Lek in beveiligingsprotocol creditcardmaatschappijen

Volgens Rik Ferguson van het anti-virusbedrijf Trend Micro, biedt het beveiligingsprotocol van Visa en MasterCard geen bescherming tegen cybercriminelen. Het wachtwoord kan na een aantal handelingen eenvoudig worden gereset.

Er zit een ontwerpfout in het protocol wat creditcardhouders moet beschermen tegen fraude. Visa introduceerde in 2011 het 3DS-protocol (3 Domain Secure), om online fraude tegen te gaan. Het 3DS-protocol staat ook wel bekend als ‘Verified by Visa’, ‘MasterCard Secure Code’ en ‘SafeKey’.

Volgens Ferguson is het probleem ontstaan door een basale ontwerpfout en kunnen cybercriminelen door middel van creditcardgegevens kinderlijk eenvoudig het wachtwoord resetten. Voor het wijzigen van het wachtwoord is het opgeven van het creditcardnummer vereist. Daarna wordt gevraagd om de beveiligingscode, verloopdatum, uitgiftedatum en geboortedatum. ‘Drie van de vier gegevens zijn al tijdens de creditcarddiefstal buitgemaakt", stelt Ferguson. Tegenwoordig is het vinden van de geboortedatum vrij eenvoudig door sociale netwerken maar ook openbare gegevens.

Wanneer de cybercrimineel de gegevens heeft ingevoerd, dan kan hij een nieuw wachtwoord kiezen. Het opvallende is dat de creditcardhouder nooit per e-mail op de hoogte wordt gehouden van een gewijzigd wachtwoord. De fraude wordt op deze manier pas zichtbaar op de afschriften. Trend Micro pleit er daarom voor dat creditcardmaatschappijen een ‘reset URL’ naar een geregistreerd e-mailadres sturen, waarmee de houder het wachtwoord kan resetten. Vervolgens zou er een bevestigingsmail moeten worden gestuurd, na het wijzigen van het wachtwoord.