Az arizonai ACM Conference on Computer and Communications Security konferencián a Newcastle University tudósai bemutatták kutatási eredményüket, amiből kiderült az új típusú, maximum 31 dolláros tranzakciókat egy mozdulattal lebonyolítani képes kártyák, komoly sérülékenységgel rendelkeznek.
Kiderült ugyanis, hogy a chipek limit-érzékelője nem működik a valuta tranzakciók esetén. Egy ügyesen beállított okostelefon segítségével így pusztán az is elég, ha hozzáérnek az emberhez és máris több százezer dollárt emelhetnek le a kártyáról valamilyen külföldi pénznemben. A tesztek során kiderült, a tranzakció kevesebb, mint egy másodpercet vesz igénybe.
„Jelen pillanatban a bankkártya-bűnözés legfőbb célpontja a mágnescsík” – mondta Aad van Moorsel professzor, a kutatás vezetője. „Ahogy a mágnescsík lassan kimegy a divatból, a bűnözők következő célpontja az érintésmentes fizetés lesz. Ha mi megtaláljuk a hibákat… ők is meg fogják. Ez a kutatásunk célja: megtalálni a lyukakat és betömni mielőtt a bűnözők kihasználhatnák őket” – tette hozzá a professzor.
Mivel az ilyen kártyák nem igénylenek terminál-azonosítást vagy PIN kódot, különösen veszélyeztetettek. Ráadásul a kártya mindig „be van kapcsolva” tehát a más eszközökkel történő véletlenszerű kommunikáció is lehetséges.
A kutatásban résztvevő Martin Emms szerint, az sem elképzelhetetlen, hogy a világ több pontján a bűnözők csak kisebb tranzakciókat hajtanak végre, amik egy központi kereskedő bankszámláján landolnak. Az eddig ismeretlen külföldi pénznemekkel kapcsolatos hiba, a POS terminál autentikáció hiányával karöltve a rendszert sérülékennyé teszi, akár nagyszabású támadásokkal szemben is.
Az EMV rendszert (Europay, MasterCard, Visa) használó, csak Chip-n-Pin néven emlegetett kártyákat 2015-ben kezdik kibocsájtani az amerikai bankok éppen azért, hogy megakadályozzák a nagyszabású hitelkártyacsalásokat, amikből a bűnözők hatalmas profitra tettek szert az elmúlt években.
Emms elismerte, hogy a tesztek során nem vizsgálták a rendszer hátterét ezért elképzelhető, hogy a bakoknak megvan a megfelelő biztonsági intézkedésük a csalások kiküszöbölésére. „Az elérhető dokumentációkból nem derült ki, hogy az általunk talált következetlenségekkel a bankok miképp veszik fel a harcot, ezért jelenleg úgy hisszük a sérülékenység potenciális veszélyt rejt.
