|
18.02.10: Britische Forscher der University of Cambridge haben einen Weg beschrieben, mit der sich das EMV-Verfahren bei EC- und Kreditkarten aushebeln lässt, sodass Karten scheinbar beliebige PINs akzeptieren. Die neuen Erkenntnisse könnten viele Betrugsfälle erklären, in denen gestohlene Karten für Einkäufe in Geschäften benutzt wurden, obwohl das EMV-Terminal die Eingabe einer PIN erfordert.
Das EMV-Verfahren (benannt nach Eurocard, Mastercard und Visa) soll die Karten vor dem illegalen Kopieren schützen und den bisher üblichen Magnetstreifen ersetzen. Das EMV-Verfahren bedient sich kryptografischer Methoden, mit der ein Kartenterminal die Echtheit einer Karte verifizieren und mit ihr kommunizieren kann. Allerdings gibt es offensichtlich einige Schwachpunkte sowohl in der Spezifikation als auch in der Implementierung, was die Authentifizierung bestimmter, zwischen Karte und Terminal ausgetauschter Nachrichten angeht.
Dem Bericht zufolge ist es möglich, durch eine Man-in-the-Middle-Attacke dem Terminal vorzugaukeln, die Karte hätte eine eingegebene PIN akzeptiert, während man der Karten vortäuscht, das Terminal hätte auf die Legitimation mit Unterschrift zurückgeschaltet. Im Folgenden wird der Bezahlvorgang dann aber normal autorisiert und das Terminal druckt einen Beleg aus, auf dem "Verified with PIN" steht.
Mehr ... |
