betaalkaartfraude
vg...@skynet.be
een 1/2 u gebruikt om, met gebruik van de pin-code volgens de bank,
geld af te halen aan 2 bankcontactterminals. De PIN-code bevond zich
pertinent NIET bij de kaart, wat de bank ook beweert. Blijft over de
mogelijkheid dat men nu ook al de code DIRECT KAN AFLEZEN uit de
magneetstrip en zo de kaart misbruiken. Waar gaat dat naar toe?
Wie heeft ook zo'n ervaring? Wie heeft meer info?
ING-bank verschuilt zich achter het gebruik van de code om niet te
moeten tussenkomen.
alex
Je moet je bericht geen 3 of 4x posten: eenmaal is genoeg.
De geheime code kan men niet van de kaart aflezen en mocht dit
ontleedbaar zijn, dan betwijfel ik dat dit binnen het half uur kan.
Zoals steeds krijgen we binnen deze NG onvolledige verhalen te lezen,
dus ik zal maar wat aanvullen. Een korte tijd eerder betaalde je op
een relatieve drukke plaats (bv. grootwarenhuis of C&A) met je kaart
en iemand keek mee naar de code die je intikte. Of: je haalde, ook
korte tijd ervoor, ergens geld af en helaas keek iemand of iets
(camera) mee.
Korte tijd nadien liep er iemand tegen je aan en verdween je
bankkaart.
Dergelijk verhaal is uit het dagelijks leven gegrepen, oa. bij mijn -
bejaarde - moeder die uiteindelijk zelfs van de roltrap geduwd werd.
De feiten speelden zich af in het shoppingscenter van de Groenplaats
(benedenverdieping, na winkelen in GB).
Voor ze wist wat er gebeurd was, hadden de vriendelijke jongeren al
merkkledij *gekocht* in een winkel achter de hoek en geld uit de
automaat gehaald.
De bank kan in dit geval niets verweten worden. Jij diende
onmiddellijk cardstop te verwittigen.
Alex
FIsc
Meestal gebeurt dit misbruik van belgische betaalkaarten in Frankrijk
waar je betalingen kan verrichten (met een belgische betaalkaart)
zonder dat je enige code dient in te geven.
Ik weet je locatie niet waar die diefstal gebeurde maar was vanaf die
locatie Frankrijk bereikbaar binnen het half uur?
alex
Noppes:
1. OP schrijft duidelijk "met gebruik van de pin-code volgens de bank"
2. elders startte hij of zij met dezelfde tekst een topic
"Bancontact / Maestro" en daarvoor heb je in Frankrijk wel een pincode
nodig.
3. Er werd geld afgehaald van (bancontact)terminals en daar heb je
overal ter wereld - zelfs in Frankrijk - een pincode voor nodig.
Ik geloof OP volledig dat de pincode niet ergens verborgen
opgeschreven stond maar ben wel overtuigd dat hij of zij net ervoor
een verrichting had uitgevoerd en dat "men" toen hem of haar
nauwlettend in het oog hield. Er zijn gespecialiseerde bendes die
dit doen: de eerste hangt rond een betaalterminal in een
grootwarenhuis en als die de code kent, dan knipoogt hij / zij naar de
compaan of companen, die toevallig even verder het slachtoffer
omverlopen of tegen zijn / haar jas smossen met een blikje drank.
Eens de portefeuille afhandig gemaakt is, wordt die onmiddellijk
doorgegeven aan een volgende bendelid.
Zo "werkt" helaas het systeem.
Alex
FIsc
Om op een deel van je verhaal te reageren (Blijft over de mogelijkheid
dat men nu ook al de code DIRECT KAN AFLEZEN uit de magneetstrip en zo
de kaart misbruiken.) een verduidelijking door de Overheid zelf:
http://eid.belgium.be/nl/navigation/documents/39815.html
Kan iemand mijn identiteit aannemen als hij of zij over mijn kaart
beschikt?
Je eID werkt net zoals een bankkaart met een pincode. Zonder die
pincode kan niemand jouw identiteit aannemen op het web of binnen een
andere elektronische toepassing. Hou dus je pincode strikt geheim.
Je eID kan je gebruiken bij externe, niet overheids-, systemen waar je
evengoed slechts je pincode dient in te geven. Maw je pincode STAAT op
je kaart zelf.
FIsc
Als je de link hiervoor doorgeeft (opgave van omstandigheden dat de
pincode op de betaalkaart zelf vermeld staat) en ze wijst op hun
vioorwaarden hierna, is het de bank die dient te bewijzen dat ENKEL
als jij verantwoordelijk bent voor de doorgave van de pincode.
Voor de gevolgen van onbevoegd gebruik van de kaart door derden
gedurende de periode tot het moment van melding of, indien eerder, tot
het moment waarop melding had kunnen plaatsvinden, is de kaarthouder
aansprakelijk tot een bedrag van 50,- en bij gebruik van de pincode
tot een bedrag van 150. De aansprakelijkheid van de kaarthouder voor
de gevolgen van onbevoegd gebruik wordt echter verhoogd met het bedrag
van de onbevoegd verrichte transacties gedurende de periode
voorafgaande aan het moment van melding, indien de kaarthouder het
verlies, de diefstal, het misbruik of de vervalsing van de kaart niet
terstond aan ING Card heeft gemeld, dan wel sprake is van opzet,
onzorgvuldigheid of nalatigheid aan de zijde van de kaarthouder.
Dirk Claessens
message
<9dd82835-c1c1-489b...@h11g2000prf.googlegroups.com>
> Blijft over de
> mogelijkheid dat men nu ook al de code DIRECT KAN AFLEZEN uit de
> magneetstrip en zo de kaart misbruiken. Waar gaat dat naar toe?
Direct aflezen is niet mogelijk. Je PIN-code staat daar niet zomaar
open & bloot op, doch gecodeerd en gecombineerd met andere
kaartgegevens. Met de juiste & krachtige infrastructuur is de zaak te
kraken in ordegrootte maanden rekentijd, niet op 1/2 uur.
Ik tip op de methode die Alex beschreef.
--
Dirk.
No trees were killed in the creation of this message;
however, many electrons were terribly inconvenienced.
Gunter Schelfhout
> On 2008-02-03, vg...@skynet.be (87.64.231.82) wrote in
> message
> <9dd82835-c1c1-489b...@h11g2000prf.googlegroups.com>
>
>
>> Blijft over de
>> mogelijkheid dat men nu ook al de code DIRECT KAN AFLEZEN uit de
>> magneetstrip en zo de kaart misbruiken. Waar gaat dat naar toe?
>
>
> Direct aflezen is niet mogelijk. Je PIN-code staat daar niet zomaar
> open & bloot op, doch gecodeerd en gecombineerd met andere
> kaartgegevens. Met de juiste & krachtige infrastructuur is de zaak te
> kraken in ordegrootte maanden rekentijd, niet op 1/2 uur.
> Ik tip op de methode die Alex beschreef.
>
Er zijn goede coderingsalgoritmen, waaronder AES. En hoeveel bits je de
sleutel ook neemt, er blijven maar 9999 combinaties om te proberen via
brute force. Dat is peanuts.
straatloper
"Murkha" <spamfr...@telenet.beInvalidebeburgerrechten> schreef in bericht
news:mn.243d7d82b6456dcd.67704@Ik-zet-hier-wat-ik-wil-maar-nooit-meer-telenet-uitroepteken...
> Gunter Schelfhout microgolfde op 4/02/2008, zo rond 17:58:48, dit
> culiterair hoogstandje:
>> Er zijn goede coderingsalgoritmen, waaronder AES. En hoeveel bits je de
>> sleutel ook neemt, er blijven maar 9999 combinaties om te proberen via
>> brute force. Dat is peanuts.
>
>
> --
> mvg, Valère
> De mens zal heus ooit wel voet zetten op Mars. Het zullen dan
> waarschijnlijk wel militairen zijn. Zij zijn immers al honderden jaren
> bezig met mars-oefeningen
>
Een brute attack ga je uiteraard niet uitproberen in een betaalautomaat he
slimmeke.
Daarvoor gebruik je een zelf gemaakte kaartlezer
K.R.
"Gunter Schelfhout" <no....@please.com.invalid> schreef in bericht
news:WtHpj.27976$bw7....@newsfet09.ams...
> Er zijn goede coderingsalgoritmen, waaronder AES. En hoeveel bits je de
> sleutel ook neemt, er blijven maar 9999 combinaties om te proberen via
> brute force. Dat is peanuts.
JAJAJAJAJA
Is er nog koffie ?
straatloper
"Murkha" <spamfr...@telenet.beInvalidebeburgerrechten> schreef in bericht
> straatloper microgolfde op 4/02/2008, zo rond 18:09:53, dit culiterair
> hoogstandje:
>
>> Een brute attack ga je uiteraard niet uitproberen in een betaalautomaat
>> he slimmeke.
>> Daarvoor gebruik je een zelf gemaakte kaartlezer
>
>
Het gaat erover dat je geen brute attack gaat uitvoeren met een
betaalautomaat die uw kaart inslikt na de 3° poging.
Ik heb vroeger nog kaarten kunnen kraken (als werknemer en in opdracht van
een gokautomatenfabrikant) die ze gebruiken op de gokautomaten.
De huidige bankkaarten zullen wel een stukje beter beveiligd zijn, maar zeg
nooit nooit, als je het absoluut wil, en je vind de juiste mensen met kennis
dan kan het wel denk ik.
The Beloved
<spamfr...@telenet.beInvalidebeburgerrechten> wrote:
>> Een brute attack ga je uiteraard niet uitproberen in een betaalautomaat he
>> slimmeke.
>> Daarvoor gebruik je een zelf gemaakte kaartlezer
>
>Als het zo simpel is, waarom lees ik er dan zo weinig over?
Omdat men er altijd alles aan zal doen om (grote) flaters uit de media
en de belangstelling te houden ?
Het is niet omdat u er niks over leest dat het niet voorvalt.
