अपग्रेड किए गए डच भुगतान कार्ड अभी भी रिले अटैक के लिए कमजोर

डच भुगतान कार्ड में लागू होने वाली नई सुरक्षा सुविधाओं को कैम्ब्रिज विश्वविद्यालय के शोधकर्ताओं के मुताबिक, बैंक खातों से धन चोरी करने के लिए भविष्य में धोखेबाज़ भविष्य में उपयोग कर सकते हैं। यूके में

कैम्ब्रिज के कंप्यूटर समूह के स्टीवन जे। मर्डोक और सायर ड्रिमर ने बुधवार को डच टेलीविजन शो "गौडोज़कर्स" पर प्रदर्शन किया कि नई सुरक्षा सुविधाओं वाला भुगतान कार्ड अभी भी तथाकथित रिले हमले के लिए कमजोर है।

एक रिले हमला एक तरीका है जिसमें धोखेबाज पूरे यूरोप में उपयोग किए जाने वाले चिप-और-पिन भुगतान कार्ड के लिए बैंक कार्ड विवरण और पिन (व्यक्तिगत पहचान संख्या) प्राप्त करने के लिए वायरलेस तकनीक का उपयोग करते हैं। चिप-एंड-पिन कार्डों को किसी व्यक्ति को पॉइंट-ऑफ-सेल डिवाइस या कैश मशीनों पर चार-अंकों का पिन दर्ज करने की आवश्यकता होती है, जिसमें कार्ड में एम्बेडेड माइक्रोचिप द्वारा प्रमाणित पिन होता है।

[आगे पढ़ने: मैलवेयर को कैसे हटाएं अपने विंडोज पीसी से]

रिले हमले में, पीड़ित के कार्ड विवरण एक छेड़छाड़ भुगतान टर्मिनल के माध्यम से दर्ज किए जाते हैं। पिन नंबर एक धोखाधड़ी द्वारा मनाया जाता है और फिर कहीं और एक साथ लेनदेन करने वाले एक साथी को सूचित किया जाता है। सहयोगी के पास एक नकली, वायरलेस-सक्षम भुगतान कार्ड होता है जो धोखाधड़ी करने वाले लेनदेन करने के लिए छेड़छाड़ किए गए भुगतान टर्मिनल से प्राप्त पीड़ित के बैंक विवरण का उपयोग करता है।

2007 में ड्रिमर और मर्डोक द्वारा रिले हमले का प्रदर्शन किया गया था, लेकिन ऐसा नहीं माना जाता है अपराधियों से सक्रिय रूप से उपयोग किया जाता है क्योंकि भुगतान कार्ड समझौता करने के लिए अब आसान तरीके हैं।

ब्रिटेन और नीदरलैंड दोनों में बैंकों ने विभिन्न प्रकार के हमलों को विफल करने के लिए नई सुरक्षा सुविधाओं के साथ भुगतान कार्ड अपग्रेड करने की योजना बनाई है। मर्डोक और ड्रिमर ने एक डच बैंक द्वारा जारी किए गए एक कार्ड का परीक्षण किया जिसमें तीन नई विशेषताएं हैं।

एक गतिशील डेटा प्रमाणीकरण है, जो किसी कार्ड को बैंक के सिस्टम से कनेक्ट करने की आवश्यकता के बिना वास्तविक के रूप में सत्यापित करने की अनुमति देता है। यह एक तथाकथित "हां" हमला रोकता है, जहां लेनदेन के लिए कोई पिन स्वीकार किया जाएगा। एक अन्य विशेषता यह सुनिश्चित करती है कि ग्राहक के पिन को भुगतान टर्मिनल और कार्ड के बीच संचार के दौरान एन्क्रिप्ट किया जाता है, जो सादे-पाठ पिन के अवरोध को रोकता है।

अंतिम नई सुविधा को आईसीवीवी कहा जाता है। चिप-और-पिन कार्ड में पहले चुंबकीय पट्टी जानकारी की एक प्रति शामिल थी, जिसमें कार्ड के माइक्रोचिप के भीतर खाता विवरण शामिल था। मर्डोक ने कहा कि आईसीवीवी के साथ, पूरी चुंबकीय पट्टी जानकारी अब चिप के भीतर संग्रहीत नहीं की जाती है।

शो में दिखाए गए तीनों में से किसी एक ने रिले हमले को रोक दिया, मर्डोक ने कहा। हालांकि, उनमें से कोई भी रिले हमले को रोकने के लिए विशेष रूप से डिजाइन नहीं किया गया था, उन्होंने कहा। मर्डोक ने कहा कि "गौडोज़कर्स" के निर्माता यह देखना चाहते थे कि नए कार्ड अभी भी रिले हमले के लिए कमजोर हैं या नहीं। मर्डोक ने कहा कि शो ने केवल नीदरलैंड को प्रयोग करने के लिए नीदरलैंड की उड़ानों के लिए भुगतान किया था।

मर्डोक, जिन्होंने चिप-पिन-पिन कार्ड की सुरक्षा में व्यापक शोध किया है, ने कहा कि वह और ड्रिमर ने नहीं सोचा था नई विशेषताएं रिले हमले को रोकेंगी। हालांकि, उन्होंने "अन्य देश के सिस्टम में अधिक अनुभव" प्राप्त करने के लिए शो के कमीशन को स्वीकार किया।

डच बैंकिंग एसोसिएशन ने एक बयान में कहा कि रिले हमले लगभग तीन साल पुराना है और यह है बहुत बोझिल और जटिल व्यापक पैमाने पर लागू किया जाना चाहिए।

मर्डोक मानते हैं कि रिले हमलों को खींचना मुश्किल है। लेकिन दूसरे के रूप में, कार्ड में मजबूत सुरक्षा सुविधाओं के कारण हमले के आसान रास्ते बंद हो गए हैं, ऐसा लगता है कि अपराधियों "इसे देखना शुरू कर सकते हैं।"

बैंकिंग एसोसिएशन का तर्क है कि "अपराधी बहुत बेवकूफ और आलसी हैं "मर्डोक ने कहा। "अपराधी आलसी हैं, लेकिन वे बेवकूफ नहीं हैं।"