Betaalautomaten kwetsbaar voor hackers

Sommige veelgebruikte betaalautomaten zijn kwetsbaar voor hackers die uit zijn op het stelen van pincodes en creditcardnummers. Dat beweren Europese onderzoekers.

Twee medewerkers van MWR InfoSecurity, een Brits bedrijf dat voor klanten penetratietests uitvoert, onthulden het beveiligingslek in betaalterminals deze week op de Black Hat-conferentie in Las Vegas. Kwaadwillenden zouden de kwetsbaarheid kunnen misbruiken om winkeliers wijs te maken dat een betaling door de bank of creditcardmaatschappij online is gefiatteerd, terwijl dat niet waar is. Op die manier kunnen ze gratis winkelen.

Onderzoekers willen nog geen merken en typen noemen

De onderzoekers, Rafael Dominguez Vega uit Spanje en een Duitse onderzoeker met het alias ‘Nils’, weigeren te zeggen om welke typen betaalautomaat het precies gaat. Ze willen de fabrikanten van de apparatuur eerst de tijd gunnen om de zaak dicht te timmeren, zeggen ze. Een van de leveranciers heeft al een patch ontwikkeld, maar het zal enige tijd duren om die overal toe te passen.

Het zou om 3 modellen gaan, waarvan er 2 vooral worden gebruikt in het Verenigd Koninkrijk en het 3e model wijdverbreid is in de Verenigde Staten.

Malware wordt met gemanipuleerd pasje ingevoerd

Bij de 2 ‘Britse’ betaalautomaten zijn de applicaties die het betalingsproces afhandelen niet goed beveiligd. Daardoor kunnen kwaadwillenden toegang krijgen tot diverse onderdelen van de terminal, waaronder de kaartlezer, het ‘pinpad’ (numerieke toetsenbord), het beeldschermpje en de printer die de transactiebonnetjes afdrukt.

Het misbruik vindt plaats door middel van gemanipuleerde pasjes die voldoen aan de standaard van Eurocard, Mastercard en Visa (EMV). De chip op deze kaartjes bevat kwaadaardige software die direct na het insteken in de terminal wordt geladen en uitgevoerd.

Demonstraties met racespelletje en paard van Troje

Voor demonstratiedoeleinden hadden de onderzoekers op hun smartcard een simpel racespelletje gezet dat ze na het insteken van de kaart op de betaalterminal konden spelen met behulp van het display en pinpad.

Op een ander apparaat installeerden ze op dezelfde manier een ‘paard van Troje’ dat kaartnummers en pincodes kon uitlezen. Met een 2e pasje werden deze gegevens weer uit de automaat opgevist.

Pseudobetalingen zijn volgens de onderzoekers mogelijk door transacties achter de schermen te blokkeren, maar toch een kassabon te printen zodat de winkelier denkt dat de betaling is afgerond.

Communicatie van veelgebruikte terminal in VS niet versleuteld

De in de VS veelgebruikte betaalautomaat is geavanceerder. Hij heeft een aanraakscherm, USB- en Ethernetaansluitingen en is geschikt voor contactloze smartcards. De communicatie met de server is echter niet versleuteld. Hackers die toegang weten te krijgen tot het lokale netwerk kunnen daardoor de betaalautomaat zo gek krijgen om met een nepserver data uit te wisselen.

Tijdens een demonstratie in Las Vegas slaagden de onderzoekers erin een Telnet-sessie op te zetten met de terminal, die onder Linux draait, en in te loggen als beheerder. Op die manier konden ze de betaalautomaat volledig naar hun hand zetten.

Bron: Automatiseringsgids

2017-05-26T13:32:30+00:00