Dirk Claessens
message <WtHpj.27976$bw7....@newsfet09.ams>
> Dirk Claessens wrote:
>
>> Direct aflezen is niet mogelijk. Je PIN-code staat daar niet zomaar
>> open & bloot op, doch gecodeerd en gecombineerd met andere
>> kaartgegevens. Met de juiste & krachtige infrastructuur is de zaak te
>> kraken in ordegrootte maanden rekentijd, niet op 1/2 uur.
>> Ik tip op de methode die Alex beschreef.
>>
>
> Er zijn goede coderingsalgoritmen, waaronder AES.
Visa gebruikt DES 64 bits
> En hoeveel bits je de
> sleutel ook neemt, er blijven maar 9999 combinaties om te proberen via
> brute force. Dat is peanuts.
Ach zo, 9999? :')
Dus jij denkt dat je met een kaartlezer gewoon even de getallen van
1..9999 naar die kaart stuurt, tot de kaart BINGO! antwoordt?
Think again...
inox
Bij de OP gaat het om een bankcontact kaart, hierbij is steeds een
verbinding met de centrale computer vereist. De beveiliging is drieledig,
nl de PIN code, de sleutel op de kaart en de centrale computer.
--
inox
FIsc
> On 2008-02-03, vg...@skynet.be (87.64.231.82) wrote in
> message
>
> > Blijft over de
> > mogelijkheid dat men nu ook al de code DIRECT KAN AFLEZEN uit de
> > magneetstrip en zo de kaart misbruiken. Waar gaat dat naar toe?
>
> Direct aflezen is niet mogelijk. Je PIN-code staat daar niet zomaar
> open & bloot op, doch gecodeerd en gecombineerd met andere
> kaartgegevens. Met de juiste & krachtige infrastructuur is de zaak te
> kraken in ordegrootte maanden rekentijd, niet op 1/2 uur.
> Ik tip op de methode die Alex beschreef.
>
beveiligingsssysteem te creëren met het gebruik van de eID is vrij
verkrijgbaar.
Eenieder kan deze beschrijving verkrijgen en heeft dus toegang tot de
formule om de pincode om te zetten naar het formaat die toelaat te
controleren of een juist pincode ingegeven wordt. Tenzij dat dit
omrekeningsalgoritme een black box systeem is. Maar dan nog kan de
omzettingsformule samengesteld worden door een serie testen uit te
voeren met een paar eIDs + pincodes. Daarbij kan zo'n black box
systeem geannalyseerd worden op systeemniveau en kan uit de
machinecode perfect het gebruikte algoritme afgeleid worden.
Al wat je nodig hebt is een analist van machinecode en dat lijkt me
geen onoverkomelijk probleem te zijn voor een gestructureerde
misdaadorganisatie. Het zijn juist deze laatste die systematisch
dergelijke diefstallen kunnen laten plegen juist omdat hoe groter het
aantal kaarten, hoe groter de financiële opbrengst.
Dirk Claessens
message
<mn.24ca7d8263265256.67704@Ik-zet-hier-wat-ik-wil-maar-nooit-meer-telenet-uitroepteken>
> Dirk Claessens microgolfde op 4/02/2008, zo rond 20:11:07, dit culiterair
> hoogstandje:
>
>> Ach zo, 9999? :')
>> Dus jij denkt dat je met een kaartlezer gewoon even de getallen van 1..9999
>> naar die kaart stuurt, tot de kaart BINGO! antwoordt?
>
> hoe werkt het dan wel?
<mode = overgesimplifieerd!>
Bij de uitgifte v.d.kaart wordt een random PIN-code gekozen, en
gecombineerd met het kaartnummer, de schoenmaat van de gebruiker
etc..., worden deze data worden geencrypteerd met een publiek
algoritme, doch met een geheime sleutel, en op de kaart geschreven.
Van de kaartdata kunnen geen gegevens gedecodeerd worden met alleen de
PIN-code, men heeft de 64-bit sleutel nodig. Die sleutel breken kan
alleen door een "brute force attack" die tijd in beslag neemt.
De laatste stap is dan de methode Schelfhout :oÞ , want uiteindelijk
staat de PIN-code als dusdanig _niet_ op de kaart. Op de kaart staan
alleen data die - met kennis van de geheime sleutel - toelaten van te
bepalen of een gegeven PIN _geldig_ is voor die kaart.
</mode>
Dirk Claessens
message
<b516d18c-ccd6-472e...@q77g2000hsh.googlegroups.com>
> Daarbij kan zo'n black box
> systeem geannalyseerd worden op systeemniveau en kan uit de
> machinecode perfect het gebruikte algoritme afgeleid worden.
Het probleem zit hem niet in het kraken van het algoritme, maar in het
kraken van de geheime (lange) sleutel. Alle recente coderingssystemen
zijn "valdeursystemen": het is simpel om gegevens te coderen, maar
(puur mathematisch) onmogelijk om het omgekeerde te doen. Alleen de
tijdrovende "brute force attack" is mogelijk.
FIsc
> On 2008-02-04, FIsc (84.194.159.48) wrote in
> message
>
> > Daarbij kan zo'n black box
> > systeem geannalyseerd worden op systeemniveau en kan uit de
> > machinecode perfect het gebruikte algoritme afgeleid worden.
>
> Het probleem zit hem niet in het kraken van het algoritme, maar in het
> kraken van de geheime (lange) sleutel. Alle recente coderingssystemen
> zijn "valdeursystemen": het is simpel om gegevens te coderen, maar
> (puur mathematisch) onmogelijk om het omgekeerde te doen. Alleen de
> tijdrovende "brute force attack" is mogelijk.
>
perfect volgen welke sleutel er gemaakt wordt om die te vergelijken
met de sleutel die op de kaart zélf staat. Immers de creatie van de
sleutel gebeurt extern (via een computer dus) en nooit door de kaart
zelf.
Zelfs al zou de creatie van die sleutel door electronica op de kaart
zelf gecreëerd worden door ingave van de pincode (en ten einde een
controle te verrichten met de sleutel die het zou dienen te zijn om
toegang te krijgen) dan nog kan je een pincode afleiden juist omdat je
maar van een paar dergelijke kaarten de pincode dient te wijzigen en
daarna dient uit te lezen wat de sleutel aan waarde kreeg.
FIsc
> message
>
> > Daarbij kan zo'n black box
> > systeem geannalyseerd worden op systeemniveau en kan uit de
> > machinecode perfect het gebruikte algoritme afgeleid worden.
>
> Het probleem zit hem niet in het kraken van het algoritme, maar in het
> kraken van de geheime (lange) sleutel. Alle recente coderingssystemen
> zijn "valdeursystemen": het is simpel om gegevens te coderen, maar
> (puur mathematisch) onmogelijk om het omgekeerde te doen. Alleen de
> tijdrovende "brute force attack" is mogelijk.
>
> --
> Dirk.
> No trees were killed in the creation of this message;
> however, many electrons were terribly inconvenienced.
Een paar jaar terug kostte het mij minder dan 5 minuten om een
algoritme na te creëren die het mogelijk maakte om een sterk
gereduceerde opslag van gegevens te bekomen.
Als je kan uitlezen wat er uiteindelijk weggeschreven wordt eigen aan
een specifieke waarde die je ingeeft (idem dito met een pincode die
een sleutel creëert) dan duurt het niet lang om via een paar ingaven
(bijvoorbeeld een eerste ingave met 1111 en een tweede met 1112 en een
derde ter controle met 1113) binnen een paar minuten een algoritme
samen te stellen dat gebruikt wordt.
Dirk Claessens
message
> On 4 feb, 21:38, Dirk Claessens <No...@Nowhere.invalid> wrote:
>> On 2008-02-04, FIsc (84.194.159.48) wrote in
>> message
>> <b516d18c-ccd6-472e-9dbe-a050c0fe1...@q77g2000hsh.googlegroups.com>
>>
>>> Daarbij kan zo'n black box
>>> systeem geannalyseerd worden op systeemniveau en kan uit de
>>> machinecode perfect het gebruikte algoritme afgeleid worden.
>>
>> Het probleem zit hem niet in het kraken van het algoritme, maar in het
>> kraken van de geheime (lange) sleutel. Alle recente coderingssystemen
>> zijn "valdeursystemen": het is simpel om gegevens te coderen, maar
>> (puur mathematisch) onmogelijk om het omgekeerde te doen. Alleen de
>> tijdrovende "brute force attack" is mogelijk.
>>
> Van alle systemen die je kan via een computer verwerken, kan je
> perfect volgen welke sleutel er gemaakt wordt om die te vergelijken
> met de sleutel die op de kaart zélf staat. Immers de creatie van de
> sleutel gebeurt extern (via een computer dus) en nooit door de kaart
> zelf.
>
Op de kaart _staat_ geen sleutel, alleen versleutelde _data_
> Zelfs al zou de creatie van die sleutel door electronica op de kaart
> zelf gecreëerd worden door ingave van de pincode (en ten einde een
> controle te verrichten met de sleutel die het zou dienen te zijn om
> toegang te krijgen) dan nog kan je een pincode afleiden juist omdat je
> maar van een paar dergelijke kaarten de pincode dient te wijzigen en
> daarna dient uit te lezen wat de sleutel aan waarde kreeg.
Zie boven...
Dirk Claessens
message
>
> Als je kan uitlezen wat er uiteindelijk weggeschreven wordt eigen aan
> een specifieke waarde die je ingeeft (idem dito met een pincode die
> een sleutel creëert) dan duurt het niet lang om via een paar ingaven
> (bijvoorbeeld een eerste ingave met 1111 en een tweede met 1112 en een
> derde ter controle met 1113) binnen een paar minuten een algoritme
> samen te stellen dat gebruikt wordt.
Lees misschien mijn antwoord aan Murkha eens.
FIsc
> On 2008-02-04, FIsc (84.194.159.48) wrote in
> message
>
>
>
> > Als je kan uitlezen wat er uiteindelijk weggeschreven wordt eigen aan
> > een specifieke waarde die je ingeeft (idem dito met een pincode die
> > een sleutel creëert) dan duurt het niet lang om via een paar ingaven
> > (bijvoorbeeld een eerste ingave met 1111 en een tweede met 1112 en een
> > derde ter controle met 1113) binnen een paar minuten een algoritme
> > samen te stellen dat gebruikt wordt.
