{"id":23842,"date":"2019-02-21T19:02:07","date_gmt":"2019-02-21T17:02:07","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=23842"},"modified":"2022-05-05T14:04:54","modified_gmt":"2022-05-05T12:04:54","slug":"chip-n-pin-cloning","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/chip-n-pin-cloning\/23842\/","title":{"rendered":"Groepering uit Brazili\u00eb kloont chip- en pinpassen"},"content":{"rendered":"

De Verenigde Staten hebben laatst een verschuiving ondergaan van het gebruik van onveilige magneetstrippen in creditcards en bankpassen naar beter beschermde chip- en pinpassen, gereguleerd door de EMV-standaard. Dat is een grote stap in de goede richting wat betreft het verhogen van transactieveiligheid en de vermindering van kaartfraude, en men zou kunnen denken dat het einde in zicht is voor kaartfraude op basis van klonen.<\/p>\n

Onze onderzoekers hebben laatst een groep cybercriminelen ontdekt afkomstig uit Brazili\u00eb die een manier heeft ontwikkeld om bankpasdata te stelen en chip- en pinpassen succesvol te klonen<\/a>. Onze deskundigen presenteren hun resultaten op het Security Analyst Summit 2018<\/a>, en door middel van deze korte post proberen we dat complexe werk uit te leggen.<\/p>\n

\"\"<\/p>\n

Pinautomaten plunderen, en meer<\/h3>\n

Tijdens het onderzoek van malware voor het plunderen van pinautomaten door de Braziliaanse groep Prilex, hebben zij een gemodificeerde versie van deze malware ontdekt met enkele extra functies die gebruikt werden bij het infecteren van point-of-service (POS) terminals en bankpasdata te verzamelen.<\/p>\n

Deze malware was in staat POS-software te modificeren om derde partijen de mogelijk te bieden data te onderscheppen die een POS naar een bank stuurt. Op die manier verkregen de misdadigers hun bankpasdata. In feite betekent dit dat wanneer je in een winkel betaalt waarvan de POS-terminal ge\u00efnfecteerd is, dat jouw bankpasdata rechtstreeks naar de criminelen gestuurd wordt.<\/p>\n

Het hebben van de kaartgegevens is echter het halve werk; om geld te stelen, moeten ze ook in staat zijn de kaarten te kunnen klonen, een ingewikkelder proces, door de chips en de verschillende authenticaties.<\/p>\n

De Prilexgroep heeft een complete infrastructuur ontwikkeld die zijn \u201cklanten\u201d de mogelijkheid biedt passen te klonen, iets wat in theorie niet mogelijk zou moeten zijn.<\/p>\n

Om te zien waarom het mogelijk is, is het goed om eerst een kijkje te nemen naar de werking van EMV-passen<\/a>. Wat betreft het klonen, zullen we het zo makkelijk mogelijk proberen te maken.<\/p>\n

De werking van chip-en-pin<\/h3>\n

De chip op de pas is niet alleen flashgeheugen, maar een kleine computer in staat om applicaties te draaien. Als de chip in een POS-terminal wordt ingevoerd, dan wordt een aantal stappen in gang gezet.<\/p>\n

De eerste stap heet initialisatie<\/em>: De terminal ontvangt basisinformatie, zoals de naam van de pashouder, vervaldatum, en de lijst van applicaties die de pas kan \u201dafspelen.\u201d<\/p>\n

De tweede stap is optioneel en heet data-authenticatie. Hier wordt gecontroleerd of de pas authentiek is door middel van een validatieproces met cryptografische algoritmen. Het is ingewikkelder dan hier besproken kan worden.<\/p>\n

De derde stap, ook optioneel, is verificatie van de pashouder<\/em>; deze moet ofwel een pincode geven of een handtekening zetten (afhankelijk van hoe de kaart is geprogrammeerd). Deze stap is nodig om te verifi\u00ebren dat de persoon die betaalt dezelfde is als de pashouder.<\/p>\n

Bij de vierde stap vindt de transactie<\/em> plaats. Let op dat alleen stap 1 en 4 verplicht zijn. In andere woorden kan authenticatie en verificatie overgeslagen worden \u2013 en daar komen de Braziliaanse cybercriminelen om de hoek kijken.<\/p>\n

Onbeperkt pasgebruik<\/h3>\n

We hebben dus een pas die in staat is om apps te draaien en tijdens de eerste kennismaking vraagt de POS de kaart om informatie over de beschikbare apps. Het aantal stappen en de moeilijkheidsgraad van de transactie is afhankelijk van deze apps.<\/p>\n

De pas-kloners hebben een Java-applicatie ontworpen die gedraaid kan worden op kaarten. De applicatie heeft twee functies: ten eerste vertelt het de POS-terminal dat er geen data-authenticatie nodig is. Er zijn dus geen cryptografische handelingen, waardoor de haast-onmogelijke taak van het verkrijgen van de cryptografische priv\u00e9-keys, wordt overgeslagen.<\/p>\n

Maar dan is er altijd nog de pin-authenticatie. Er is in de EMV een optie om te kiezen welke entiteit controleert of de pincode correct is\u2026 jouw pas. Om exact te zijn, een app op jouw pas.<\/p>\n

Je leest het goed: De cybercriminelen kunnen doorgeven dat een pin juist is, ongeacht welke pin er is ingevoerd. Dat betekent dat de crimineel die de kaart heeft, simpelweg vier willekeurige nummers kan invoeren en deze zullen altijd geaccepteerd worden.<\/p>\n

Kaartfraude als service<\/h3>\n

De infrastructuur die Prilex heeft gecre\u00eberd bevat de bovengenoemde Java-applet, een klant-applicatie die \u201cDaphne\u201d heet, waarmee de informatie op smartcards wordt geschreven (smartcard-reader\/writer apparaten en blanco smartcards zijn goedkoop en legaal te kopen). Dezelfde app wordt gebruikt om te achterhalen hoeveel geld er van de kaart kan worden afgeschreven.<\/p>\n

De infrastructuur bevat ook de database met pasnummers en andere data. Of het om een debit- of creditcard gaat, maakt niet uit; \u201cDaphne\u201d kan beide klonen. De dieven verkopen het als \u00e9\u00e9n geheel, meestal aan andere criminelen in Brazili\u00eb, die vervolgend de kaarten klonen en gebruiken.<\/p>\n

Conclusie<\/h3>\n

Volgens het rapportage Aite\u2019s 2016 Global Consumer Card Fraud report<\/a>, kan aangenomen worden dat alle gebruikers geraakt zijn. Of je nu een magneetstipkaart gebruikt of een veiligere chip-en-pinpas gebruikt, maakt niet uit \u2013 als je een pas hebt, dan zijn je data waarschijnlijk gestolen.<\/p>\n

Ondertussen hebben de criminelen een methode ontwikkeld om de kaarten te klonen, wat erg begint te lijken op een serieuze financi\u00eble dreiging. Wil je voorkomen dat je significante hoeveelheden geld kwijtraakt door pasfraude, dan raden we je aan het volgende te doen:<\/p>\n