Contactloos zakkenrollen dankzij fout in NFC-kaarten

Dieven kunnen met een aangepaste smartphone tot 1 miljoen pond stelen van NFC-passen zonder die te hoeven aanraken. Er blijkt een ernstige fout te zitten in het protocol voor contactloos betalen, waardoor fraude erg makkelijk wordt.

Betalingskaarten met NFC-chips (near field communication) maken het mogelijk om te betalen zonder de pas in een apparaat te hoeven steken. De kaart in de buurt houden van een betalingsterminal is voldoende om een bedrag te kunnen betalen. Ter bescherming tegen ‘digitaal zakkenrollen’ hebben EMV-passen ( Europay, MasterCard and Visa) een betalingslimiet die in Groot-Britannië op 20 pond ligt. Voor hogere bedragen moet de eigenaar zijn of haar pas toch in een PIN-automaat steken en daarop een PIN-code invoeren.

Vlak langs slachtoffers lopen

Deze bescherming blijkt echter een cruciale fout te bevatten, openbaren onderzoekers nu. Voor vreemde valuta, zoals euro’s bij Britse NFC-passen, geldt die limiet namelijk niet. Dieven kunnen per keer tot maximaal 9.999.999 euro, yen of kronen afschrijven van een NFC-pas. Daarvoor heeft de digitale zakkenroller slechts een eigen betalingsterminal (POS, point of sale) nodig, die prima valt te implementeren op een normale smartphone. Net zoals ‘analoog zakkenrollen’ is vlak langs het slachtoffer lopen voldoende.

Terwijl banken wel extra beschermingsmaatregelen hebben in hun systemen voor bijvoorbeeld de authenticatie van betalingen, kan de nieuw ontdekte kwetsbaarheid daaraan ontkomen. De contactloze diefstal gebeurt namelijk offline: de ‘aankoop’ wordt door de malafide betalingsterminal goedgekeurd. Bovendien is er volgens de ontdekkers zo een onbeperkt aantal ‘betalingen’ te verrichten, dus dieven kunnen het opvallende maximumbedrag van net niet 1 miljoen euro vermijden door telkens kleinere bedragen af te schrijven.

Dwars door portemonnee heen

De onderzoekers, verbonden aan de universiteit van Newcastle, hebben de kwetsbaarheid zelf uitvoerig getest met ook een eigen malafide POS-terminal in een smartphone. “Met slechts een mobiele telefoon konden we een POS-terminal creëeren die een pas kon lezen dwars door een portemonnee heen”, legt hoofdonderzoeker Martin Emms uit. Hij en zijn mede-onderzoekers presenteren hun ontdekking op beveiligingsconferentie CCS 2014 (ACM Conference on Computer and Communications Security) die deze week plaatsvindt in Scottsdale, Arizona.

Deel dit artikel
Voeg toe aan favorieten