Kartu Pembayaran Belanda yang Diupgrade Masih Rentan terhadap Relay Attack

Fitur keamanan baru yang diimplementasikan ke kartu pembayaran Belanda tidak akan menghentikan jenis serangan yang dapat digunakan penipu di masa depan untuk mencuri uang dari rekening bank, menurut para peneliti di University of Cambridge di Inggris

Steven J. Murdoch dan Saar Drimer dari Kelompok Komputer Cambridge berdemonstrasi pada acara televisi Belanda "Goudzoekers" pada hari Rabu bahwa kartu pembayaran dengan fitur keamanan baru masih rentan terhadap apa yang disebut serangan relay.

Serangan relay adalah cara di mana penipu menggunakan teknologi nirkabel untuk mendapatkan detail kartu bank dan PIN (Nomor Identifikasi Pribadi) untuk kartu pembayaran chip-dan-PIN yang digunakan di seluruh Eropa. Kartu Chip-dan-PIN mengharuskan seseorang memasukkan PIN empat digit pada perangkat titik penjualan atau mesin uang tunai, dengan PIN diautentikasi dengan microchip yang tertanam di kartu.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Dalam serangan relay, rincian kartu korban dicatat melalui terminal pembayaran yang dirusak. Nomor PIN diamati oleh penipu dan kemudian dikomunikasikan kepada kaki tangan yang melakukan transaksi simultan di tempat lain. Kaki tangan memiliki kartu pembayaran palsu, nirkabel-enabled yang menggunakan rincian bank korban yang diterima dari terminal pembayaran yang dirusak untuk membuat transaksi penipuan.

Serangan relay ditunjukkan oleh Drimer dan Murdoch pada 2007, tetapi tidak diyakini aktif digunakan oleh penjahat karena ada cara yang lebih mudah sekarang untuk berkompromi dengan kartu pembayaran, kata Murdoch.

Bank di Inggris dan Belanda memiliki rencana untuk meningkatkan kartu pembayaran dengan fitur keamanan baru untuk mencegah berbagai jenis serangan. Murdoch dan Drimer menguji kartu yang diterbitkan oleh satu bank Belanda yang memiliki tiga fitur baru.

Salah satunya adalah otentikasi data dinamis, yang memungkinkan kartu untuk diverifikasi sebagai asli tanpa perlu menghubungkan kembali ke sistem bank. Itu mencegah apa yang disebut serangan "ya", di mana PIN apa pun akan diterima untuk transaksi. Fitur lain memastikan bahwa PIN pelanggan dienkripsi selama komunikasi antara terminal pembayaran dan kartu, mencegah intersepsi PIN teks biasa.

Fitur baru terakhir disebut iCVV. Kartu Chip-dan-PIN sebelumnya berisi salinan informasi strip magnetik, yang berisi rincian akun dalam microchip kartu. Dengan iCVV, informasi garis magnetik lengkap tidak lagi disimpan dalam chip, kata Murdoch.

Tidak ada satupun dari ketiga fitur itu menghentikan serangan relay, seperti yang ditunjukkan di acara itu, kata Murdoch. Namun, tidak satupun dari mereka dirancang khusus untuk menghentikan serangan relay, katanya. Produser "Goudzoekers" ingin melihat apakah kartu-kartu baru itu masih rentan terhadap serangan relay, kata Murdoch. Acara tersebut hanya membayar untuk penerbangannya dan Drimer ke Belanda untuk melakukan percobaan, Murdoch mengatakan.

Murdoch, yang telah melakukan penelitian ekstensif terhadap keamanan kartu chip-dan-PIN, mengatakan dia dan Drimer tidak berpikir fitur baru akan mencegah serangan relay. Namun, mereka menerima komisi acara untuk mendapatkan "lebih banyak pengalaman dalam sistem negara lain," katanya.

Asosiasi Perbankan Belanda menolak percobaan terbaru, mengatakan dalam sebuah pernyataan bahwa serangan estafet hampir tiga tahun dan terlalu rumit dan kompleks untuk diimplementasikan dalam skala luas.

Murdoch mengakui bahwa serangan relay sulit untuk dilakukan. Tapi seperti halnya, serangan yang lebih mudah ditutup karena fitur keamanan yang lebih kuat dalam kartu, mungkin para penjahat "mungkin mulai mencari ini," katanya.

Asosiasi perbankan berpendapat bahwa "penjahat terlalu bodoh dan malas, "Kata Murdoch. "Penjahat itu pemalas, tapi mereka tidak bodoh."