Δύο Γερμανοί εμπειρογνώμονες ασφαλείας ανακάλυψαν μια σειρά από σοβαρές ελλείψεις στα συστήματα πληρωμής με πιστωτική κάρτα τα oποία θέτουν σε κίνδυνο τους χρήστες. Ο Nohl εξήγησε ότι ο εισβολέας θα μπορούσε να εξαπατήσει τα θύματα χρεώνοντας τα για επιστροφές που δεν πραγματοποιήθηκαν ποτέ προκειμένου να ενεργοποιήσει την ευπάθεια. Επίσης η ευπάθεια θα μπορούσε να χρησιμοποιηθεί για να κλωνοποιήσει την πιστωτική κάρτα. Ο Karsten Nohl και ο Fabian Braunlein βρήκαν μια νέα ευπάθεια στα τερματικά πληρωμών που θα μπορούσε να αξιοποιηθεί από hackers για να κλέψουν χρήματα.
Σε αντίθεση με προηγούμενες επιθέσεις, αυτή τη φορά οι hackers στοχεύουν στο πρωτόκολλο βάζοντας σε κίνδυνο δισεκατομμύρια χρήστες. “Οι προηγούμενες επιθέσεις εκμεταλλεύονταν σφάλματα του λογισμικού όπως αυτά που μπορείς να έχεις στον υπολογιστή σου. Αυτά που μπορούν να διορθωθούν με μια ενημέρωση λογισμικού.” Οι δύο ειδικοί ανακάλυψαν μια σειρά ευπαθειών στα τερματικά πληρωμών στην Ευρώπη που μπορούν να επιτρέψουν στους hackers να κλέψουν τον κωδικό PIN των θυμάτων και τη μαγνητική ταινία από την πιστωτική κάρτα τους. Δοκίμασαν τα τερματικά πληρωμών από πέντε διαφορετικούς επεξεργαστές πληρωμών που παρέχουν τερματικά στους εμπόρους.
Τα συστήματα που δοκιμάστηκαν χρησιμοποιούν δύο διαφορετικά δίκτυα τα οποία χρησιμοποιούν και τα δύο το ίδιο back-end λογισμικό. “Αυτό είναι το μόνο λογισμικό που χρησιμοποιείται στη Γερμανία οπότε οποιοσδήποτε μπορεί να επηρεαστεί” είπε ο Nohl. Οι ευπάθειες μπορούν να αξιοποιηθούν ώστε να αναγκάσουν οποιοδήποτε τερματικό να στείλει χρήματα σε οποιοδήποτε τραπεζικό λογαριασμό στη Γερμανία αλλά οι ειδικοί θεωρούν ότι το ελάττωμα θα μπορούσε να επηρεάσει τα συστήματα και σε άλλες ευρωπαϊκές χώρες. “Οι εταιρίες που είναι υπεύθυνες για αυτά τα θέματα ασφαλείας συμπεριλαμβανομένων των τραπεζών είναι ενήμερες αλλά απρόθυμες να κάνουν κάτι. Ισχυρίζονται ότι δεν έχει συμβεί κάποια απάτη ακόμα αλλά αυτό είναι θέμα χρόνου.” Ο Nohl εξήγησε ότι ο εισβολέας θα μπορούσε να εξαπατήσει τα θύματα χρεώνοντας τα για επιστροφές που δεν πραγματοποιήθηκαν ποτέ προκειμένου να ενεργοποιήσει την ευπάθεια.
Επίσης η ευπάθεια θα μπορούσε να χρησιμοποιηθεί για να κλωνοποιήσει την πιστωτική κάρτα. “Η ασφάλεια του αριθμού PIN δεν είναι τόσο υψηλή όσο θέλουν να πιστεύουν μερικοί, κάθε σύστημα που βασίζεται σε PIN είναι λιγότερο ασφαλές από παλιά.” Ο γερμανικός τραπεζικός οργανισμός Deutsche Kreditwirtschaft που ανέλυσε τα αποτελέσματα της έρευνας των δυο ειδικών ασφαλείας δήλωσε ότι το σύστημα είναι ασφαλές. Ο οργανισμός ισχυρίστηκε ότι οι επιθέσεις που αναφέρουν οι ειδικοί μπορούν να γίνουν μόνο κάτω από συγκεκριμένες περιστάσεις.