>
> Lees misschien mijn antwoord aan Murkha eens.
>
> --
> Dirk.
> No trees were killed in the creation of this message;
> however, many electrons were terribly inconvenienced.
Dat had ik gelezen maar dat veranderd niets aan mijn reacties.
Er dient uiteindelijk een controle te kunnen gebeuren met een
controlesleutel die op een kaart geëncodeerd staat.
Natuurlijk zijn er een paar tussenstappen, maar deze kunnen allemaal
redelijk eenvoudig hersamengesteld worden (ook omdat de gebruikte
algroitmes openlijk beschikbaar zijn).
Ik heb in mijn reacties hier geen volledige wijze doorgegeven om het
sommigen niet eenvoudig(er) te maken.
Onlangs zat ik nog samen met iemand die een toegangssyteem kon creëren
door uitlezing van de eID (dat zelfs met toepassing van RFID kon
gebeuren). Je hebt dus niet steeds een pincode nodig om gegevens te
controleren die geëncodeerd staan.
Als test (persoonlijk interesseert het werken met cijfers mij enorm)
heb ik ooit eens een versleutelingssyteem van computerbestanden
samengesteld dat werkte met een algoritme dat je nooit kon
hersamenstellen (allicht weet je dat alle sleutels kraakbaar zijn
eigen aan de taal van de gebruikers, in het nederlandstalige gebied is
dat de 'd' en de 'e' die voor zwakke beveiligingsmethodes zorgen). De
versleutelingssystemen gebruikt in eID of op bankkaarten is al te
eenvoudig juist door de beperkingen eigen aan de pincodes, geen
combinatie met letters bijvoorbeeld, maar er zijn andere
sleutelgeneraties mogelijk die evenmin kunnen gekraakt worden zonder
dat je de pincodes hebt. Waar ik wou toe komen is het feit dat eigen
aan het gebruikte al te beperkte versleutelingssysteem alles kan
afgeleid worden.
FIsc
> message
>
>
>
> > Als je kan uitlezen wat er uiteindelijk weggeschreven wordt eigen aan
> > een specifieke waarde die je ingeeft (idem dito met een pincode die
> > een sleutel creëert) dan duurt het niet lang om via een paar ingaven
> > (bijvoorbeeld een eerste ingave met 1111 en een tweede met 1112 en een
> > derde ter controle met 1113) binnen een paar minuten een algoritme
> > samen te stellen dat gebruikt wordt.
>
> Lees misschien mijn antwoord aan Murkha eens.
>
> --
> Dirk.
> No trees were killed in the creation of this message;
> however, many electrons were terribly inconvenienced.
http://news.zdnet.co.uk/security/0,1000000189,39285787,00.htm
""Chip and PIN currently does not defend against this attack, despite
assertions from the banking community that customers must be liable
for frauds in which the PIN was used," said the researchers, in an as-
yet-unpublished paper."
http://www.guardian.co.uk/money/2004/oct/27/creditcards.scamsandfraud
En als je dacht dat de algoritmes veilig waren, dan heb je de
patentenregistraties:
Reflex
"FIsc" <Linda.D...@gmail.com> wrote in message
news:38190fa4-173d-450f...@h11g2000prf.googlegroups.com
> algoritme dat je nooit kon hersamenstellen (allicht weet
> je dat alle sleutels kraakbaar zijn eigen aan de taal van
> de gebruikers, in het nederlandstalige gebied is dat de
> 'd' en de 'e' die voor zwakke beveiligingsmethodes
> zorgen).
Dit geldt enkel voor een substitutiecypher. Dat is een encryptie methode uit
de tijd toen de dieren nog spraken. Huidige cryptografische methodes hebben
al jaar en dag die zwakheid niet. Als je wilt zal ik een zinnetje
encrypteren en dan mag jij gokken waar de e's staan.
Dirk Claessens
message
> On 4 feb, 21:38, Dirk Claessens <No...@Nowhere.invalid> wrote:
>> On 2008-02-04, FIsc (84.194.159.48) wrote in
>> message
>> <b516d18c-ccd6-472e-9dbe-a050c0fe1...@q77g2000hsh.googlegroups.com>
>>
>>> Daarbij kan zo'n black box
>>> systeem geannalyseerd worden op systeemniveau en kan uit de
>>> machinecode perfect het gebruikte algoritme afgeleid worden.
>>
>> Het probleem zit hem niet in het kraken van het algoritme, maar in het
>> kraken van de geheime (lange) sleutel. Alle recente coderingssystemen
>> zijn "valdeursystemen": het is simpel om gegevens te coderen, maar
>> (puur mathematisch) onmogelijk om het omgekeerde te doen. Alleen de
>> tijdrovende "brute force attack" is mogelijk.
>>
>> --
>> Dirk.
>> No trees were killed in the creation of this message;
>> however, many electrons were terribly inconvenienced.
>
> Een paar jaar terug kostte het mij minder dan 5 minuten om een
> algoritme na te creëren die het mogelijk maakte om een sterk
> gereduceerde opslag van gegevens te bekomen.
>
...maar dat heeft niks met cryptografie te maken, en alles met
datacompressie. Vele datatypes hebben een hoge redundantiegraad.
> Als je kan uitlezen wat er uiteindelijk weggeschreven wordt eigen aan
> een specifieke waarde die je ingeeft (idem dito met een pincode die
> een sleutel creëert) dan duurt het niet lang om via een paar ingaven
> (bijvoorbeeld een eerste ingave met 1111 en een tweede met 1112 en een
> derde ter controle met 1113) binnen een paar minuten een algoritme
> samen te stellen dat gebruikt wordt.
Als het zo simpel kan als je schetst, dan gaat het over een zeer zwak
encryptiesysteem met ofwel een zeer korte sleutel, ofwel betreft het
een simpele 1-op-1 substitiecode (genre "Caesar cipher"). Denk jij nu
echt dat betaalkaarten zo iets gebruiken??
FIsc
> On 2008-02-04, FIsc (84.194.159.48) wrote in
> message
Geen idee, heb mij daar niet mee bezig gehouden. Maar
versleutelingsformules werken via een vaste omzetting waardoor een
patroon zou dienen herkenbaar zijn.
Dirk Claessens
message
<0612b32d-7bd9-46e5...@f47g2000hsd.googlegroups.com>
??? De OP had het nochtans over Visa??
> Maar versleutelingsformules werken via een vaste omzetting waardoor een
> patroon zou dienen herkenbaar zijn.
In de middeleeuwen wel ja. Als je voor de encryptie elke A altijd
vervangt door een Z, elke B door een Y, enz... , dan kom je met
frequentieanalyse al een heel eind om de zaak te kraken.
Het wordt moeilijker wanneer een langere sleutel gebruikt wordt
Een aandoenlijk simpel voorbeeld is als volgt:
Plain Text: EEEEEEEEEEEEEEEEE
Encryptie : 4F4D4C4144475546D13E251C41083D7C61
Alhoewel alle inputkarakters identisch zijn, komt er toch geen enkele
herhaling voor in de geencrypteerde versie, omdat er voor elk
succesievelijk karakter steeds een _andere_ versleuteling gebruikt
wordt.
DES/AES is nog andere koek...
FIsc
> On 2008-02-05, FIsc (84.194.159.48) wrote in
> message
Met de starttekst in het achterhoofd vond ik verwijzingen terug van de
pincode + beveiligingssysteem bij bankkaarten naar hetzelfde voor de
eID. Voor die eID is vlot de beschrijving van het systeem
verkrijgbaar, wat mij aangaf dat naast het uitlezen van bankkaarten
het uittesten met pincodes niet te veel probleem zou stellen, zeker
als je dan nog rekening houdt met het eenvoudig resetten van
betaalkaarten.
Daarbij gaf ik reeds aan dat die incriptie via een vast patroon diende
te gebeuren want ze moet vlot door derde systemen kunnen omgezet
worden.
Een 64-bits codesysteem wordt dan ook gebruikt om geen vertraging te
hebben bij het uitlezen en controleren van deze kaarten, wat op
zichzelf reeds beperkingen geeft.
Ik ben er zelfs van overtuigd dat de georganiseerde misdaad geen
problemen zal gehad hebben om bank- of ander personeel ergens te
vinden die hen inzage kon geven in de gebruikte omzetting waardoor
misbruik van kaarten (inclusief uitlezen van de kaarten zelf om een
pincode af te leiden) niet uitgesloten kan worden.
FIsc
> message
Ten andere, als een 56-bit encodering zo veilig zo zijn, waarom is het
dan nog nodig van een 168-bit systeem te creëren?
Fernand
"Gunter Schelfhout" <no....@please.com.invalid> schreef in bericht
news:WtHpj.27976$bw7....@newsfet09.ams...
> brute force.
10.000 dus
Ferre
V
> Je eID kan je gebruiken bij externe, niet overheids-, systemen waar je
> evengoed slechts je pincode dient in te geven. Maw je pincode STAAT op
> je kaart zelf.
Niet noodzakelijk. Met een privaat-publieke sleutel kan je het perfect
organiseren dat je pin-code niet op de kaart staat, en dat de gegevens die
op de kaart staan niet voldoende zijn om de pin-code te weten te komen,
behalve door een trial and error methode. Een voldoende gesofisticeerd
systeem kan zelfs dat opvangen.
--
V
V
> Daarbij gaf ik reeds aan dat die incriptie via een vast patroon diende
> te gebeuren want ze moet vlot door derde systemen kunnen omgezet
> worden.
Het volgende eens lezen en dan komen meepraten:
http://en.wikipedia.org/wiki/Public-key_cryptography
;)
--
V
FIsc
> "FIsc" <Linda.De.Cos...@gmail.com> wrote in message
Hoe is het mogelijk dat de gegevens die op je eID staan dan kunnen
verkregen worden via RFID, zonder dat ke enige pincode dient te geven?
