Varastatud pangakaarti saab kasutada ka PIN-koodi teadmata
Briti teadlaste sõnul ei ole PIN-koodiga pangakaardid turvalised, sest kurjategijad on leidnud meetodi, kuidas kasutada varastatud pangakaarte PIN-koodi teadmata. Pettuse teeb võimalikuks asjaolu, et PIN-koodi sisestamisel põhinevas turvalahenduses on oluline turvaauk. Makseterminalile on võimalik jätta mulje, et sisestati korrektne PIN-kood, samas kui kaardile jäeti mulje, et isik tuvastati allkirja, mitte PIN-koodi abil. Selle tulemusel võib maksja sisestada terminali edukalt ükskõik millise koodi. Praktikas näeb pettus välja nii, et kaardiga on ühendatud sülearvuti, mille kurjategija saab peita näiteks oma seljakotti. Arvutis on vajalik tarkvara pettuse läbiviimiseks ning kaardi kiibi ja arvuti vahelise ühenduse tekitamiseks vajaliku juhtme saab kaardi kasutaja peita oma varrukasse. Sellist lahendust demonstreeris Cambridgei arvutiteadlane Saar Drimer ning seda saab näha siin. Lisaks Drimerile olid pettuse avastajate seas ka Steven Murdoch, Ross Anderson ja Mike Bond Cambridgei ülikoolist. Vastav tarkvara süsteemi ärakasutamiseks on nende kirjutatud, kuid kurjategijad on ilma kahtluseta süsteemi juba aastaid kuritarvitanud. Katsetasime erinevaid Briti pankade välja antud krediit- ja deebetkaarte. Nad on kõik sellise pettuse vastu kaitsetud, ütles Murdoch. Pettuse ohvriks langenud inimestel on oma õigusi hiljem väga raske kaitsta, sest pank väidab, et kaart tuvastati PIN-koodi abil ehk siis klient on olnud piisavalt hooletu, et kood on varastele kättesaadavaks saanud, kirjutas Physorg. Sellise pettuse läbiviimiseks vajalik tehnoloogia pole kuigi keeruline. Samas on seade ise niivõrd kompaktne, et seda saab poes kahtlust äratamata kasutada. Piisab ühest osavast kurjategijast, kes selliseid seadmeid ehitada oskab, et nendega oleks peagi varustatud paljud krediit- ja deebetkaartide vargad, ütles Drimer. Siiani on pangad väitnud, et kui kaart autoriseeriti PIN-koodi kasutades, siis on see klientide oma süü. Cambridgei teadlaste töö valguses on sellist väidet edaspidi väga raske õigustada. Klientidel on täielik õigus väita, et pankade poolt kasutatav turvalahendus ei ole tegelikult turvaline, mistõttu peaks kahjud kandma pank, mitte inimene, kellelt kaart varastati.
