15 april 2009
Er blijken verschillende manieren te zijn om de gegevens te stelen. Normaal gesproken wordt een ingetoetste pincode versleuteld en vervolgens via verschillende zogenaamd hardware security modules (HSMs) verstuurd naar de centrale computer van de bank van de klant. Telkens als de gegevens bij een HSM aankomen, worden deze gedecodeerd en opnieuw versleuteld voor de volgende sectie van de trip. Nu zijn hackers erin geslaagd om verschillende soorten HSMs te foppen om de codes te decoderen, waarna ze gestolen kunnen worden. Een andere manier om deze gegevens te stelen, is te wachten tot de code bij de mainframe van de bank aankomt. Bij veel banken is het zo dat de gegevens zich dan heel even ongecodeerd op de server bevinden terwijl het in afwachting is van goedkeuring van een transactie. Verschillende hackersgroepen is het gelukt om op dit moment de gegevens buit te maken. Dergelijke methodes waren al langer bekend bij beveiligingsexperts, maar het is pas recentelijk dat ze ook in de praktijk in de Verenigde Staten zijn uitgevoerd. Over de dreiging van dergelijke aanvallen in Europa is nog weinig bekend.
Dit vanwege het feit dat verschillende banken verschillende manieren van encryptie gebruiken. Betalen met een pinpas zou onveilig zijn, maar volgens betalingsbedrijf Currence zijn de problemen in Nederland al verholpen. Bij een inbraak bij een Amerikaanse retailketen werden naar schatting veertig miljoen creditcard- en bankpasgegevens gestolen; naar nu blijkt zijn de criminelen erin geslaagd om de bijbehorende pincodes te ontcijferen. Als er eenmaal een kleine hoeveelheid pincodes is ontcijferd, kan volgens Verizon elke volgende pincode ook worden gekraakt. Volgens Verizon-onderzoeker Bryan Sartin wordt er te veel op virusscanners vertrouwd en worden onbekende bestanden op de server nauwelijks opgemerkt. Zeker een derde van alle pin-diefstallen zou op deze manier worden uitgevoerd. Thales-eSecurity, een belangrijke fabrikant van HSM-modules, zegt dat het niet op de hoogte is van de door Verizon geschetste aanvalsmethoden, maar claimt ook dat zijn hardware bij aanschaf veilig is. De fabrikant geeft wel toe dat zijn klanten de modules kwetsbaar voor aanvallen kunnen maken. Om de beveiligingsgaten in het betalingssysteem van de banken te kunnen dichten, moet volgens Verizon een geheel nieuw systeem voor bancaire transacties worden ontwikkeld. Backwards compatibility zou daarbij uit den boze zijn. In de VS heeft de PCI Security Standards Council, die beveiligingsprotocollen voor de bankwereld maakt, aangegeven dat het de modules opnieuw gaat controleren. Volgens Currence, de eigenaar van het pin-betalinggssysteem in Nederland, is het probleem al langer bekend. 'Wij hoorden twee jaar geleden voor het eerst over deze zwakheden', zegt woordvoerder Bob Goulooze. 'Die hebben we toen meteen aangepast, waardoor deze zwakheden in Nederland niet meer misbruikt kunnen worden'.