Nederlandse banken hebben in 2012 maatregelen genomen om de veiligheid van het nieuwe pinnen te waarborgen. Dat meldt Betaalvereniging Nederland in reactie op berichten van verschillende media eerder deze week dat het nieuwe pinnen met de EMV chip niet veilig zou zijn. De media baseren hun oordeel op onderzoek van de Cambridge universiteit.
Onderzoek van Cambridge universiteit
De publicatie “Chip and Skim: cloning EMV Cards with the pre-play attack” is een aanvulling op eerdere onderzoeken uit 2012 van de Cambridge universiteit. De onderzoekers beschrijven dat pintransacties kwetsbaar zijn voor manipulatie middels een man-in-the-middle (MITM) aanval op het verkeer tussen terminal en bank. Dit kan omdat het EMV-protocol, ontworpen om pinfraude uit te bannen, geen end-to-end authenticatie kent. De universiteit beschrijft een complexe aanval waarbij kaartgegevens verzameld worden om later te misbruiken. De aanval die de Universiteit van Cambridge beschrijft, berust op het kunnen voorspellen van een willekeurig getal dat de betaal- of geldautomaat genereert.
Betaalvereniging Nederland: Pinnen in Nederland is wel veilig
Volgens Betaalvereiniging Nederland wordt op basis van dit onderzoek onterecht de conclusie getrokken dat het nieuwe pinnen onveilig zou zijn. Nederlandse banken hebben al in 2012 maatregelen genomen tegen deze aanval.
Naar aanleiding van de eerdere publicatie hebben Nederlandse banken in 2012 een inventarisatie gemaakt om betaal- en geldautomaten te vinden die gebruik maken van een zwakke ‘random number generator’. Uit de analyse in 2012 blijkt dat Nederlandse betaal- en geldautomaten geen gebruik maken van een zwakke ‘random number generator’. Als het willekeurige getal niet kan worden voorspeld (en dus daadwerkelijk willekeurig is) kan de aanval niet worden uitgevoerd. De willekeurige getallen die door Nederlandse automaten worden gegenereerd, zijn niet voorspelbaar en daardoor heeft dit in Nederland geen kans van slagen.
De Universiteit toont ook aan dat de aanval in de praktijk eenvoudiger is uit te voeren als de software van de betaal- of geldautomaat of de berichten in het netwerk kunnen worden gemanipuleerd. Voor de onderbouwing van hun theorie verwijzen zij naar in de praktijk gemanipuleerde terminals. Het betreft hier incidenten uit onder andere het Verenigd Koninkrijk. De Nederlandse betaalvereniging laat weten dat in Nederland ook hiertegen, na de publicatie in 2012, aanvullende maatregelen zijn genomen.
In Nederland kunnen beide onderdelen van de aanval niet voorkomen, aldus Betaalvereniging Nederland. "Het pinnen in Nederland is onverminderd veilig".