Maw de gegevens op je kaart kunnen extern uitgelezen worden mét
omzetting van een sleutelcode, dus ofwel is die sleutelcode omzetbaar
zodat er extern toegang kan bekomen worden tot de opgeslagen data (wat
het logische is gelet op je eID nog meer gegevens kunnen vermeld
worden die door derden kunnen uitgelezen worden zonder dat je enige
pincode dient in te geven) ofwel is de toegangscode electronisch
berekenbaar zodat er via deze weg toegang verkregen wordt tot de
opgeslagen data.
FIsc
> "FIsc" <Linda.De.Cos...@gmail.com> wrote in message
Dat is allemaal theorie, waar hier niet aan gedacht wordt is aan de
achterdeur die in alle encryptiesystemen voorhanden dient te zijn
zodat veiligheidsdiensten zonder vertraging toegang hebben tot alles
waar ze willen kennis van nemen.
Er zal dus steeds een mogelijkheid bestaan om extern de opgeslagen
gegevens uit te lezen zonder enige pincode.
Jon Smid
Het is niet omdat je het niet begrijpt dat er een samenzwering achter zit.
En welke is jouw bron omtrent die 'achterpoort voor veiligheidsdiensten' ?
Wat wel is , is dat je in een aantal landen verplicht bent je paswoord
voor encryptie bekend te maken aan de autoriteiten als die daar via
gerechtelijke weg om vragen.
Maar zelfs daar zijn oplossingen voor. ('deniable encryption')
Gunter Schelfhout
Welk cryptografisch systeem wordt er nu gebruikt bij bankkaarten?
Symmetrisch (1 key), assymetrisch (2 keys) of een hash?
Op mijn Linux-systeem worden paswoorden geëncrypteerd via md5 of Blowfish.
Dat is one-way en dus wordt de geëncrypteerde string vergeleken met het
paswoordenbestand.
Dit kan het dus al niet zijn.
Symmetrische keys kunnen het ook niet zijn, omdat je dan de key moet hebben
op de kaart.
Dus blijft public key cryptography over.
Dan staat de secret key op de server van Banksys neem ik aan en de public
key op de kaart, met de pin-code als passphrase?
Karanog
<no....@please.com.invalid> wrote:
>Dus blijft public key cryptography over.
>Dan staat de secret key op de server van Banksys neem ik aan en de public
>key op de kaart, met de pin-code als passphrase?
Betekent dit dat bij controle van de pin ALTIJD connectie wordt
gemaakt met de server van Banksys ?
Karanog
Gunter Schelfhout
'Indien' het public key cryptography betreft (ik weet het niet, vandaar de
vraag, maar het moet haast wel), dan afaik MOET de secret key wel op de
server van Banksys staan.
Een symmetrisch sleutelsysteem zou niet kunnen omdat als men én de sleutel
heeft én de passphrase, het systeem gecompromitteerd is.
En als dergelijke sleutel op de kaart zou staan, dan is het niet moeilijk de
passphrase te achterhalen, vermits de pincode maar 9999 mogelijkheden
heeft.
vg...@skynet.be
> straatloper wrote:
>
> > "Murkha" <spamfrett...@telenet.beInvalidebeburgerrechten> schreef in bericht
Niet waar! Er zijn warenhuizen die hun snelle afrekeningen bufferen in
hun eigen computer en dan in de daluren alles doorsturen naar banksys.
Dus MOET de PIN-code in de kaart zitten. Hoe anders?
vg...@skynet.be
> On 3 feb, 12:03, vg...@skynet.be wrote:
>
> > Onlangs werd onze betaalkaart door zakkenrollers gestolen en binnen
> > een 1/2 u gebruikt om, met gebruik van de pin-code volgens de bank,
> > geld af te halen aan 2 bankcontactterminals. De PIN-code bevond zich
> > pertinent NIET bij de kaart, wat de bank ook beweert. Blijft over de
> > mogelijkheid dat men nu ook al de code DIRECT KAN AFLEZEN uit de
> > magneetstrip en zo de kaart misbruiken. Waar gaat dat naar toe?
>
> > ING-bank verschuilt zich achter het gebruik van de code om niet te
> > moeten tussenkomen.
>
> Je moet je bericht geen 3 of 4x posten: eenmaal is genoeg.
> De geheime code kan men niet van de kaart aflezen en mocht dit
> ontleedbaar zijn, dan betwijfel ik dat dit binnen het half uur kan.
>
> Zoals steeds krijgen we binnen deze NG onvolledige verhalen te lezen,
> dus ik zal maar wat aanvullen. Een korte tijd eerder betaalde je op
> een relatieve drukke plaats (bv. grootwarenhuis of C&A) met je kaart
> en iemand keek mee naar de code die je intikte. Of: je haalde, ook
> korte tijd ervoor, ergens geld af en helaas keek iemand of iets
> (camera) mee.
> Korte tijd nadien liep er iemand tegen je aan en verdween je
> bankkaart.
>
> Dergelijk verhaal is uit het dagelijks leven gegrepen, oa. bij mijn -
> bejaarde - moeder die uiteindelijk zelfs van de roltrap geduwd werd.
> De feiten speelden zich af in het shoppingscenter van de Groenplaats
> (benedenverdieping, na winkelen in GB).
> Voor ze wist wat er gebeurd was, hadden de vriendelijke jongeren al
> merkkledij *gekocht* in een winkel achter de hoek en geld uit de
> automaat gehaald.
>
> De bank kan in dit geval niets verweten worden. Jij diende
> onmiddellijk cardstop te verwittigen.
>
> Alex
@Alex: er was alleen de vorige dag met de kaart gewerkt, ver uit de
buurt van de beroving.Toch is het resultaat zoals beschreven. Afstand
tot de Franse grens: 60 km, dus niet even vlug te bereiken.
Uw verhaal klopt alleen in het gevolg. Overigens, is uw bejaarde
moeder dit al psychologisch te boven gekomen? Dat de PIN gegevens in
de magneetstrip zitten, werd ons intussen bevestigd.
Reactie van de bank: "Wie heeft er je dat verteld?", maar geen
ontkenning. En nu?
Dirk Claessens
message
<a2c0f8a6-644d-4a98...@u10g2000prn.googlegroups.com>
Best mogelijk, maar toch moet hier onderscheid gemaakt worden tussen
het _verifieeren_ van de PIN-code - waarvoor een verbinding nodig is
met een Visa/Banksys/Whatever computer - en de _valutaafrekening_
tussen een warenhuis en Visa/Banksys/Whatever.
> Dus MOET de PIN-code in de kaart zitten. Hoe anders?
De PIN-code staat NIET op de kaart. Zeker niet open & bloot, en ook
niet in een of andere vorm geencrypteerd. Het is functioneel gewoon
niet _nodig_.
De -ingegeven! - PIN-code wordt gebruikt door de centrale computer om
te verifieeren of die code, in combinatie met de andere gegevens op de
kaart, _geldig_ is voor de kaart.
Het is zelfs zo dat een gegeven kaart mathematisch meer dan 1 geldige
PIN-code kan hebben. De kaartuitgever deelt er uiteraard slechts 1 mee.
Ne Varietur
"Murkha" <spamfr...@telenet.beInvalidebeburgerrechten> schreef in bericht
news:mn.5b8a7d82087ac004.67704@Ik-zet-hier-wat-ik-wil-maar-nooit-meer-telenet-uitroepteken...
> vg...@skynet.be microgolfde op 11/02/2008, zo rond 0:11:18, dit culiterair
> hoogstandje:
>
>
>> On 4 feb, 20:32, inox <o...@usenet.invalid> wrote:
>>> straatloper wrote:
>>>
>>>> "Murkha" <spamfrett...@telenet.beInvalidebeburgerrechten> schreef in
>>>> bericht
>>>> news:mn.243d7d82b6456dcd.67704@Ik-zet-hier-wat-ik-wil-maar-nooit-meer-telenet-uitroepteken...
>>>
>>>> he
>>>> slimmeke.
>>>> Daarvoor gebruik je een zelf gemaakte kaartlezer
>>>
>>> Bij de OP gaat het om een bankcontact kaart, hierbij is steeds een
>>> verbinding met de centrale computer vereist. De beveiliging is
>>> drieledig,
>>> nl de PIN code, de sleutel op de kaart en de centrale computer.
>
>> hun eigen computer en dan in de daluren alles doorsturen naar banksys.
>> Dus MOET de PIN-code in de kaart zitten. Hoe anders?
>
> voldoende cash op de rekening staat?
Wij wachten in spanning op de reply....
*g*
--
Ne Varietur
"Aliquando praeterea, rideo, jocor, ludo, homo sum" -
"Soms lach ik bovendien, maak ik gekheid; speel ik, ben ik mens"
inox
>> Bij de OP gaat het om een bankcontact kaart, hierbij is steeds een
>> verbinding met de centrale computer vereist. De beveiliging is drieledig,
>> nl de PIN code, de sleutel op de kaart en de centrale computer.
>>
>> --
>> inox
>
> Niet waar! Er zijn warenhuizen die hun snelle afrekeningen bufferen in
> hun eigen computer en dan in de daluren alles doorsturen naar banksys.
> Dus MOET de PIN-code in de kaart zitten. Hoe anders?
Die warenhuizen bufferen niet maar hebben een permanente verbinding
met Banksys, vandaar de snelle afhandeling. Het werkt ongeveer als volgt,
de terminal genereert een code uit de sleutel op de bankkaart en de PIN.
Die code wordt geëncrypteerd naar de banksys computer verstuurd waar ze
geverifieerd wordt. De PIN staat dus niet op de bankkaart (ook niet
versleuteld) en ook niet op de banksys computer.
--
inox
FIsc
> On Sun, 10 Feb 2008 19:26:40 +0100, Gunter Schelfhout
>
> >Dus blijft public key cryptography over.
> >Dan staat de secret key op de server van Banksys neem ik aan en de public
> >key op de kaart, met de pin-code als passphrase?
>
> Betekent dit dat bij controle van de pin ALTIJD connectie wordt
> gemaakt met de server van Banksys ?
