Apparaatje van 10 dollar emuleert honderden creditcards

Een klein apparaatje van 10 dollar kan zich voordoen als honderden creditcards en daarmee draadloze transacties verrichten. Bovendien omzeilt het de EMV-chipbeveiliging.

De beruchte hacker Samy Kamkar heeft een apparaatje ter grootte van een muntstuk gemaakt waarmee hij vervangende creditcards van American Express kan emuleren. De zogeheten MagSpoof kan namelijk nieuwe, valide kaartnummers en vervaldatums voorspellen. Kamkar ontdekte dat zijn nieuwe kaart door een relatief eenvoudig algoritme was afgeleid van zijn oude kaart, nadat hij zijn eigen Amex-kaart was kwijtgeraakt. De meeste creditcards maken nieuwe nummers aan op basis van een nogal oud algoritme.

Ook bij non-draadloze betaalautomaten

MagSpoof kan nieuwe nummers aanmaken, daar enkele honderden stuks van opslaan en er makkelijk tussen wisselen. Daarbij kan het ook bijbehorende magneetstripinformatie bewaren, die door de gebruiker wel eerst ingevoerd moet worden. De hackgadget kan zo elke creditcard met een willekeurig nummer of magneetstrip laten doorgaan voor een specifieke, valide creditcard.

Hackers kunnen hiermee ook draadloze betalingen verrichten, claimt Kamkar. Zelfs bij betaalautomaten die dit niet ondersteunen. Zijn goedkope apparaatje vormt namelijk een relatief sterk elektromagnetisch veld, dat dan een traditionele magneetstrip emuleert. Voor deze draadloze betaalfunctionaliteit is dus geen NFC- (near field communication) of RFID-chip (radio-frequency identification) vereist.

Extra beveiliging omzeilen

Bovendien omzeilt MagSpoof de beveiliging van EMV-chips (ook wel chip-and-pin genoemd) die in moderne betaalkaarten zijn verwerkt. Kamkars gadget kan een legitiem signaal afgeven waarmee de nagemaakte betaalkaart aangeeft dat het geen EMV-chip heeft, wat betaalautomaten dan kunnen accepteren. In het huidige ontwerp van MagSpoof is het bereik enkele centimeters.

Terwijl Kamkar het hardware-ontwerp van zijn Amex-hackgadget openlijk vrijgeeft, houdt hij de echt gevoelige elementen onder de pet. Dit zijn de softwarecode voor de EMV-omzeiling en het door hem uitgedokterde algoritme dat American Express gebruikt. Verder heeft hij de creditcardmaatschappij ingelicht, die zegt te werken aan een fix voor deze kwetsbaarheid, meldt The Register.

Draadloze autodiefstal

Kamkar heeft begin dit jaar een gadget van een tientje gemaakt waarmee draadloze toetsenborden van Microsoft zijn af te luisteren. Zijn keylogger is vermomd als een doodnormale USB-oplader die in een stopcontact hangt. Afgelopen zomer heeft hij op hackersconferentie Defcon een demonstratie gegeven van draadloze autodiefstal. Zijn RollJam-apparaatje kost 30 dollar en kan draadloos de sloten van diverse automerken en garagedeuren ontgrendelen.

Hij heeft tien jaar geleden, toen hij 19 jaar oud was, naam gemaakt door het toen grote sociale netwerk MySpace te hacken. Kamkar vond een fout in de code van die site en kon daardoor automatisch elke bezoeker van zijn profielpagina tot zijn vriend maken en hun profielomschrijving aanpassen. Daarmee kon hij zijn code voor deze MySpace-hack toevoegen aan andermans profielen, waarna zijn ‘virus’ zich snel verspreidde over het sociale netwerk. Dankzij zijn SamyWorm ging hij in 20 uur van slechts 73 vrienden naar meer dan een miljoen.

Kamkar demonstreert zijn 10$-hackgadget voor creditcards:

Deel dit artikel
Voeg toe aan favorieten