A PIN-kódos azonosítót használó chipkártyákat át lehet verni, hogy a tranzakciókat a megfelelő azonosítás nélkül is végrehajtsa – derül ki a Cambridge Egyetem kutatásából. A hiba miatt bármelyik ellopott kártyáról leemelhetnek pénzt, vagy akár online is fizethetnek vele.

A Cambrigde egyetem kutatói biztonsági hibát találtak a chipes bankkártyáknál. Egy olyan módszert, mellyel meg tudják kerülni a biztonsági rendszert és bármelyik kártyával el tudják hitetni, hogy a helyes PIN-kódot adták meg a tranzakcióknál – olvasható a Boing Boingon.

Hogyan csalnak?

A kártyák a következő módon működnek: amikor az ügyfél beteszi a terminálba a kártyát, az érzékeli, hogy milyen módon kell hitelesíteni azt, PIN használatával, aláírással, vagy egyikkel sem. Itt jön elő a hiba, ugyanis át lehet verni a kártyát, hogy azt "gondolja" elég a chip és az aláírás, miközben ugyanennél a tranzakciónál a terminál az hiszi, hogy chip és PIN azonosítást kapott. Ráadásul a kiadott bizonylaton is az szerepel, hogy PIN kóddal azonosították a kártyát, pedig ugye hamis kódot adtak meg.

Vagyis bármelyik lopott kártyával és egy tetszőleges PIN kód megadásával lehet vásárolgatni, pénz levenni a kártyáról, sőt, még online is fizetni.

A chip és PIN azonosításra épülő rendszer megbukott – állítja Ross Anderson, az egyetem professzora. Ez az egyik legnagyobb hiba, amit találtunk a fizetési rendszerekben, pedig már 25 éve vagyunk a szakmában – tette hozzá.

A kutatók természetesen nem hozták nyilvánosságra a módszert, annyit árultak el, hogy egy kártyaolvasóra is szükség van ahhoz, hogy működjön a csalás. A lopott kártyát a bolt termináljába helyezik, a kártyaolvasó pedig olyan jeleket küld a terminálnak, hogy a megadott hamis PIN kód a jó kód. A bolti terminál pedig jóváhagyja a tranzakciót.

A kutatók több bankkal felvették a kapcsolatot, és tájékoztatták őket a hibáról. Azt állítják, hogy elég egyszerű programozói tudás elegendő ahhoz, hogy létre tudják hozni ezt a rendszert.

Az elmúlt években a Cambridge Egyetemen működő csoport több rendszerhibát fedezett fel.

Chipkártya vs mágneskártya

Chipkártya vs mágneskártya
Mágnescsíkos kártya: a kártyára és a kártyabirtokosra vonatkozó adatokat a kártya hátlapján elhelyezett mágnescsík tárolja, kódolt formában.

Chipkártya: integrált áramkörös kártya, mikroprocesszoros kártya, smartkártya néven is ismert. A kártyára és a kártyabirtokosra vonatkozó adatokat a kártya előlapjába beépített chip tárolja.
A chipes kártyát a szakemberek biztonságosabbnak tartják a mágnescsíkos kártyánál.

A világ első chipkártyáját a MasterCard International indította útjára Nagy-Britanniában. Néhány évvel később brit kártyával már Európán kívül is fizettek egy Sao Paolóban, Brazíliában lévő üzemanyagtöltő állomáson. A chipkártyák terjedése és használata jelentősen felgyorsult. Az Egyesült Államokban azonban még nem terjed a chipes rendszer, mert annyira jól működik a monitorozási rendszer, hogy feleslegesnek tartják azt. Ugyanakkor az európai váltás miatt egyre több bank ajánl chipkártyát ott is. Egy sokat utazó ügyfélnél ugyanis nem engedhetik meg maguknak, hogy azzal szembesüljön, hogy nem fogadják el külföldön a kártyáját.

Magyarországon még a mágnescsíkkal ellátott kártyák az elterjedtebbek, csak néhány bank tesz a kártyáiba chipet is. Pedig a 2011-re a SEPA (egységes európai fizetési rendszer) országaiban valamennyi forgalomban lévő kártyának rendelkeznie kell chippel. Igaz, a határidő az euróövezeti országokra vonatkozik, amíg itthon nem vezetik be az eurót, a bankok haladékot kapnak. Az átállás nem olcsó és a költségeket a banknak kell állnia. Százezer bankkártyával számolva az átállás mintegy 90 millió forintjába kerülhet a banknak (egy chipes kártya négy euróba, nagyjából ezer forintba, míg egy mágnescsíkos ennek tizedébe kerül), és ez csak a kártyaköltség. Ehhez hozzájön az elfogadóhelyek átalakítása.

index.hu, 2010. február 12.

A bejegyzés trackback címe:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.