Banker

Forskare: Lita inte på bankerna vid kortbedrägeri

Forskare har återigen visat att säkerheten för bankkort med chip inte är tillräcklig. Deras budskap är att banker bör ge full ersättning vid okända transaktioner och att bankerna måste ta på sig bevisbördan om de vägrar.
21 maj 2014 15:50

Det är standarden för bankkort med chip, EMV, som är i fokus i en rapport från säkerhetsforskare vid universitetet i Cambridge.

”Om
och om igen har kunder klagat på kortbedrägerier och fått höra av
bankerna att EMV är säkert och att de måste ha tagit fel eller att de
ljuger när de bestrider korttransaktioner. Men om och om igen har det
visat sig att bankerna har haft fel.”


skriver forskarna när de sammanfattar sina slutsatser i rapporten som
kallas ”Chip and Skim: cloning EMV cards with the pre-play attack”.

EMV-standarden och chip-korten
kom till för att det blev allt vanligare att brottslingar klonade
bankkort med magnetremsa och genomförde falska transaktioner. Enligt
forskarna vidhåller bankerna att chip-korten däremot inte kan klonas och
att systemet inte kan missbrukas, men forskarna håller inte med.

Deras slutsats är enkel när det gäller tvister mellan kunderna och deras banker:

”Framförallt måste bevisbördan ligga hos bankerna, inte hos kunderna”, skriver de.

Redan 2010 visade forskarkollegor vid Cambridge universitet hur man kan lura en kortterminal att tro att korrekt pinkod slagits in,
oavsett vilken kod som matas in på terminalen. Då måste man dock ha
tillgång till betalkortet vid tillfället för transaktionen.

Den
här gången visar forskarna att det är möjligt att samla data ur ett
betalkort och att genomföra en falsk transaktion vid ett senare
tillfälle på en annan plats, utan kortet. De påpekar att detta i
praktiken motsvarar en kloning av kortet.

För att förstå hur bedrägeriet kan genomföras måste man veta hur en transaktion med chip-kort går till.

1. Kortterminalen skickar transaktionsdata – belopp, datum med mera – samt ett slumptal till kortet.

2.
Med en hemlig nyckel beräknar kortet en krypterad förfrågan till
banken, baserad på transaktionsdata, slumptalet och en räknare i kortet
som stegas upp för varje transaktion.

3. Terminalen skickar den krypterade förfrågan, tillsammans med transaktionsdata och slumptalet, till banken.

4.
Banken kontrollerar att förfrågan är giltig och att den är baserad på
transaktionsdata och slumptalet som terminalen skickade, och på
räkneverkets läge i kortet.

5. Terminalen får ok av banken att utföra transaktionen, via ett krypterat svar och en särskild svarskod.

Det forskarna har upptäckt
är att slumptalen som används i många terminaler inte är särskilt
slumpmässiga utan tvärtom ofta kan förutsägas. Det betyder att man kan
mata kortet med en serie förväntade slumptal och transaktionsdata, och
mjölka ur en serie giltiga krypterade förfrågningar.

Forskarna
förklarar sedan hur man kan attackera en bankomat. Man väntar på ett
känt slumptal från bankomaten och genomför då transaktionen genom att
förse bankomaten med den krypterade förfrågan som mjölkats ur kortet.

Svagheten
med slumptalen är möjlig att åtgärda, men trots att forskarna påtalade
den för kortbranschen redan 2012 har mycket lite hänt.

Utöver de förutsägbara slumptalen
har forskarna dock identifierat en svaghet i själva standarden som är
svårare att åtgärda: I kommunikationen görs ingen kontroll av att
slumptalet verkligen kommer från bankomaten eller kortterminalen.

Det
betyder att man kan göra en så kallad man-in-the-middle-attack, och
byta ut slumptalet. I så fall mjölkar man först ut en krypterad
förfrågan ur kortet som tidigare. Därefter matar man bankomaten med ett
falskt kort, tar emot slumptalet, förkastar det och skickar tillbaka den
urmjölkade krypterade förfrågan, baserad på ett annat slumptal, till
bankomaten.

När bankomaten
sedan skickar sin förfrågan till banken kliver man in i kommunikationen
och byter ut bankomatens slumptal mot sitt eget. Banken kommer då att ta
emot en helt giltig förfrågan som inte kan skiljas från en äkta
förfrågan med det riktiga kortet inmatat i terminalen.

Båda knepen kräver i praktiken en hel del tekniska trick, men forskarna visar att de går att genomföra.

”Bankerna
verkar ignorera det här problemet, kanske med resonemanget att det är
svårt att skala upp en attack som innebär tillgång till specifika
fysiska kort och även installation av skadlig kod eller avlyssning av
specifika terminaler. Vi håller inte med”, skriver de.

Och de avslutar sin rapport:

”Det
är dags för regleringsmyndigheter att intressera sig för detta. Vi
välkomnar att US Federal Reserve nu uppmärksammar problemet, och det är
hög tid att europeiska myndigheter följer efter”.

 

 

Banker
Dela:

Kommentera artikeln

I samarbete med Ifrågasätt Media Sverige AB (”Ifrågasätt”) erbjuder Afv möjlighet för läsare att kommentera artiklar. Det är alltså Ifrågasätt som driver och ansvarar för kommentarsfunktionen. Afv granskar inte kommentarerna i förväg och kommentarerna omfattas inte av Affärsvärldens utgivaransvar. Ifrågasätts användarvillkor gäller.

Grundreglerna är:

  • Håll dig till ämnet
  • Håll en respektfull god ton

Såväl Ifrågasätt som Afv har rätt att radera kommentarer som inte uppfyller villkoren.

Relaterade artiklar

OBS: Ursprungsversionen av denna artikel publicerades på en äldre version av www.affarsvarlden.se. I april 2020 migrerades denna och tusentals andra artiklar över till Affärsvärldens nya sajt från en äldre sajt. I vissa fall har inte alla delar av vissa artiklar följt på med ett korrekt sätt. Det kan gälla viss formatering, tabeller eller rutor med tilläggsinfo. Om du märker att artikeln verkar sakna information får du gärna mejla till webbredaktion@affarsvarlden.se.
Annons från Invesco
Annons från Trapets