Nummertje trekken, niemand checken

We hebben kunnen lezen dat de Postbank af en toe de
pinbeveiliging uitschakelt om allerlei onderhoud te
plegen.  Als je daar niets van weet, merk je er ook niets
van.  Maar als je dat wel weet, kun je er kennelijk
misbruik van maken.  De Postbank vermoedt dat de oplichters
van binnenuit getipt worden over op handen zijnde
onderhoudsoperaties.  Dat is heel handig om te weten, want
dan staan er allerlei harde checks uit, bijvoorbeeld of een
pas geblokkeerd is, omdat hij gestolen is, en of de pas al
over zijn limiet heen zit.  In de krant lezen we dan dat je
heel moeilijk kunt gaan doen met pasjes stelen, of onder
een valse naam een pasje gaan aanvragen, maar je kunt dit
soort dingen ook anders aanpakken.

Laat ik eerst een onschuldig voorbeeld geven.  Een lezer
van de automatiseringsgids mailde me eens naar aanleiding
van een column dat hij het algoritme voor het checken van
een oormerk van een rund had gereverse engineered.  Ik had
iets geschreven over een oormerk dat ook een sofi-nummer
bleek te zijn, en hij wist me te vertellen dat dat toeval
was!  Het oormerk waar het om ging, bleek zowel een geldig
banknummer, een geldig sofi-nummer, als ook een oormerk te
wezen.  De lezer stuurde me bovendien wat Javascript code
waarin een en ander netjes uitgeprogrammeerd was.  Het
algoritme was niet eens heel voor de hand liggend:  het
eerste cijfer maal 3 tot de macht 7, het tweede maal 3 tot
de zesde, en zo verder tot aan het achtste cijfer maal drie
tot de nulde.  Nu even de som van de producten nemen, het
laatste cijfer met 7 vermenigvuldigen, daarvan weer het
laatste cijfer nemen, en dat moet gelijk zijn aan de
negende positie.

Ik hoor u denken: "Ieder zijn afwijking!  Dat je daar tijd
voor hebt!" Maar denk nu eens even na.  Als je de moeite
neemt om uit te zoeken hoe iemand checkt of een nummer
geldig is, kun je met evenveel gemak zelf die nummers gaan
genereren.  Je kunt dan de not-so-random nummers zelf gaan
trekken.  En als je dan weet dat niemand ze heel hard gaat
checken, zoals de Postbank wel eens doet, heb je een hobby
gevonden die zichzelf terug verdient.

Die hobby heet "carding" en je kunt op het Internet
programmaatjes downloaden die de meest uiteenlopende credit
card nummers voor je kunnen genereren.  Op een van die
sites kun je lezen: "This program is intended for
developers who are studying credit card algorithms."  En
dan een  waarschuwing dat je het te downloaden programma
niet moet misbruiken om mee te frauderen.  De reden die
opgegeven wordt is niet omdat het verboden is, maar vanwege
de pakkans: winkels en banken checken tegenwoordig of een
credit card nummers wel echt uitgegeven is.

En net zo min als het bestuderen van oormerk algoritmes
niet verboden is, is het ook niet verboden om credit card
nummer algoritmes te reverse engineeren.  En als iedereen
nu maar werkelijk alle checks uitvoert:  naam controle,
nummer controle, handtekening controle, etc, dan gaat er
vast niets mis.  Maar omdat de mens hier de zwakste schakel
is, kan het een luctratieve hobby zijn.

Ga maar na: als Ushi van Dijk naar een warenhuis gaat en
een nieuw kunstgebit afrekent met een credit card van het
Japanese Credit Bureau met nummer 3558 7106 6430 3132 dan
kan er dit gebeuren:  bij de kassa haalt men het langs een
lokale kaartlezer met een check aan boord, dan zal die uit
de cijfercombinatie het juiste credit card type afleiden:
te weten JCB.  Ten tweede zal het nummer aan de credit card
checksum voldoen, en ten derde zal het zogeheten Luhn Check
Digit kloppen.  Nogal wiedus, je had het credit card nummer
precies zo gegenereerd.  En omdat mensen vooral bij de wat
kleinere aankopen niet meteen naar de bank bellen, volstaat
men wel eens met deze "weak security check".  IT loont!

X

Meer weten over de wondere wereld van ICT 
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica 
aan de Vrije Universiteit in Amsterdam.  Hij schrijft      
maandelijks een column in AG II.  Deze tekst is 
copyright SDU.  Niets van deze uitgave mag zonder
schriftelijke toestemming van de uitgever worden
overgenomen of worden gepubliceerd.