A Cambridge Egyetem kutatói úgynevezett man-id-the-middle támadást szimuláltak egy üzlet online pos-terminálja ellen egy “lopott” chipes bankkártya segítségével annak bizonyítására, hogy hiba van az EMV-protokollban. Ezt kihasználva, a kártya azt "gondolja", elég a chip és az aláírás, miközben ugyanennél a tranzakciónál a terminál az hiszi, hogy chip és PIN azonosítást kapott.

A támadó hátizsákba rejtett, speciális, de viszonylag egyszerűen elkészíthető felszerelést használt; a kellékek között megtalálható volt egy hamis chipkártya, egy különleges elektronikus áramkör, egy noteszgép és egy második kártyaolvasó. A lopott kártyát a bolt online termináljába helyezték, a rejtett kártyaolvasó pedig olyan jeleket küldött a terminálnak, hogy a megadott hamis pin-kód a jó kód. A bolti terminál pedig jóváhagyta a hamis offline tranzakciót.

Az ilyen típusú támadás áldozatainak igen nehéz dolguk van, ha vissza akarják kapni a banktól az ellopott pénzüket. Az az üzenet ugyanis, hogy “PIN-nel azonosítva” azt jelenti, hogy a helyes kódot adták meg a tranzakció során. A bank pedig azzal érvel, hogy a támadók a kártyabirtokos hanyagságából jutottak a PIN-hez.

Az esetet kommentáló NCR megjegyzi: a készpénzkiadó automaták ellen hatástalanok az ilyen támadások, mivel az ATM-ek folyamatosan online kapcsolatban állnak a központi rendszerrel, a titkosított PIN-t minden esetben ide továbbítják azonosításra. A PIN-t továbbá sohasem küldik vissza a kártyára hitelesítés végett. A csalási módszer ugyancsak ne alkalmazható internetes és mobiltelefonos vásárlások esetében sem, mivel a vásárló nem a PIN-nel hitelesíti a tranzakciókat. (NCR)

2010. 02. 19.