home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #20 / NN_1992_20.iso / spool / sci / crypt / 3169 < prev    next >
Encoding:
Internet Message Format  |  1992-09-09  |  2.0 KB
  1. Xref: sparky sci.crypt:3169 alt.security:4321 comp.security.misc:1212
  2. Path: sparky!uunet!mcsun!uknet!warwick!str-ccsun!strath-cs!baird!jim
  3. From: jim@cs.strath.ac.uk (Jim Reid)
  4. Newsgroups: sci.crypt,alt.security,comp.security.misc
  5. Subject: Re: ATM fraud
  6. Message-ID: <JIM.92Sep9125700@hunter.cs.strath.ac.uk>
  7. Date: 9 Sep 92 11:57:00 GMT
  8. References: <1992Sep8.115050.8694@cl.cam.ac.uk>
  9. Sender: news@cs.strath.ac.uk
  10. Organization: Computer Science Dept., Strathclyde Univ., Glasgow, Scotland.
  11. Lines: 29
  12. Nntp-Posting-Host: hunter
  13. In-reply-to: rja14@cl.cam.ac.uk's message of 8 Sep 92 11:50:50 GMT
  14.  
  15. In article <1992Sep8.115050.8694@cl.cam.ac.uk> rja14@cl.cam.ac.uk (Ross Anderson) writes:
  16.  
  17.    A new type of ATM fraud has just arrived in London.
  18.  
  19.    An auction was advertised at which video cassette recorders and other
  20.    consumer electronic goods were for sale at very low prices. A lot of
  21.    people turned up and were asked to provide identification at the door -
  22.    this is normal enough at auctions in Britain - and the preferred means
  23.    of identification was a bank or credit card (you had to swipe it in a 
  24.    reader and enter your PIN at a nearby keypad).
  25.  
  26. A much simpler (and successful) fraud is to steal someone's wallet or
  27. purse. This usually yields the victim's phone number as well as ATM
  28. cards. The fraudster then calls the victim claiming to be a police
  29. officer or bank security official and asks for the PIN number for
  30. "verification" or "for their report".
  31.  
  32.    What's the point of designing wonderful cryptographic systems when the
  33.    customer corporations think they know it all and build implementations 
  34.    that are trivial to break even without cryptanalysis?
  35.  
  36. Indeed. The UK banks do tell customers to keep PIN numbers secret, but
  37. they don't properly explain why this is necessary. Even so, it is
  38. disgraceful that their systems fail to take account of the possibility
  39. that the key becomes compromised. This is not an unreasonable
  40. assumption given human nature - witness the scams above or the stories
  41. about people who write down their PINs.
  42.  
  43.         Jim
  44.