De pincode die wordt gebruikt om pinpassen en creditcards te beveiligen, kan eenvoudig worden onderschept. Ook Nederlandse pincodes van pinpassen zijn mogelijk kwetsbaar. “Het systeem moet op de schop”, aldus beveiligingsonderzoeker Andrea Barisani.
Hoewel Barisani enkel problemen heeft aangetroffen in de beveiliging van de pincodes op creditcards, zijn pinpassen met de in Nederland gebruikte Maestro-standaard ook kwetsbaar zodra ze worden gestoken in een pinapparaat dat zowel creditcards als pinpassen ondersteunt. Vaak is dat zo, omdat de chips op creditcards en pinpassen op dezelfde technologie leunen: EMV, wat staat voor Europay, MasterCard en Visa.
De pincode kan worden onderschept door een klein apparaatje in een pinapparaat te schuiven. Dat apparaat doet zich voor als een creditcard en voert een man in the middle-aanval uit op de transactie tussen de pinpas en het pinapparaat. “Ik heb Maestro-passen niet onderzocht, maar dat maakt niet uit”, aldus Barisani tegenover Tweakers. Het apparaatje dat in het pinapparaat is geschoven emuleert immers een creditcard; het pinapparaat ziet niet eens dat er in feite helemaal geen creditcard is ingevoerd.
De kwetsbaarheid bevindt zich in de ondersteuning van pinapparaten voor verouderde vormen van authenticatie van creditcards, waarbij de pincode onversleuteld wordt verstuurd naar het pinapparaat. Een aanvaller kan afdwingen dat die verouderde vorm van authenticatie wordt gebruikt. “Dit probleem wordt veroorzaakt door backwards compatibility”, aldus Barisani.
“Een probleem is dat de authenticatie van de kaart en de authenticatie van de pincode apart gebeuren”, zegt Barisani. De oplossing zou zijn om de authenticiteit van de kaart te verifiëren voordat de pincode wordt ingevoerd; iets wat nu niet gebeurt. Dat is echter in strijd met de officiële specificatie van het betaalsysteem. “De enige oplossing is om de specificatie te negeren”, aldus Barisani. “Of om het hele systeem op de schop te gooien.”
Nederlandse banken hebben maatregelen genomen om zich te wapenen tegen het beveiligingsprobleem, maar Barisani vermoedt dat het probleem nog steeds is te misbruiken. Omdat verouderde, buitenlandse creditcards namelijk nog steeds geaccepteerd moeten worden, zouden aanvallers zich daarom kunnen voordoen als een buitenlandse pinpas.
De kwetsbaarheid heeft enkel betrekking op het onderscheppen van de pincode; een aanvaller zou dan ook nog de pinpas zelf in handen moeten krijgen. “Maar het probleem is dat jij als klant aansprakelijk bent als je pinpas wordt gestolen en de dief je pincode gebruikt”, stelt Barisani. Banken gaan er volgens hem van uit dat klanten nalatig zijn als de pincode wordt gebruikt, omdat ze die dan bijvoorbeeld op een briefje in hun portemonnee hadden staan. “Wij willen aantonen dat dat niet zo hoeft te zijn, omdat de pincode kan worden onderschept.”
De conclusie dat ‘creditcards ook kunnen worden geskimd’, die NU.nl trekt, schuift Barisani terzijde. “Wij waarschuwen voor een zeer specifiek probleem”, zegt Barisani. “Zeggen dat creditcards niet veilig zijn, is niet eerlijk. Want dat is niet waar.”
De problemen waarvoor Barisani waarschuwt zijn niet nieuw: in 2011 waarschuwde Barisani’s collega Daniele Bianco al voor kwetsbare creditcards op de Hack in the Box-beveiligingsconferentie in Amsterdam. Wel heeft Barisani een nieuwe hack gevonden waardoor meer kaarten kwetsbaar zijn dan gedacht. Dat lijkt echter geen gevolgen te hebben voor Nederlandse pinpassen en creditcards.