Usikre betalingssystemer

Usikre betalingssystemer

Kortterminaler og systemene bak dem har for dårlig sikkerhet.

Tilårskomne systemer og løsninger er utsatte for dataangrep. Selv om butikkene og bankene som opererer dem følger standardene til betalingskortindustrien (PCI-DSS - «Payment Card Industry Data Security Standards»), viser det seg at de datakriminelle likevel klarer å stjele betalingskortdata.

Dette kan være et problem i lang tid framover, fordi det er svært lange oppdateringssykluser på utstyret som leser betalingskort, og systemene som støtter transaksjonene.

Et eksempel på teknikkene i bruk, er «RAM scraping». Fordi kortleseren ikke krypterer dataene umiddelbart etter at kunden har dratt kortet, er det mulig å finne igjen kortdataene i klartekst i kortserverens minne. Det er flere kjente typer av malware som gjør slike angrep, som Backoff, BlackPOS og JackPOS. Et av de mest kjente angrepene av denne typen, er angrepet på den amerikanske butikkkjeden Target, der informasjon om nærmere 100 millioner betalingskort ble stjålet.

Selv ikke i den nyeste PCI-DSS-standarden, versjon 3.0, pålegges brukerstedene å bruke utstyr som gjør slik kryptering – noe som hadde eliminert denne angrepstypen. På mange måter kan man si at betalingsindustrien bruker 90-tallsteknologi for å forsvare seg mot moderne angrepsteknikker. Én mulig forklaring på dette er at betalingsindustrien er mer opptatt av å beholde sine kunder, enn å gjøre systemene så sikre som overhodet mulig.

Les mer om dette på Threatpost.com

Krypto-krav i Norge

Kommunikasjonssjef i Nets, Stein-Arne Tjore, bekrefter for Computerworld at dette ikke er et problem for norske kortterminaler. Selv om han riktignok ikke snakker for alle leverandører, så er det et krav fra Bankaxept at kortdata skal krypteres.

Kravet om kryptering har vært på plass i våre terminaler i en årrekke, påpeker han.

- Alle våre terminaler krypterer i kortleser, så dette er nok ikke så veldig aktuelt i Norge. Ettersom det er et krav fra Bankaxept gjelder det for alle terminaler som håndterer Bankaxept-kort, sier Tjore.

(Saken ble oppdatert 03.09.2014, 10:35 av Kenneth Christensen)

Les om: