dinsdag 27 mei 2014

'Het nieuwe pinnen is veilig'

Pinnen in Nederland is onverminderd veilig. In onderstaand bericht van Betaalvereniging Nederland wordt beschreven hoe banken in Nederland zich hebben gewapend tegen de aanvallen waarover media berichtten.

De Nederlandse banken zijn bekend met de publicatie van Cambridge universiteit. De publicatie “Chip and Skim: cloning EMV Cards with the pre-play attack” is een aanvulling op eerdere onderzoeken uit 2012. De Cambridge universiteit beschrijft een complexe aanval waarbij kaartgegevens verzameld worden om later te misbruiken. In de media wordt onterecht gesuggereerd dat het nieuwe pinnen daardoor onveilig zou zijn. Nederlandse banken hebben al in 2012 maatregelen genomen tegen deze aanval.

De aanval die de Universiteit van Cambridge beschrijft, berust enerzijds op het kunnen voorspellen van een willekeurig getal dat de betaal- of geldautomaat genereert. Als het willekeurige getal niet kan worden voorspeld (en dus daadwerkelijk willekeurig is) kan de aanval niet worden uitgevoerd. De willekeurige getallen die door Nederlandse automaten worden gegenereerd, zijn niet voorspelbaar en daardoor heeft dit in Nederland geen kans van slagen.
 
Naar aanleiding van de eerdere publicatie hebben Nederlandse banken al in 2012 een inventarisatie gemaakt om betaal- en geldautomaten te vinden die gebruik maken van een zwakke ‘random number generator’. Uit de analyse in 2012 blijkt dat Nederlandse betaal- en geldautomaten geen gebruik maken van een zwakke ‘random number generator’.

De Universiteit toont nu aan dat de aanval in de praktijk eenvoudiger is uit te voeren als de software van de betaal- of geldautomaat of de berichten in het netwerk kunnen worden gemanipuleerd. Voor de onderbouwing van hun theorie verwijzen zij naar in de praktijk gemanipuleerde terminals. Het betreft hier incidenten uit onder andere het Verenigd Koninkrijk. In Nederland zijn ook hiertegen, na de publicatie in 2012, aanvullende maatregelen genomen.

In Nederland kunnen beide onderdelen van de aanval niet voorkomen. Het pinnen in Nederland is onverminderd veilig. Banken adviseren klanten altijd regelmatig afschriften te controleren en als een kaarthouder een afschrijving niet herkent contact op te nemen met de bank.

Geen opmerkingen:

Een reactie posten

Opmerking: Alleen leden van deze blog kunnen een reactie posten.