>
> Karanog
neen, want je kan betalingen verrichten bij een winkelier zonder dat
er verbinding gelegd wordt (niet met het deel bancontact, daar gebeurt
er een controle, vroeger gebeurde die controle bij geldopvraging op
saldo, doch bij betaling bij een tankbeurt gebeurde er geen controle
op het saldo, waar de vraag zich stelt of er dan wel enig contact
gelegd werd met Banksys).
FIsc
<spamfrett...@telenet.beInvalidebeburgerrechten> wrote:
> vg...@skynet.be microgolfde op 11/02/2008, zo rond 0:11:18, dit
> culiterair hoogstandje:
>
>
>
> >> straatloper wrote:
>
> >>> "Murkha" <spamfrett...@telenet.beInvalidebeburgerrechten> schreef in
> >>> bericht
> >>>news:mn.243d7d82b6456dcd.67704@Ik-zet-hier-wat-ik-wil-maar-nooit-meer-telenet-uitroepteken...
>
> >>> slimmeke.
> >>> Daarvoor gebruik je een zelf gemaakte kaartlezer
>
> >> Bij de OP gaat het om een bankcontact kaart, hierbij is steeds een
> >> verbinding met de centrale computer vereist. De beveiliging is drieledig,
> >> nl de PIN code, de sleutel op de kaart en de centrale computer.
> > hun eigen computer en dan in de daluren alles doorsturen naar banksys.
> > Dus MOET de PIN-code in de kaart zitten. Hoe anders?
>
> voldoende cash op de rekening staat?
>
> mvg, Valère
> Je moest eens weten wat het kost om er zo goedkoop uit te zien. (Dolly
> Parton)
Vroeger alleszins gebeurde er bijvoorbeeld geen controle op saldo bij
betaling aan tankstations. Ik weet niet of dit nu nog zo is.
FIsc
Ok, er gebeurt evenwel iets eigenaardig met creditkaarten. Als zo'n
creditcard geblokkeerd geraakte door gebruik van 3 maal een verkeerde
code dan dien je deze creditcard enkel in een banksys toestel te
steken waarna de credit card terug bruikbaar wordt. Hierbij dien je
zelfs geen pincode in te geven. Er staan dus voldoende gegevens op
deze kaarten zelf.
Jon Smid
Wat is daar eigenaardig aan en in tegenspraak ?
Beetje wiskunde en logica in deze zou niet schaden.
FIsc
Een creditcard die geblokkeerd raakte door minimaal 3 maal een
verkeerde pincode in te geven wordt gedeblokkeerd zonder ingave van
enige pincode zodat er terug 3 pogingen mogelijk worden? Hallo?
Eigenaardig? Ja!
Jon Smid
*als* dat zo al is , dan is het _nog_ geen bewijs dat de pin code op
enige manier op de kaart staat. *als* dus.
alex
Ik heb ergens weer een deel van het verhaal gemist, ofwel heb je niet
alles verteld. Wat heeft de Franse grens ermee te maken? Werd de
diefstal op 60 km van de grens gepleegd en werd je kaart dan aldaar -
aan de grens, in België of Frankrijk???, misbruikt? Interessant - sic
- is het gegeven dat je over een half uur spreekt tussen de diefstal
en het gebruiken van de kaart.
> Uw verhaal klopt alleen in het gevolg. Overigens, is uw bejaarde
> moeder dit al psychologisch te boven gekomen?
Dat is heel middelmatig afgelopen en nadien is ze op de sukkel gegaan
(versneld) en op 75 jarige leeftijd in een rusthuis opgenomen, waar ze
nu nog zit. Of dit met de aangehaalde feiten te maken heeft, laat ik
in het midden, maar het heeft wel zijn invloed gehad. Dat staat vast.
> Dat de PIN gegevens in
> de magneetstrip zitten, werd ons intussen bevestigd.
> Reactie van de bank: "Wie heeft er je dat verteld?", maar geen
> ontkenning. En nu?
Ik volg met interesse hetgeen de anderen schrijven, want uitzonderlijk
is dit een draad waar men een en ander uit kan leren, al blijft het
wel heel technisch. Juridisch gezien sta jij zwak: niet de bank
heeft jou bestolen, maar wel derden. Bovendien heeft niemand hier
bevestigd dat men op minder dan een half uur tijd een pincode kan
ontcijferen (of ik moest iets over het hoofd hebben gezien, waarvoor
m'n excuses).
Ik kan het ook anders stellen: mocht het zo eenvoudig zijn, dan hadden
de banken al lang andere veiligheidsmaatregelen getroffen.
Recentelijk bleek er een bug te zijn in het internetbankieren: dit
kwam uitgebreid in het nieuws en de banken namen maatregelen; mocht
dit het geval zijn met betaalkaarten dan vermoed ik dat ze gauw
iedereen zouden aanschrijven om nieuwe (veiligere) kaarten te halen op
hun kantoren. (tegen een hogere kostprijs uiteraard!).
Mogelijks en hopelijk kunnen anderen de technische kant verder
uitklaren, al blijft een half uur om een kaart te decoderen toch vrij
kort!
Alex
FIsc
Blijkbaar kan er in Frankrijk in winkels betaald worden met
bankkaarten zonder dat er enige pincode dient ingegeven worden.
Als het zo is (zoals hier verder alleszins iemand aangeeft) altijd
gecheckt wordt naar de geldigheid van het gebruik van een bankkaart
door banksys stelt zich de vraag of kaartlezers in Frankrijk allicht
geen eigen software hebben die alles afleiden van wat op de bankkaart
zelf staat (schijnbaar wordt de pincode daar zelf gegeneerd?
FIsc
Eigenaardige tekst van EDS:
http://www.eds.be/fileadmin/countries/eds_be/news/Banksys_impressed_by_EDS_learning_capabilities.pdf
"Op de nieuwe versie is eveneens een chip met PIN-code ingebouwd."
FIsc
Lees de volgende tekst waar een patent beschreven wordt:
http://www.patentstorm.us/patents/5365046-description.html
De eerste code STAAT alleszins op de kaart zelf.
FIsc
> Onlangs werd onze betaalkaart door zakkenrollers gestolen en binnen
> een 1/2 u gebruikt om, met gebruik van de pin-code volgens de bank,
> geld af te halen aan 2 bankcontactterminals. De PIN-code bevond zich
> pertinent NIET bij de kaart, wat de bank ook beweert. Blijft over de
> mogelijkheid dat men nu ook al de code DIRECT KAN AFLEZEN uit de
> magneetstrip en zo de kaart misbruiken. Waar gaat dat naar toe?
> Wie heeft ook zo'n ervaring? Wie heeft meer info?
>
> ING-bank verschuilt zich achter het gebruik van de code om niet te
> moeten tussenkomen.
Hier een overduidelijke link die spreekt over een systematische
diefstal van pincodes, alle twijfel is nu weg:
http://www.vbds.nl/index.php?option=com_content&task=view&id=374&Itemid=58
"'PIN-based fraud schemes involve hackers somehow gaining access to
the encrypted PIN data that is sent along with card numbers to
processors that execute PIN debit transactions. The thieves also steal
terminal keys used to encrypt PINs, which are typically stored on a
retailer's terminal controllers. The encrypted PIN information,
together with the key for decrypting it and the card numbers, allow
criminals to make counterfeit cards, that enable them to withdraw cash
at ATM machines'. "
Jon Smid
Neen, ik ga dit niet lezen.
Het is zoals voorheen al veelvuldig beschreven : de code staat *niet* op
de kaart. Noch 'clear' noch versleuteld.
En overigens : don't argue with idiots, they bring you down to their
level and then beat you with experience.
Jon Smid
> On Mon, 11 Feb 2008 23:46:53 +0100, Jon Smid <Varke...@hotmail.com>
> wrote:
>
>>> Een creditcard die geblokkeerd raakte door minimaal 3 maal een
>>> verkeerde pincode in te geven wordt gedeblokkeerd zonder ingave van
>>> enige pincode zodat er terug 3 pogingen mogelijk worden? Hallo?
>>>
>>> Eigenaardig? Ja!
>> *als* dat zo al is , dan is het _nog_ geen bewijs dat de pin code op
>> enige manier op de kaart staat. *als* dus.
>
> geldautomaat je kaart niet alleen leest, maar er ook op schrijft
> indien nodig.
En uit wat leiden we dat weer af ?
De server houdt wel bij dat er drie verkeerde pogingen waren hoor.
FIsc
Hier een overduidelijke link die spreekt over een systematische
diefstal van pincodes, alle twijfel is nu weg:
http://www.vbds.nl/index.php?option=com_content&task=view&id=374&Item...
Dirk Claessens
message
<8a2cc680-24ba-46f4...@s37g2000prg.googlegroups.com>
> Ok, er gebeurt evenwel iets eigenaardig met creditkaarten. Als zo'n
> creditcard geblokkeerd geraakte door gebruik van 3 maal een verkeerde
> code dan dien je deze creditcard enkel in een banksys toestel te
> steken waarna de credit card terug bruikbaar wordt. Hierbij dien je
> zelfs geen pincode in te geven. Er staan dus voldoende gegevens op
> deze kaarten zelf.
Ik vraag me af hoelang jij hier nog je eigen - of andermans nonsens
bijeengesprokkeld op het internet - gaat blijven debiteren.
Het aantal mislukte PIN-ingavepogingen wordt *centraal* bijgehouden.
Stel dat je aan betaalautomaat A twee keer een verkeerde PIN ingeeft,
en dan de kaart terugneemt. Ga nu een dag (of desnoods een maand )
later naar betaalautomaat B. Bij het opvragen van de PIN zal de
automaat onmiddelijk aangeven: "PIN-code? (LAATSTE POGING!)"
Ik heb het bovenstaande ca. 1 jaar geleden ZELF getest, en heb het dus
niet van "horen zeggen" of ergens op een blog gelezen.
( en kom asjeblief ook niet af met "het aantal pogingen wordt op de
kaart opgeslagen"...)
