Una vulnerabilità di sicurezza consente di aggirare la richiesta del PIN per un pagamento Visa senza contatto. I ricercatori dell'ETH di Zurigo hanno scoperto una vulnerabilità che i criminali potrebbero utilizzare per effettuare pagamenti con carte di credito senza conoscere i loro PIN.
Un gruppo di ricerca dell'Istituto federale svizzero di tecnologia di Zurigo (ETH Zurich) ha rilevato una vulnerabilità di sicurezza nel protocollo EMV per i pagamenti senza contatto dal fornitore di carte di credito Visa che potrebbe consentire agli aggressori di aggirare la richiesta del PIN e commettere frodi con carta di credito.
Con il pagamento senza contatto, di solito c'è un limite quando si pagano beni o servizi. Non appena questo viene superato, il terminale della carta richiede una conferma del PIN al titolare della carta. Tuttavia, il nuovo studio, intitolato "The EMV Standard: Break, Fix, Verify", mostra che i criminali possono utilizzare una carta di credito difettosa per effettuare acquisti fraudolenti senza dover inserire il PIN, anche se la somma supera il limite.
Pagamento visto: dimostrazione dell'attacco
Gli scienziati hanno dimostrato la fattibilità dell'attacco utilizzando due telefoni Android, una carta di credito contactless e un'app Android sviluppata appositamente per questo scopo: "Il telefono vicino al terminale di pagamento è l'emulatore della carta dell'aggressore e il telefono vicino alla carta di credito della vittima è l'emulatore POS dell'aggressore. I dispositivi dell'attaccante comunicano tra loro tramite WiFi e con il terminale e la scheda tramite NFC", hanno spiegato i ricercatori. L'app non richiede permessi di root speciali o hack Android.
"L'attacco consiste nel modificare un oggetto dati di una carta - il "Card Transaction Qualifier" - prima che venga trasmesso al terminale", afferma il rapporto di ricerca. Questa modifica indica al terminale che non è richiesta alcuna verifica del PIN e che il titolare della carta è già stato verificato dal dispositivo del consumatore.
Attacco di bypass del PIN
I ricercatori hanno testato il loro attacco di bypass del PIN su uno dei sei protocolli EMV senza contatto (Mastercard, Visa, American Express, JCB, Discover, UnionPay). Tuttavia, sospettano che il loro attacco possa funzionare anche sui protocolli Discover e UnionPay, sebbene questi non siano stati verificati nella pratica. EMV, il protocollo standard internazionale per i pagamenti con smart card, è utilizzato da oltre 9 miliardi di carte in tutto il mondo e utilizzato in oltre l'2019% di tutte le transazioni con carta in tutto il mondo a dicembre 80.
Vale anche la pena notare che i ricercatori non solo hanno testato l'attacco in condizioni di laboratorio, ma lo hanno anche eseguito con successo nei negozi utilizzando carte Visa Credit, Visa Electron e V-Pay. Naturalmente, hanno usato le proprie mappe per i test.
L'attacco è appena notato
Secondo i ricercatori, è difficile per il personale di cassa notare questi attacchi quando effettuano un pagamento Visa, poiché è normale che i clienti paghino le merci con i loro smartphone. Le indagini hanno anche scoperto un'altra vulnerabilità di sicurezza. Per le transazioni offline contactless con vecchie carte Visa o Mastercard, potrebbero modificare i dati generati dalle carte, il cosiddetto "crittogramma di transazione", prima che venisse trasmesso al terminale.
Tuttavia, questi dati non possono essere verificati dal terminale, ma solo dall'emittente della carta, ovvero dalla banca. A quel punto, il criminale è scomparso da tempo con i suoi beni. Per motivi etici, questo attacco non è stato testato su terminali per carte reali dal team di ricerca.
Il team, ovviamente, ha informato la società Visa delle loro scoperte.
Maggiori informazioni sul blog WeLiveSecurity su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.