Criminelen kunnen gestolen creditcards koppelen aan digitale portemonnees als Apple Pay, Google Pay en Paypal en daarmee gewoon aankopen doen. Dat lukt zelfs als de kaarten al zijn opgezegd en vervangen.
Dat blijkt uit een onderzoekspaper van drie academici gespecialiseerd in security. Het drietal heeft zijn bevindingen inmiddels gedeeld met de betreffende bedrijven en banken en presenteerde het resultaat van het gezamenlijke onderzoek op het Usenix Security 2024-symposium in het Amerikaanse Philadelphia afgelopen week.
Er schort volgens de onderzoekers Raja Hasnain Anwar, Syed Rafiul Hussain en Muhammad Taqi Raza van alles aan zowel de authenticatiemethode, autorisatiemechanismen en access control van zowel de aanbieders van digitale wallets als enkele onderzochte Amerikaanse banken die voorzien in betalingen met deze wallets.
Zoeken naar een ingang
Om een gestolen creditcard toe te voegen aan een digitale betaalmethode, proberen criminelen de naam van de kaarthouder (die staat immers op de kaart vermeld ) via andere bronnen te koppelen aan een huisadres. De criminelen gaan vervolgens op zoek naar wallets die een postcode (zip code) vereisen om een kaart te koppelen. Dat is een mogelijke ingang, aldus hoofdonderzoeker Raja Hasnain Anwar tegen The Register.
Ook als de rechtmatige eigenaar de kaart laat blokkeren, is het in sommige gevallen nog mogelijk om deze te gebruiken in de digitale wallet, bleek uit het onderzoek. Om dit voor elkaar te krijgen, is het wel noodzakelijk dat de kaart nog niet is geblokkeerd op het moment dat deze aan de wallet wordt gekoppeld. De aanvaller stelt daarna een minder strenge authenticatiemethode in, zoals het versturen van een eenmalige code via sms in plaats van het veiliger multifactor-authenticatie (MFA).
Helpdesk om de tuin leiden
Eventueel proberen de criminelen in dergelijke gevallen een kaart te koppelen door de helpdesk van de bank te bellen. Mits ze genoeg info voorhanden hebben (zoals postcode, de laatste vier cijfers van de kaart, geboortedatum van de eigenaar of diens BSN-nummer) lukt het nogal eens om de bankmedewerker voor de gek te houden.
Dat lukt zeker niet in alle gevallen, zeggen de onderzoekers. Maar dankzij de véle datalekken van de afgelopen jaren beschikt het dievengilde over een schatkamer aan persoonlijke informatie van miljoenen mensen. Als het lukt de informatie vanuit verschillende gestolen databronnen te koppelen, zouden de criminelen in veel gevallen over voldoende info beschikken om geloofwaardig over te komen.
Tip: Lijst met getroffen Snowflake-klanten sinds Ticketmaster-lek blijft groeien
De reden waarom het blokkeren of vervangen van de kaart niet werkt, is omdat het door de bank verstrekte security token voor de wallet is gekoppeld aan de oude, gestolen kaart. Een nieuw token wordt weliswaar gekoppeld aan de vervangende kaart, maar in de onderzochte gevallen blijft de oude connectie bestaan. De fysieke kaart is dan ongeldig gemaakt, maar z’n digitale broertje werkt nog. Ook bij het doen van aankopen vindt er geen check plaats om te controleren dat de gebruikte kaart bij degene hoort die de aankoop doet.
Terugkerende betalingen
Het is daarnaast mogelijk om via digitale wallets aankopen te doen met geblokkeerde kaarten als die aankopen zijn aangemerkt als ’terugkerende’ betalingen, ook als dat helemaal niet zo is. Dat heeft ermee te maken dat de banken het contract tussen koper en verkoper willen eerbiedigen.
De onderzoekers maakten in april van dit jaar melding van hun vondsten bij verschillende Amerikaanse banken zoals Chase, AMEX en Citi, evenals de aanbieders van digitale wallets. Enkele banken zouden de kwetsbaarheden inmiddels naar eigen zeggen hebben verholpen, Google gaf ook aan dat het maatregelen had getroffen. Een antwoord bleef uit van AMEX, Bank of America, US Bank, Apple en PayPal. Of dergelijk misbruik ook in Europa mogelijk is (geweest), is niet onderzocht.
De onderzoekers stellen dat gebruikers van digitale portemonnees pushmeldingen moeten aanzetten om meteen te zien dat een aankoop plaatsvindt. Ook adviseren ze het gebruik van authenticatie-software zoals Google Authenticator boven eenmalige wachtwoorden. Banken zouden bovendien strenger moeten controleren op terugkerende betalingen.
Lees ook: Digidentity-oprichter: “Europese digitale wallet is hét middel tegen datafraude”