Dirk Claessens
message
> On 10 feb, 20:02, Karanog <Kara...@hotmail.com> wrote:
>> On Sun, 10 Feb 2008 19:26:40 +0100, Gunter Schelfhout
>>
>> <no.m...@please.com.invalid> wrote:
>>> Dus blijft public key cryptography over.
>>> Dan staat de secret key op de server van Banksys neem ik aan en de public
>>> key op de kaart, met de pin-code als passphrase?
>>
>> Betekent dit dat bij controle van de pin ALTIJD connectie wordt
>> gemaakt met de server van Banksys ?
>>
>> Karanog
>
> neen, want je kan betalingen verrichten bij een winkelier zonder dat
> er verbinding gelegd wordt
Onzin. Die kleine zwarte doosjes waar je de kaart in stopt hebben
ofwel:
- een modemverbinding met BankSys (en werken dan meestal veel trager)
- een rechtstreekse open datalijn naar Banksys.
>(niet met het deel bancontact, daar gebeurt
> er een controle, vroeger gebeurde die controle bij geldopvraging op
> saldo, doch bij betaling bij een tankbeurt gebeurde er geen controle
> op het saldo,
Mogelijk, maar wel controle op de PIN-code...
>waar de vraag zich stelt of er dan wel enig contact
> gelegd werd met Banksys).
Die vraag stelt zich helemaal niet. Er *wordt* contact gemaakt met
Banksys.
FIsc
Neen, de eigen pincode staat niet op de kaart, het is nog extremer dan
dat nu blijkt dat je pincode naar de ATM gestuurd wordt (de eerste,
interne code die de bank aan de kaart toekent staat dan weer wel
degelijk op de kaart).
Hoe dan ook kan een derde perfect je pincode verkrijgen en daar ging
het over, wel niet door de magneetstrip van de kaart zelf uit te lezen
maar door de kaart via een (eigen) terminal in te voeren.
Wie is er hier de idioot?
FIsc
> On 2008-02-11, FIsc (84.194.159.48) wrote in
> message
Als je met een CREDITKAART 3 verkeerde ingaves verrichte van je
pincode dien je deze CREDITKAART enkel in een bankterminal te stoppen
en je kan terug met je CREDITKAART werken, de belemmering wegens de 3
verkeerde ingaves wordt gereset.
En dat is niet van horen zeggen, maar een vaststelling door eigen
gebruik waar de betrokken bank gewoon doorgaf van zo te handelen en
dit tot mijn grote verwondering ook de kaart terug voor gebruik
openzette.
FIsc
> On 2008-02-11, FIsc (84.194.159.48) wrote in
> message
Vergeet dat *wordt contact gemaakt*. Als de codes op de bankterminal
aanwezig zijn wordt er zelfs geen extern contact meer gelegd met
banksys. Ik geef hier elders een link waar dit aangegeven staat.
Jon Smid
U. Met voorsprong.
Dirk Claessens
message
<d1a4824f-964c-47d2...@v17g2000hsa.googlegroups.com>
> Vergeet dat *wordt contact gemaakt*.
Ik peins er niet over...
> Als de codes op de bankterminal
> aanwezig zijn wordt er zelfs geen extern contact meer gelegd met
> banksys. Ik geef hier elders een link waar dit aangegeven staat.
Jij hebt niet het flauwste benul wat een "bankterminal" is...
Alles wat jij kan is "links aangeven" waar je _meent_ iets gelezen te
hebben dat je opinie ondersteunt.
Ik geef het op...
------------------------------------------------------------------
Don't argue with a fool. The spectators can't tell the difference.
------------------------------------------------------------------
Jon Smid
> On 2008-02-12, FIsc (84.194.159.48) wrote in
> message <d1a4824f-964c-47d2...@v17g2000hsa.googlegroups.com>
>
>
>> Vergeet dat *wordt contact gemaakt*.
>
> Ik peins er niet over...
>
>> Als de codes op de bankterminal
>> aanwezig zijn wordt er zelfs geen extern contact meer gelegd met
>> banksys. Ik geef hier elders een link waar dit aangegeven staat.
>
> Jij hebt niet het flauwste benul wat een "bankterminal" is...
> Alles wat jij kan is "links aangeven" waar je _meent_ iets gelezen te
> hebben dat je opinie ondersteunt.
>
> Ik geef het op...
>
> ------------------------------------------------------------------
> Don't argue with a fool. The spectators can't tell the difference.
> ------------------------------------------------------------------
>
Jij hield het het langst vol. Of zoals ik al zei :
Don't argue with a fool : they bring you to their level and then beat
you with their experience :-)
Dirk Claessens
message <Pxjsj.45805$9Z2....@newsfet14.ams>
>
> Jij hield het het langst vol. Of zoals ik al zei :
>
> Don't argue with a fool : they bring you to their level and then beat you
> with their experience :-)
Die had ik al gelezen, maar ik wou absoluut iets anders en toch van
dezelfde strekking. :-)
Djeeeezes...
FIsc
Je bent gewogen en véél te licht bevonden, ga maar verder spelen voor
dat het te donker wordt.
Dirk Claessens
message
> Je bent gewogen en véél te licht bevonden, ga maar verder spelen voor
> dat het te donker wordt.
Voor je hier het gewicht van mensen gaat afwegen over onderwerpen waar
je zelf geen jota van snapt, is het misschien goed van het volgende
standaardwerk eens aandachtig te lezen:
Bruce Schneier,
Applied Cryptography,
Protocols, Algorithms and Source code in C.
ISBN: 0-471-59756-2
(niet van het internet geplukt, ik heb het boek hier in de kast staan)
En dan... is er koffie!
FIsc
> On 2008-02-12, FIsc (84.194.159.48) wrote in
> message
>
> > Je bent gewogen en véél te licht bevonden, ga maar verder spelen voor
> > dat het te donker wordt.
>
> Voor je hier het gewicht van mensen gaat afwegen over onderwerpen waar
> je zelf geen jota van snapt, is het misschien goed van het volgende
> standaardwerk eens aandachtig te lezen:
>
> Bruce Schneier,
> Applied Cryptography,
> Protocols, Algorithms and Source code in C.
> ISBN: 0-471-59756-2
>
> (niet van het internet geplukt, ik heb het boek hier in de kast staan)
>
> En dan... is er koffie!
>
> --
> Dirk.
> No trees were killed in the creation of this message;
> however, many electrons were terribly inconvenienced.
Wat ben je met een versleuteling als de pincode die jij dient in te
geven door banksys verstuurd wordt naar de bankterminal? Misschien de
moeite nemen van te lezen wat er reeds in een andere reactie
meegegeven werd aan link die de fraude met bankkaarten juist
bevestigd.
De OP startte met een vraag of er mogelijkheden bestonden dat derden
je pincode konden verkrijgen zonder dat dit via hemzelf zou dienen
doorgegeven te zijn (door een te lakse beveiliging ervan door de
houder van de bankkaart). Ten andere een bankkaart wordt versleuteld
met 2 waarden, de eerste die de uitgevende instelling verbindt met de
kaart STAAT ten andere op de magnetische strip en de tweede (de
persoonlijke pincode van de gebruiker) wordt door banksys doorgegeven
aan de bankterminal. Lees de link die je wel zal terugvinden, deze
feiten worden erin beschreven.
Gunter Schelfhout
> On 2008-02-12, FIsc (84.194.159.48) wrote in
> message
> <82f3ad12-355e-4d89...@e10g2000prf.googlegroups.com>
>
>
>> Je bent gewogen en véél te licht bevonden, ga maar verder spelen voor
>> dat het te donker wordt.
>
> Voor je hier het gewicht van mensen gaat afwegen over onderwerpen waar
> je zelf geen jota van snapt, is het misschien goed van het volgende
> standaardwerk eens aandachtig te lezen:
Welk encryptiesysteem wordt nu eigenlijk gebruikt? Symmetrisch of
asymmetrisch (public key cryptography)?
[knip]
Jon Smid
Dat klopt wel. Ze doen het via het mannetje van de maan, die code
doorgeven. Oorspronkelijk was dat een zeer veilige manier. Edoch hebben
ze geen rekening gehouden met lunatics. Sindsdien is het om zeep met de
bankkaart beveiligingen. Maar eens de maanlandingen vanuit de Arizona
woestijn worden overgedaan op de echte maan, gaan ze proberen het
mannetje van de maan een nieuw taaltje aan te leren. Dan zou het weer OK
moeten zijn.
vg...@skynet.be
> "Murkha" <spamfrett...@telenet.beInvalidebeburgerrechten> schreef in berichtnews:mn.5b8a7d82087ac004.67704@Ik-zet-hier-wat-ik-wil-maar-nooit-meer-telenet-uitroepteken...
>
>
>
> > vg...@skynet.be microgolfde op 11/02/2008, zo rond 0:11:18, dit culiterair
> > hoogstandje:
>
> >> On 4 feb, 20:32, inox <o...@usenet.invalid> wrote:
> >>> straatloper wrote:
>
> >>>> "Murkha" <spamfrett...@telenet.beInvalidebeburgerrechten> schreef in
> >>>> bericht
> >>>>news:mn.243d7d82b6456dcd.67704@Ik-zet-hier-wat-ik-wil-maar-nooit-meer-telenet-uitroepteken...
>
> >>>> Een brute attack ga je uiteraard niet uitproberen in een betaalautomaat
> >>>> he
> >>>> slimmeke.
> >>>> Daarvoor gebruik je een zelf gemaakte kaartlezer
>
> >>> Bij de OP gaat het om een bankcontact kaart, hierbij is steeds een
> >>> verbinding met de centrale computer vereist. De beveiliging is
> >>> drieledig,
> >>> nl de PIN code, de sleutel op de kaart en de centrale computer.
>
> >> hun eigen computer en dan in de daluren alles doorsturen naar banksys.
> >> Dus MOET de PIN-code in de kaart zitten. Hoe anders?
>
> > voldoende cash op de rekening staat?
>
> Wij wachten in spanning op de reply....
