voor kaartfraude op basis van klonen.
Onze onderzoekers hebben laatst een groep cybercriminelen ontdekt afkomstig uit Brazilië die een manier heeft ontwikkeld om bankpasdata te stelen en chip- en pinpassen succesvol te klonen. Onze deskundigen presenteren hun resultaten op het Security Analyst Summit 2018, en door middel van deze korte post proberen we dat complexe werk uit te leggen.
Pinautomaten plunderen, en meer
Tijdens het onderzoek van malware voor het plunderen van pinautomaten door de Braziliaanse groep Prilex, hebben zij een gemodificeerde versie van deze malware ontdekt met enkele extra functies die gebruikt werden bij het infecteren van point-of-service (POS) terminals en bankpasdata te verzamelen.
Deze malware was in staat POS-software te modificeren om derde partijen de mogelijk te bieden data te onderscheppen die een POS naar een bank stuurt. Op die manier verkregen de misdadigers hun bankpasdata. In feite betekent dit dat wanneer je in een winkel betaalt waarvan de POS-terminal geïnfecteerd is, dat jouw bankpasdata rechtstreeks naar de criminelen gestuurd wordt.
Het hebben van de kaartgegevens is echter het halve werk; om geld te stelen, moeten ze ook in staat zijn de kaarten te kunnen klonen, een ingewikkelder proces, door de chips en de verschillende authenticaties.
De Prilexgroep heeft een complete infrastructuur ontwikkeld die zijn “klanten” de mogelijkheid biedt passen te klonen, iets wat in theorie niet mogelijk zou moeten zijn.
Om te zien waarom het mogelijk is, is het goed om eerst een kijkje te nemen naar de werking van EMV-passen. Wat betreft het klonen, zullen we het zo makkelijk mogelijk proberen te maken.
De werking van chip-en-pin
De chip op de pas is niet alleen flashgeheugen, maar een kleine computer in staat om applicaties te draaien. Als de chip in een POS-terminal wordt ingevoerd, dan wordt een aantal stappen in gang gezet.
De eerste stap heet initialisatie: De terminal ontvangt basisinformatie, zoals de naam van de pashouder, vervaldatum, en de lijst van applicaties die de pas kan ”afspelen.”
De tweede stap is optioneel en heet data-authenticatie. Hier wordt gecontroleerd of de pas authentiek is door middel van een validatieproces met cryptografische algoritmen. Het is ingewikkelder dan hier besproken kan worden.
De derde stap, ook optioneel, is verificatie van de pashouder; deze moet ofwel een pincode geven of een handtekening zetten (afhankelijk van hoe de kaart is geprogrammeerd). Deze stap is nodig om te verifiëren dat de persoon die betaalt dezelfde is als de pashouder.
Bij de vierde stap vindt de transactie plaats. Let op dat alleen stap 1 en 4 verplicht zijn. In andere woorden kan authenticatie en verificatie overgeslagen worden – en daar komen de Braziliaanse cybercriminelen om de hoek kijken.
Onbeperkt pasgebruik
We hebben dus een pas die in staat is om apps te draaien en tijdens de eerste kennismaking vraagt de POS de kaart om informatie over de beschikbare apps. Het aantal stappen en de moeilijkheidsgraad van de transactie is afhankelijk van deze apps.
De pas-kloners hebben een Java-applicatie ontworpen die gedraaid kan worden op kaarten. De applicatie heeft twee functies: ten eerste vertelt het de POS-terminal dat er geen data-authenticatie nodig is. Er zijn dus geen cryptografische handelingen, waardoor de haast-onmogelijke taak van het verkrijgen van de cryptografische privé-keys, wordt overgeslagen.
Maar dan is er altijd nog de pin-authenticatie. Er is in de EMV een optie om te kiezen welke entiteit controleert of de pincode correct is… jouw pas. Om exact te zijn, een app op jouw pas.
Je leest het goed: De cybercriminelen kunnen doorgeven dat een pin juist is, ongeacht welke pin er is ingevoerd. Dat betekent dat de crimineel die de kaart heeft, simpelweg vier willekeurige nummers kan invoeren en deze zullen altijd geaccepteerd worden.
Kaartfraude als service
De infrastructuur die Prilex heeft gecreëerd bevat de bovengenoemde Java-applet, een klant-applicatie die “Daphne” heet, waarmee de informatie op smartcards wordt geschreven (smartcard-reader/writer apparaten en blanco smartcards zijn goedkoop en legaal te kopen). Dezelfde app wordt gebruikt om te achterhalen hoeveel geld er van de kaart kan worden afgeschreven.
De infrastructuur bevat ook de database met pasnummers en andere data. Of het om een debit- of creditcard gaat, maakt niet uit; “Daphne” kan beide klonen. De dieven verkopen het als één geheel, meestal aan andere criminelen in Brazilië, die vervolgend de kaarten klonen en gebruiken.
Conclusie
Volgens het rapportage Aite’s 2016 Global Consumer Card Fraud report, kan aangenomen worden dat alle gebruikers geraakt zijn. Of je nu een magneetstipkaart gebruikt of een veiligere chip-en-pinpas gebruikt, maakt niet uit – als je een pas hebt, dan zijn je data waarschijnlijk gestolen.
Ondertussen hebben de criminelen een methode ontwikkeld om de kaarten te klonen, wat erg begint te lijken op een serieuze financiële dreiging. Wil je voorkomen dat je significante hoeveelheden geld kwijtraakt door pasfraude, dan raden we je aan het volgende te doen:
- Houd je transactiegeschiedenis in de gaten, met mobiele push-berichten of sms-meldingen. Als je verdachte transacties zien, bel dan onmiddellijk je bank om de pas te blokkeren.
- Gebruik AndroidPay of ApplePay indien mogelijk; deze methoden onthullen geen kaartgegevens aan de POS. In feite zijn deze dus veiliger dan het invoeren van je pas in de POS.
- Gebruik een andere pas voor online-transacties, omdat het waarschijnlijker is dat deze pas in gevaar komt, dan die kaarten die je alleen in fysieke winkels gebruikt. Zorg dat je geen grote hoeveelheden geld hebt op die kaart.