Uit onderzoek uitgevoerd door IEEE Security & Privacy in 2016 is gebleken dat het heel makkelijk is voor cybercriminelen om de VISA-creditcard gegevens van een persoon te verkrijgen en hier online aankopen mee te doen. Het kostte de onderzoekers slechts 4 seconden om een product te kopen en slechts 27 minuten om contant geld te verkrijgen via de kaart. Banken hebben hierdoor zeer weinig tijd om te reageren op deze transactie en deze terug te draaien. Hoe kan deze vorm van fraude dan tegen worden gegaan?
Het onderzoek toont aan dat de staat van het algemene systeem voor kaartbetalingen wellicht niet goed beveiligd is, hoewel miljoenen mensen het gebruiken. Dit blog gaat in op hoe een aanval wordt uitgevoerd en wat er kan worden gedaan om risico’s te verminderen.
Hoe werkt een aanval?
We starten met twee veronderstellingen: zodra één stuk informatie lekt dan heeft dit tot gevolg dat alle informatie over een betaling zal lekken en zolang er genoeg verzoeken worden uitgevoerd dan zullen de meeste systemen op een gegeven moment instorten.
Een online creditcard betaalsysteem maakt gebruik van vier vormen van validatie. Het creditcardnummer (ook wel PAN genoemd), de vervaldatum van de kaart, het CVV2 verificatienummer en het adres van de kaarthouder. Bij transacties wordt minimaal het PAN en de vervaldatum gevraagd. De vervaldatum en de CVV2 nummers hebben een klein bereik in waarden als er wordt aangenomen dat creditcards worden uitgegeven met een maximale gebruikersspan van niet meer dan 5 jaar, oftewel 60 verschillende maand/jaar vervaldata. Het CVV2 nummer heeft 1000 verschillende mogelijke waarden.
Sommige websites die producten verkopen gebruiken alleen het PAN en de vervaldatum als verificatie. De vervaldatum (expiration date) kan al in 60 pogingen worden verkregen door cybercriminelen. Vervolgens kunnen we websites die PAN + vervaldatum + CVV2 gebruiken om het CVV2 nummer te verkrijgen in maximaal 1000 pogingen. Met de vervaldatum en het CVV2 nummer en wat onderzoek m.b.t. waar de kaart is uitgegeven en gebruikt, kunnen we de adrescode verkrijgen. Om de vervaldatum en het CVV2 nummer te verkrijgen dient een cybercrimineel 60.000 mogelijke combinaties te doorlopen. Toch kan deze persoon de kaart veel makkelijker kraken door elk van deze verificatiemethoden apart te proberen, waardoor er nog maar 1060 combinaties mogelijk zijn. Door elke verificatiemethode apart te kraken wordt het dus makkelijker om uiteindelijk bij de volledige informatie van de kaart te komen.
Een cybercrimineel heeft alleen een methode nodig om zoveel mogelijk verzoeken uit te sturen op verschillende websites, zodat alle combinaties geprobeerd worden om uiteindelijk tot de juiste combinatie te komen om de kaart te kraken. Door veel verschillende verkoopwebsites te gebruiken en op elk van deze websites combinaties in te vullen zal het makkelijk zijn om de kaart snel te kraken. De persoon die een kaart wil kraken begint met een website die maar twee verificatiemethoden gebruikt. Wanneer hij de combinatie heeft gevonden die werkt dan kan deze persoon met de informatie naar een andere website die drie verificatiemethoden gebruikt. Uiteindelijk heeft de persoon door verschillende websites te gebruiken de combinatie van vier verificatiemethoden gekraakt.
Alarmbellen
Verschillende experimenten hebben laten zien dat het mogelijk is om veelvuldige kraakpogingen te doen op verschillende websites zonder dat de alarmbellen van het betalingssysteem luiden. Met een systeem dat de codes probeert te kraken door het gebruiken van slechts 30 websites werd een creditcard al gekraakt in 4 seconden!
Op het darknet worden ook creditcardgegevens verkocht, soms al met drie verificatiemethoden. Een cybercrimineel hoeft alleen nog maar de laatste methode te kraken en heeft dan al toegang tot de kaart.
De onderzoekers hebben aan een aantal Amerikaanse websites gemeld dat zij deze vorm van fraude makkelijk uit konden voeren, maar veel van deze websites hebben geen aanpassingen gemaakt in hun betalingssysteem. Hierdoor blijven criminelen vrij spel houden.
Waarom worden betalingssystemen niet verbeterd?
Vooraf zijn er twee redenen te herkennen om betalingssystemen niet te verbeteren. De eerste is dat het niet in de interesse is van verkopers om de beveiliging te verbeteren en de tweede is dat de verscherping van systemen door één verkoper niet genoeg is om het probleem op te lossen.
Verkopers zouden ervoor kunnen kiezen om geen gebruik meer te maken van het Visa systeem, omdat het MasterCard systeem gebruik maakt van gecentraliseerde processen die aanvallen voorkomen. Toch gaat een verkoper die geen gebruik maakt van Visa een hoop klanten verliezen.
Het implementeren van sterkere beveiligingssystemen heeft dezelfde consequenties, maar minder groot. Een extra manier van beveiliging, zoals 3D Secure kan worden geïmplementeerd. Uit onderzoek is echter gebleken dat 43% van de Amerikaanse consumenten de transactie annuleren wanneer ze nogmaals een verificatiemethode moeten doorlopen. Dit resulteert vervolgens ook in verlies van klandizie voor de verkoper.
Als slechts één verkoper 3D Secure implementeert dan is het systeem nog steeds niet goed genoeg, omdat andere verkopers dit nog niet hebben gedaan. Eigenlijk heeft de verkoper die zichzelf wel goed beveiligd hier een nadeel, omdat klanten naar anderen gaan die minder verificatie vereisen.
Een andere methode is om gateways voor betalingen te gebruiken om cybercriminelen te herkennen. Toch zal het probleem dan blijven bestaan, omdat er altijd genoeg gateways overblijven om de beveiligde gateways te omzeilen en alsnog aan informatie van de creditcard te komen.
Voorkomen van fraude
Om fraude in de toekomst te kunnen voorkomen dient er standaardisatie of centralisatie van betalingssystemen plaats te vinden, zodat we fraude kunnen herkennen- en oplossen. Met standaardisatie wordt bedoeld dat alle verkopers eenzelfde betalingssysteem hanteren met hetzelfde aantal verificatiemethoden. Centralisatie kan worden uitgevoerd door middel van gateways of betalingsnetwerken die het hele systeem overzien. Toch zullen deze systemen nooit de flexibiliteit van het internet behouden en zorgen voor extra stappen. Het is van belang dat belanghebbenden samen nadenken over de toekomst van transacties, zodat iedere betrokkene op de juiste manier beveiligd wordt.