>
> *g*
>
> --
> Ne Varietur
> "Aliquando praeterea, rideo, jocor, ludo, homo sum" -
> "Soms lach ik bovendien, maak ik gekheid; speel ik, ben ik mens"
De kaarten hebben toch een limiet? Het in het "rood" gaan tot aan de
limiet wordt bovendien automatisch aangezuiverd vanuit de bankrekening
van de kaarthouder. Onze gestolen kaart werd gebruikt tot aan de
limiet. Het was dus niet nodig om in spanning te zitten.
vg...@skynet.be
Tot aan franse grens:omdat je daar een kaart kunt gebruiken zonder te
moeten pinnen: zelf ondervonden bij Auchan. Psychologische schade is
er zeker bij de bestolene, vooral omdat deze invalide is (laffe
aanval).
vg...@skynet.be
> On Mon, 11 Feb 2008 23:46:53 +0100, Jon Smid <Varkensv...@hotmail.com>
> wrote:
>
> >> Een creditcard die geblokkeerd raakte door minimaal 3 maal een
> >> verkeerde pincode in te geven wordt gedeblokkeerd zonder ingave van
> >> enige pincode zodat er terug 3 pogingen mogelijk worden? Hallo?
>
> >> Eigenaardig? Ja!
>
> >*als* dat zo al is , dan is het _nog_ geen bewijs dat de pin code op
> >enige manier op de kaart staat. *als* dus.
>
> geldautomaat je kaart niet alleen leest, maar er ook op schrijft
> indien nodig.
Dat is ook zo, want je kan zelf je PIN-code aanpassen in die
geldautomaat.
vg...@skynet.be
Jammer dat deze discussie die zou kunnen resulteren in een veiliger
systeem, nu een scheldpartij wordt.
FIsc
Het belangrijkste is dat jij een link hebt waar er aangegeven staat
dat het mogelijk is om pincodes van kaarten uit het banksys systeem
zelf te krijgen (of het nu op de kaart zelf staat heeft verder weinig
belang omdat door het gebruik van de kaart - via het banksys systeem -
de benodigde pincode kan verkregen worden.
FIsc
<spamfrett...@telenet.beInvalidebeburgerrechten> wrote:
> vg...@skynet.be microgolfde op 12/02/2008, zo rond 23:47:07, dit
> culiterair hoogstandje:
>
> > Tot aan franse grens:omdat je daar een kaart kunt gebruiken zonder te
> > moeten pinnen: zelf ondervonden bij Auchan. Psychologische schade is
> > er zeker bij de bestolene, vooral omdat deze invalide is (laffe
> > aanval).
>
> .fr geld afgehaald. Eerst een poging bij La Poste, die liet me het hele
> repertoire (da's dus inclusief pinnen) afwerken om dan doodleuk te
> melden dat de kaart 'pas compatible avec le systeme' was. Beetje verder
> stond een automaat met het Masterkaartlogo op, pinnen en drukken op
> confirmation of ik stond er nog te wachten op m'n geld.
>
> --
> mvg, Valère
> Wie de hond slaat, heeft licht een stok
Leer eerst begrijpend lezen? Afhalen van geld is totaal iets anders
dan betalen met diezelfde bankkaart voor een aankoop in een winkel.
inox
>> Jammer dat deze discussie die zou kunnen resulteren in een veiliger
>> systeem, nu een scheldpartij wordt.
>
> Het belangrijkste is dat jij een link hebt waar er aangegeven staat
> dat het mogelijk is om pincodes van kaarten uit het banksys systeem
> zelf te krijgen (of het nu op de kaart zelf staat heeft verder weinig
> belang omdat door het gebruik van de kaart - via het banksys systeem -
> de benodigde pincode kan verkregen worden.
Je zou beter zelf uw link eens herlezen en ook de referenties die erin
gegeven worden, je zou dan tot de conclusie kunnen komen dat het *niet* om
Banksys gaat en dat het *niet* om gestolen kaarten gaat.
<http://www.informationweek.com/showArticle.jhtml;?articleID=181502068>
<http://www.boingboing.net/2006/03/05/citibank-under-fraud.html>
<http://www.boingboing.net/2006/03/06/citibank-security-br.html>
Bij Banksys staat de PIN *niet* op de kaart, zelfs niet versleutelt.
Als jij je PIN aanpast via een terminal wordt er een nieuwe passphrase op
de centrale Banksys computer gezet, er wordt niks op de kaart zelf
geschreven. Een nieuwe PIN kiezen kan alleen maar door eerst in te loggen
met de oude.
Het misbruik van de kaart zelf kan alleen maar door het kennen van de PIN.
De OP zijn kaart is gestolen en de dief heeft voordien zijn PIN zien
ingeven, dat kan dagen ervoor gebeurd zijn, door iemand die achter hem
stond, door een spiegel, door een camera enz. Meer moet je daar niet
achter zoeken.
Als er ooit fraude gepleegd wordt zal dat via de centrale Banksys computer
zijn en hoogst waarschijnlijk met medewerken van een insider.
--
inox
vg...@skynet.be
<spamfrett...@telenet.beInvalidebeburgerrechten> wrote:
> vg...@skynet.be microgolfde op 12/02/2008, zo rond 23:47:07, dit
> culiterair hoogstandje:
>
> > moeten pinnen: zelf ondervonden bij Auchan. Psychologische schade is
> > er zeker bij de bestolene, vooral omdat deze invalide is (laffe
> > aanval).
>
> .fr geld afgehaald. Eerst een poging bij La Poste, die liet me het hele
> repertoire (da's dus inclusief pinnen) afwerken om dan doodleuk te
> melden dat de kaart 'pas compatible avec le systeme' was. Beetje verder
> stond een automaat met het Masterkaartlogo op, pinnen en drukken op
> confirmation of ik stond er nog te wachten op m'n geld.
>
> --
> mvg, Valère
> Wie de hond slaat, heeft licht een stok
Probeer maar eens bij Auchan, aan Kortrijk de grens over en dan de
eerste afrit. Pinnen hoeft daar echt niet.
alex
>
> - Tekst uit oorspronkelijk bericht weergeven -
Akkoord, maar je schreef in je aanvankelijke tekst dat er geld werd
afgehaald uit een bancontactterminal. Bancontact bestaat alleen in
België en geld halen uit eender welke terminal ter wereld moet met een
pincode gebeuren.
Uit jouw initiële tekst leid ik nog steeds af dat er dieven zijn die
geld uit een Belgische automaat haalden, dit een half uur na de
diefstal, zonder dat ze de geheime code kenden of konden lezen.
Overigens betwijfel ik dat men met Bancontact in een Franse winkel kan
betalen; wel met de maestro functie (indien aanwezig) of met Visa en
inderdaad in sommige gevallen zonder pincode. Dat gold tot voor kort
overal met een Visa kaart trouwens: een handtekening was voldoende.
Alex
Ribbedebie
Misschien toch ook dit eens lezen en je zal zien dat de ingetikte PIN
_niet_ zomaar in leesbare vorm wordt doorgestuurd en dat er nog
bijkomende beveiligingen zijn die niet zomaar toelaten de PIN code te
bemachtigen:
<http://paladion.net/papers/ATM_Pin_Security.pdf>
Ook het probleem van wijziging van de PIN kan je trouwens eens
bekijken en hoe het opgelost werd.
En lees heel goed blz. 4:
"Note that in this process, the Natural PIN never leaves the tamper
proof PIN Machine, and the PIN machine does not have to store
individual PINs of all the users. Instead, it securely stores the DES
key for generating the Natural PIN from each user’s card number".
Dirk Claessens
message
<d8970ce5-1f5e-4d67...@z17g2000hsg.googlegroups.com>
>> <http://paladion.net/papers/ATM_Pin_Security.pdf>
>>
>> Instead, it securely stores the DES
>> key for generating the Natural PIN from each user's card number".
>
> Heb je dit laatste zinnetje gelezen? Een sleutel om de pin van een
> kaart te genereren?
Que? ik lees dat daar helemaal niet...
In dat zinnetje staat NATURAL pin; er is ook nog zoiets als een
pin-OFFSET, en dan nog de door de gebruiker INGEGEVEN pin.
Karanog
wrote:
>Overigens betwijfel ik dat men met Bancontact in een Franse winkel kan
>betalen; wel met de maestro functie (indien aanwezig)
Voor zover ik weet hebben tegenwoordig alle Bancontactkaarten een
Maestro functie.
Mocht dat niet zo zijn, ik ben geïnteresseerd in een bank die een
Bancontactkaart uitgeeft waar Maestro er niet automatisch bijzit.
Karanog
vg...@skynet.be
@Alex: het betrof idd een maestrokaart. Dus betalen in Frankrijk
zonder te pinnen was mogelijk.
En idd, ze haalden geld uit een Belgische automaat met onze kaart
zonder dat ze de pin-code konden kennen.
Hoe doen ze het? De enige blogger hier die blijkbaar wil helpen is tot
nu toe Fisc geweest. Anderen doen hun uiterste best om het idee te
neutraliseren, soms met dubieuze argumenten. Als die dan weerlegd
worden of tegengesproken, nemen ze hun toevlucht tot schelden. Waarom?
Is dat in opdracht van Banksys of zo? Waarom anders doen ze dat? Hun
reacties lijken soms verdacht veel op sabotage van de zich
ontwikkelende logische gedachtengang. Dus nog eens: het is gebeurd
zoals beschreven, maar hoe was dat dan mogelijk?
De door een oplettende winkelbediende aan de politie opgegeven
persoonsbeschrijvingen stemden overeen met beschikbare foto's in het
politiearchief. De kaart werd een week later ingeslikt in Charleroi
(na blokkering).
Van de vermoedelijke, erg "oost-europees" (Roemeens?) uitziende daders
geen spoor meer.
alex
Maar is dus - gelukkig - niet gebeurd.
> En idd, ze haalden geld uit een Belgische automaat met onze kaart
> zonder dat ze de pin-code konden kennen.
Dat was in feite de enige bevestiging die ik nodig had: niet dat ik
hiermee je vraag kan beantwoorden, maar hiermee kunnen we al een
aantal hypotheses schrappen en is de discussie over het gebruik van de
kaart in Frankrijk compleet irrelevant hier.
