Timesonline mit Sitz in Großbritannien meldet im ersten Halbjahr 2007 eine Flut von Kreditkartenbetrug. Forscher in Cambridge stellten fest, dass es bei Chip- und PIN-Händlerterminals an der erforderlichen Sicherheitsverschlüsselung mangelt. Das Händlerterminal kann so programmiert werden, dass PIN- und Kartennummern erfasst werden, um eine Klonkarte zu erstellen. Die Programmierung dauert nur 10 Minuten.

Wie Timesonline kürzlich berichtete, hat die beliebte Verwendung von Chip- und PIN-Karten einen Betrüger in der Mischung. Ein Händler kann einen Chip und ein PIN-Terminal programmieren, um alle Informationen zu erfassen, die zum Erstellen einer Klonkarte einschließlich der PIN-Nummer erforderlich sind. Forscher des Computerlabors in Cambridge, die die Untersuchung durchführten, stellten die Sicherheitslücke im Gerät fest. Es wurden mehrere Vorfälle gemeldet, darunter ein Vorfall in einer Shell-Werkstatt.

Die offensichtliche Sicherheitslücke der Händler-Terminals besteht darin, dass der Hersteller die erforderliche Verschlüsselungstechnologie nicht in das Gerät eingebaut hat. Die erforderliche spezifische Verschlüsselung fehlt in dem vorliegenden Terminalmodell. Somit läuft die Karte ungeschützt durch das Gerät.

APACS, der für die Einführung der Chip- und PIN-Technologie zuständige britische Zahlungsverband, hat die von den Cambridge-Forschern genannte Möglichkeit anerkannt. Ein APACS-Sprecher erklärte: "Wir bestreiten nicht, dass diese Art von Betrug erreichbar ist, aber es gibt einfachere Möglichkeiten, die gleiche Art von Betrug zu begehen, einschließlich Karten überfliegen und die PIN mit einer Lochkamera zu erfassen." Diese Art von Betrug ist der aktuelle Schwerpunkt von APACS.

Im Januar 2008 kündigte Visa an, dass alle neu ausgegebenen Karten eine neue Chip-basierte Technologie namens "ICVV" enthalten würden. Die Technologie warnt Banken und Händler, wenn eine Klonkarte für Produkte oder Dienstleistungen verwendet wird. Leider haben nicht alle Banken den Kunden die neuen Karten zur Verfügung gestellt.

Laut den Cambridge-Forschern ist das Problem mit den Chip- und PIN-Karten systembedingt. Laut Saar Drimer besteht ein Teil des Problems der Cambridge-Forscher darin, dass die Sicherheitstechnologie eines unabhängigen Evaluierungsgeräts fehlt. Tatsächlich bestätigte die GCHQ, eine Sicherheitsgruppe aus Regierung und Industrie, dass sie die Kartensystemtechnologie nicht zertifiziert hatte.

Laut ASPACS wurde die Sicherheit des Geräts anhand von international anerkannten Standards getestet, die als "Common Criteria" bezeichnet werden. Außerdem wird angegeben, dass andere sichere Geräte nach denselben Standards getestet werden.

Ingenico, der Hersteller des Endgeräts, bestritt die einfache Handhabung des Geräts. Diesbezüglich heißt es: "Die Methode ... erfordert Fachwissen und weist inhärente technische Schwierigkeiten auf ... und ist im großen Maßstab nicht reproduzierbar."

Wie dem auch sei, ASPACS meldet Verluste aufgrund von Kreditkartenbetrug, der im ersten Halbjahr 2007 um 26 Prozent gestiegen ist. Der monetäre Verlust beträgt 263, 6 Millionen GBP.