Danske betalingskort er sikret mod Cambridge-trick ¢ men ikke i udlandet

I Danmark kan det ikke umiddelbart lade sig gøre at udnytte det sikkerhedshul i det udbredte EMV (Europay, Mastercard og Visa) betalingssystem, som også danskudstedte betalingskort er en del af.

Et hold forskere ved universitetet i Cambridge har ellers fundet et sikkerhedshul, fordi det såkaldte Unpredictable Number (UN), som er en del af sikkerheden i EMV-systemet, ikke altid er så uforudsigeligt, som navnet antyder.

UN'erne bliver genereret i hæveautomater og i de betalingskortterminaler, som står rundt omkring - eksempelvis i et supermarked, hvor flere læsere nok vil kende terminalen som enheden, de stikker deres Visa/Dankort i, når der skal betales for varerne ved kassen.

Ifølge Cambridge-rapporten er der imidlertid forskel på, hvor uforudsigelige de numre, som bliver genereret i betalingskortterminalerne, rent faktisk er. Og som Ingeniøren forleden kunne fortælle, så mener forskerne, at det kan lade sig gøre at klone kortoplysninger og udføre et såkaldt replay-angreb, hvis numrene, som terminalerne og hæveautomaterne genererer, kan forudsiges.

Læs også: Cambridge-forskere finder ny svaghed ved pinkode-beskyttede betalingskort

Men sådan er det ikke i Danmark - i hvert fald ikke for dankortterminalernes vedkommende, fastslår Søren Wingen, pressechef i Nets, der driver dankortsystemet.

»Det er vist på nogle lidt ældre terminaltyper. Det er meget usandsynligt, det kan ske i Danmark. Alle terminaler indeholder et PSAM-sikkerhedsmodul, og det betyder blandt andet, at numrene ikke vil kunne forudsiges,« siger han.

Problemet er de ældre systemer

Nets Søren Winge finder det heller ikke sandsynligt, at Cambridge-tricket vil kunne bruges på hæveautomater.

»Pinkoden bliver altid valideret centralt, og jeg har umiddelbart svært ved at se, hvordan man skulle kunne udnytte dette angreb til at få noget ud af en dansk hæveautomat,« siger han.

Men en ting er danske kort i danske maskiner, noget andet er danske betalingskort i terminaler og ATM'er, som hæveautomaterne også kaldes, i udlandet. Her er Søren Winge ikke fuldstændigt afvisende over for, at der kan være ældre systemer, hvor numrene måske kan forudsiges, så Cambridge-angrebet i teorien kan lade sig gøre.

»Det er klart, vi ikke kan udelukke, at det vil kunne gennemføres i udlandet med et dansk kort,« siger han.

Andre svindelmetoder er mere oplagte

Men Søren Winge påpeger, at der findes mere sandsynlige angreb, som EMV-systemet kan være sårbart over for, end det som forskerne ved universitetet i Cambridge nu har offentliggjort en rapport om.

Umiddelbart vil det være mere oplagt for svindlere at kopiere magnetstriben, som stadig sidder på chipkort, end at begynde at narre chip-and-PIN-systemet, som Cambridge-angrebet beskæftiger sig med, mener han.

»Det virker mere oplagt for gerningsmændene at sætte en skimmer op ved en automat og kopiere magnetstriben på et kort og aflæse pinkoden. Så kan man lave et falsk magnetstribekort, som vil kunne bruges sammen med koden i udlandet. Og det er også den type angreb, vi ser i praksis,« siger Søren Winge.