>
> Hoe doen ze het? De enige blogger hier die blijkbaar wil helpen is tot
> nu toe Fisc geweest. Anderen doen hun uiterste best om het idee te
> neutraliseren, soms met dubieuze argumenten. Als die dan weerlegd
> worden of tegengesproken, nemen ze hun toevlucht tot schelden. Waarom?
> Is dat in opdracht van Banksys of zo? Waarom anders doen ze dat?
Het kan erger: de professionelen, wat schelden betreft, vind je zonder
al te veel zoeken in be.politics. Doorgaans tragikomisch om te
lezen, zeker naarmate het later wordt en de invloed van alcohol
duidelijk te merken valt.
> Hun
> reacties lijken soms verdacht veel op sabotage van de zich
> ontwikkelende logische gedachtengang. Dus nog eens: het is gebeurd
> zoals beschreven, maar hoe was dat dan mogelijk
> De door een oplettende winkelbediende aan de politie opgegeven
> persoonsbeschrijvingen stemden overeen met beschikbare foto's in het
> politiearchief.
Winkelbediende aan een geldautomaat? Afijn, ja, het kan natuurlijk.
De vraag van hoe het kan, laat ik nog steeds in het midden: blijkbaar
moet er iemand een toestelletje ontworpen dat je kaart kan decoderen /
lezen / herschrijven. Maar hoe dit praktisch kan, ondanks de
technische uitleg van Dirk, moeten anderen maar proberen te verklaren:
ik ben geen IT'er.
Alex
FIsc
Ik had toch reeds aangegeven wat er technisch kan gebeurd zijn:
Hier een overduidelijke link die spreekt over een systematische
diefstal van pincodes, alle twijfel is nu weg:
http://www.vbds.nl/index.php?option=com_content&task=view&id=374&Item...
"'PIN-based fraud schemes involve hackers somehow gaining access to
the encrypted PIN data that is sent along with card numbers to
processors that execute PIN debit transactions. The thieves also steal
terminal keys used to encrypt PINs, which are typically stored on a
retailer's terminal controllers. The encrypted PIN information,
together with the key for decrypting it and the card numbers, allow
criminals to make counterfeit cards, that enable them to withdraw cash
at ATM machines'. "
vg...@skynet.be
@Alex:
Nee, natuurlijk geen winkelbediende aan een geldautomaat. Maar de
eveneens gestolen VISA-kaart werd gebruikt voor 2 dure aankopen in een
modezaak (+- 500 en 600 EURO). Het was wel fout dat de twee kaarten
dezelfde pin-code hadden. De eerst gebruikte kaart was de Maestro, dus
via deze wisten ze ook de code op de visa. Ze waren clever genoeg om
het eens, en met succes, te proberen. Onze fout, ok! maar het probleem
blijft.
alex
Kan dit op een half uur tijd, want dat is de tijdspanne tussen de
diefstal en geldafname aan een automaat met gebruik van de pincode.
Uit je voorgaande tekst leid ik af dat ze de gegevens gebruiken om een
nieuwe kaart aan te maken. Concreet: de kaart wordt door een
zakkenroller gestolen en onmiddellijk daarna aan een handlanger
doorgegeven: ik vermoed dat ze toch een computerinstallatie ter
beschikking moeten hebben? Ik had de vragen aan OP gesteld want een
half uur om een kaart te decoderen (en blijkbaar een ander aan te
maken) lijkt me extreem kort te zijn. Maar nogmaals: ik ben IT'er...
Alex
vg...@skynet.be
@Alex: kijk eens op "security.nl", dond. 21 febr. 2008, 10.29.
Daar staat bij "Hacker kraakt en kloont creditcards":
tijdens de Black Hat conferentie in Washington werd gedemonstreerd hoe
een creditcard te klonen.
"hij wilde weten wat er op de magneetstrip te vinden was en
ontwikkelde hiervoor het programma "Chapv" dat werkt met een
kaartlezer" enz. Dus een "massiv attack" is helemaal niet meer nodig.
De fraudeurs hebben de kaartlezer en hun labtop gewoon bij zich in hun
auto en kunnen de gestolen kaarten direct gebruiken.
Jammer voor de slachtoffers. Wie heeft er nog door Banksys
geinspireerd kommentaar?
Gunter Schelfhout
[knip]
>
> @Alex: kijk eens op "security.nl", dond. 21 febr. 2008, 10.29.
> Daar staat bij "Hacker kraakt en kloont creditcards":
> tijdens de Black Hat conferentie in Washington werd gedemonstreerd hoe
> een creditcard te klonen.
> "hij wilde weten wat er op de magneetstrip te vinden was en
> ontwikkelde hiervoor het programma "Chapv" dat werkt met een
> kaartlezer" enz. Dus een "massiv attack" is helemaal niet meer nodig.
> De fraudeurs hebben de kaartlezer en hun labtop gewoon bij zich in hun
> auto en kunnen de gestolen kaarten direct gebruiken.
> Jammer voor de slachtoffers. Wie heeft er nog door Banksys
> geinspireerd kommentaar?
Wel, geef meer (technische) details, of heb je weer selectief gelezen?
FIsc
wrote:
De DES en TRIPLE DES omzetting is terug te vinden.
http://groups.google.nl/group/alt.folklore.computers/msg/5dea172573c0c809
http://www.daniweb.com/blogs/entry2115.html
http://www.darkreading.com/document.asp?doc_id=146500&f_src=darkreading_informationweek
http://blogs.zdnet.com/ip-telephony/?p=2137
Zoek op "Black Hat creditcard" en daar komt alles te voorschijn over
de onveiligheid van kaarten.
Black Hat Lifts the Cover Off ID Theft Phishing Networks
( Page 1 of 2 )
Researchers warn that the whack-a-mole approach to disabling fake
banking sites is a huge waste of time.
WASHINGTON--A four-month investigation into the inner workings of the
phishing scourge that drives identity theft attacks has uncovered an
underground ecosystem of compromised Web servers, do-it-yourself
phishing kits, brazen credit card thieves and lazy code copycats.
At the Black Hat DC Briefings here, security researchers Billy Rios
and Nitesh Dhanjani shared the findings of their investigation into
the phishing epidemic and warned that the whack-a-mole approach to
disabling fake banking sites is a huge waste of time.
"I was floored by what's out there," Rios said. "They call them
"fullz" on the phishing sites ... full names, credit card numbers, ATM
numbers with PIN codes, social security numbers, addresses, phone
numbers, all publicly available. It's staggering."
Rios, a security engineer at Microsoft (he conducted the phishing
research as a private citizen), said the characteristics of many
phishing schemes suggest that most of the attackers are unskilled and
lazy copycats.
"Basically, they're using Google to find [vulnerable] Web servers and
using do-it-yourself phishing kits to set up the attack. We're not
dealing with sophisticated ninja hackers," he said, pointing to one
scenario where a phisher was stealing data from another phisher.
In that case, the identity thief was using code ripped from a phishing
kit and never realized that every piece of data he/she was stealing
was being e-mailed to the author of the phishing kit.
"It was coded right into the kit. One was stealing from the other
without much effort," Rios said.
During the course of their investigation, Rios and Dhanjani used
verified phishing sites from the PhishTank project and followed a
trail of clues that led to carder sites (where credit card data is
traded) and phishing forums.
"We were able to find about 100 phishing kits, with the name of every
bank in the world hard-coded into the kit. The extent of this is
pretty staggering."
Armed with basic information from the kits, Dhanjani explained how
phishers use simple Google queries to uncover significant amounts of
personally identifiable information.
"If you're a business targeted by phishers, whether you're PayPal or a
bank, you're playing whack-a-mole," Dhanjani said. "As an industry,
we're spending all our resources of finding phishing URLs, mapping
them to IP addresses and calling up ISPs to get them taken offline.
It's become difficult and cumbersome."
He even pointed to a weakness in the anti-phishing blacklists that
maintain databases of malicious phishing URLs. In some cases, the URLs
expose the administrator username and password, meaning that any
attacker can use data from blacklists to pounce on compromised
servers.
"If I'm a phisher, all I have to do is go to a blacklist and help
myself to compromised hosts. If they're compromised, they already have
a backdoor for all kinds of malicious activity," Dhanjani explained.
On one verified phishing site, Dhanjani and Rios typed in a fake
username/password scheme and intercepted the POST request to see where
the data was being sent.
"It was going to a guestbook site, posting the username and password
in plain text. We went to that site and found about 59,000 bank
credentials," Rios said.
On another compromised server, the researchers found that directory
indexing had been turned on, showing exactly where the phishing
backdoor was set up. "Whoever set this up didn't bother to password-
protect this. We were able to get access to the backend PHP script to
see what he was doing."
With information gleaned from the PHP script, the researchers punched
a few search queries into Google and hit pay dirt.
"Just in the Google summary, without clicking through to the
[phishing] site, we were staring at people's names, bank account
numbers, PIN numbers, mother's maiden names. Within a matter of 15
minutes, we were looking at everything they had stolen," Dhanjani
said.
He showed screenshots of Web forums that were advertising sensitive
data for sale ($15 for a complete identity or 15 cents if you're
purchasing in bulk) and other sites that contained multiple ready-to-
use, easy-to-deploy phishing kits.
Rios also found information on ATM skimmers--hardware that can be
slotted onto legitimate ATM machines--that can hijack full magnetic
stripe data and even store every entry made on an ATM keypad.
"I've stopped using ATMs. After what I've seen on those sites, I'm
just too paranoid," Rios said.
Dirk Claessens
message
<47da60db-7101-4b81...@s8g2000prg.googlegroups.com>
>
> Zoek op "Black Hat creditcard" en daar komt alles te voorschijn over
> de onveiligheid van kaarten.
>
Zoek jij eerst een avondje of 2..3 op "phishing" en tracht _vooraf_
eens _begrijpend_ te lezen wat die techniek eigenlijk concreet _inhoud_
vooraleer hier weer je copy/paste bagger te dumpen...