Uma vulnerabilidade de segurança permite ignorar a solicitação de PIN para um pagamento Visa sem contato. Pesquisadores da ETH Zurich descobriram uma vulnerabilidade que os criminosos podem usar para fazer pagamentos com cartões de crédito sem conhecer seus PINs.
Uma equipe de pesquisa do Instituto Federal Suíço de Tecnologia de Zurique (ETH Zurich) encontrou uma vulnerabilidade de segurança no protocolo EMV para pagamentos sem contato do provedor de cartão de crédito Visa que pode permitir que invasores ignorem a solicitação de PIN e cometam fraudes de cartão de crédito.
Com o pagamento sem contato, geralmente há um limite ao pagar por bens ou serviços. Assim que este for ultrapassado, o terminal do cartão solicita uma confirmação do PIN ao titular do cartão. No entanto, o novo estudo, intitulado "The EMV Standard: Break, Fix, Verify", mostra que criminosos podem usar um cartão de crédito defeituoso para fazer compras fraudulentas sem precisar digitar o PIN, mesmo que o valor exceda o limite.
Pagamento do visto: demonstração do ataque
Os cientistas demonstraram a viabilidade do ataque usando dois telefones Android, um cartão de crédito sem contato e um aplicativo Android desenvolvido especialmente para esse fim: "O telefone próximo ao terminal de pagamento é o emulador de cartão do invasor e o telefone próximo ao cartão de crédito da vítima é o emulador de PDV do invasor. Os dispositivos do invasor se comunicam entre si via WiFi e com o terminal e o cartão via NFC”, explicaram os pesquisadores. O aplicativo não requer permissões especiais de root ou hacks do Android.
“O ataque consiste na alteração de um objeto de dados de um cartão – o “Card Transaction Qualifier” – antes de ser transmitido ao terminal”, diz o relatório da pesquisa. Essa alteração instrui o terminal que nenhuma verificação de PIN é necessária e que o titular do cartão já foi verificado pelo dispositivo do consumidor.
ataque de desvio de PIN
Os pesquisadores testaram seu ataque de desvio de PIN em um dos seis protocolos EMV sem contato (Mastercard, Visa, American Express, JCB, Discover, UnionPay). No entanto, eles suspeitam que seu ataque também possa funcionar nos protocolos Discover e UnionPay, embora eles não tenham sido verificados na prática. EMV, o protocolo padrão internacional para pagamentos com cartão inteligente, é usado por mais de 9 bilhões de cartões em todo o mundo e em mais de 2019% de todas as transações com cartão em todo o mundo em dezembro de 80.
É importante notar também que os pesquisadores não apenas testaram o ataque em condições de laboratório, mas também o realizaram com sucesso em lojas com cartões Visa Credit, Visa Electron e V-Pay. Claro, eles usaram seus próprios mapas para os testes.
Ataque dificilmente é notado
Segundo os pesquisadores, é difícil para os funcionários do caixa perceber esses ataques ao fazer um pagamento com Visa, pois é comum os clientes pagarem mercadorias com seus smartphones. As investigações também descobriram outra vulnerabilidade de segurança. Para transações sem contato offline com cartões Visa ou Mastercard antigos, eles podiam alterar os dados gerados pelos cartões, o chamado "criptograma de transação", antes de serem transmitidos ao terminal.
No entanto, esses dados não podem ser verificados pelo terminal, mas apenas pelo emissor do cartão, ou seja, o banco. A essa altura, o criminoso já havia desaparecido com seus bens. Por razões éticas, este ataque não foi testado em terminais de cartão reais pela equipe de pesquisa.
A equipe, é claro, informou a empresa Visa sobre suas descobertas.
Leia mais no blog WeLiveSecurity em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.