Biometrische beveiliging is onvoldoende om geldautomaten tegen criminelen te beschermen

Veel financiële organisaties biometrische oplossingen beschouwen als een van de meest veelbelovende toevoegingen aan huidige authenticatiemethoden, zo niet als een complete vervanging ervoor. Cybercriminelen zien biometrische beveiliging juist als een nieuwe kans om gevoelige informatie te stelen.

Hiervoor waarschuwen experts van Kaspersky Lab, die hebben onderzocht hoe cybercriminelen misbruik kunnen maken van door banken geplande nieuwe authenticatietechnologieën voor geldautomaten. Het begon allemaal met primitieve ‘skimmers’ – zelfgemaakte apparaten die werden aangesloten op een geldautomaat en gegevens konden stelen van de magnetische strippen van passen, waarbij via een nep pincode-toetsenblok of een webcamera ook de bijbehorende pincodes werden verkregen. In de loop der tijd werd het ontwerp van dergelijke apparaten verbeterd zodat ze minder zichtbaar werden.

‘Shimmers’
Met de implementatie van veel moeilijker te klonen chip/pinbetalingskaarten groeiden de apparaten uit tot zogenoemde 'shimmers'. Deze zijn nu in staat om informatie te verzamelen van de chip op de kaart, wat voldoende informatie oplevert om een online relay-aanval uit te voeren. De bancaire sector reageerde hierop met nieuwe authenticatieoplossingen, waarvan sommige zijn gebaseerd op biometrie.

Cybercriminelen spelen hier op dit moment op in. Volgens een Kaspersky Lab-onderzoek naar ondergrondse cybercriminaliteit zijn er al ten minste twaalf verkopers die skimmers aanbieden die de vingerafdrukken van slachtoffers kunnen stelen. Verder doen ten minste drie ondergrondse verkopers al onderzoek naar herkenningssystemen die illegaal gegevens kunnen verkrijgen van handpalmaders of irissen. Er zijn daarnaast aanwijzingen dat in ondergrondse gemeenschappen discussies gaande zijn over de ontwikkeling van mobiele applicaties, gebaseerd op het plaatsen van maskers over menselijke gezichten. Met een dergelijke toepassing kunnen aanvallers een op sociale media geplaatste foto van iemand nemen en deze gebruiken om een gezichtsherkenningssysteem te misleiden.

Rapport
Kaspersky Lab geeft in het volledige rapport meer informatie over aankomende cyberdreigingen tegen geldautomaten en de maatregelen die kunnen worden getroffen om banken tegen dit soort dreigingen te beschermen.