I ricercatori sulla sicurezza segnalano un nuovo difetto di autenticazione nei pagamenti contactless con carta Visa
La sicurezza è stata trovata nelle carte di pagamento Visa, consentendo agli aggressori di eseguire un nuovo tipo di attacco classificato come bypass PIN. Ciò consente loro di manipolare i terminali di pagamento in modo che accettino transazioni con carte da carte non autentiche.
Un team di ricercatori dell’Istituto Federale Svizzero di Tecnologia di Zurigo (ETH Zurich) è stato il primo a rilevare questa vulnerabilità di sicurezza che potrebbe consentire agli aggressori di eseguire attacchi di bypass PIN e commettere frodi con carta di credito.
In genere, esiste un limite all’importo che puoi pagare per beni e servizi utilizzando la carta contactless. Quando tale limite viene superato, la terminazione della carta richiederà la verifica da parte del titolare della carta digitando il PIN. Ma, come hanno dimostrato gli analisti, i criminali che accedono a tale carta di credito possono sfruttare la falla e fare acquisti senza avere il PIN quando l’importo supera il limite.
Affinché l’attacco avvenga, i criminali richiedono i dettagli della carta di pagamento. Possono farlo rubando o acquisendo con vari mezzi. L’alternativa è utilizzare la popolare opzione di scrematura NFC per scansionare le carte nelle vicinanze e copiarne i dettagli.
Per dimostrare come potrebbe essere eseguito l’attacco, i ricercatori hanno creato un’applicazione proof-of-concept appositamente per lo scopo. Viene utilizzato per modificare il comportamento dei terminali di pagamento progettati per alterare le risposte della carta prima che vengano consegnate al dispositivo.
Una volta che l’attacco è stato effettuato, i criminali possono completare gli acquisti utilizzando la carta delle vittime e possono superare il limite di PIN inferiore utilizzando la modifica di un valore chiamato Card Transaction Qualifiers. Abusano della connessione utilizzando il protocollo remoto per fare in modo che i terminali di pagamento superino la verifica del PIN e credono che l’identità del titolare della carta sia già stata verificata.
I ricercatori hanno testato l’attacco di bypass PIN su uno dei sei protocolli contactless EMV. Tuttavia, hanno teorizzato che ciò potrebbe applicarsi anche ai protocolli Discover e Union Pay.
I ricercatori hanno anche scoperto un’altra vulnerabilità basata su transazioni contactless offline effettuate da Visa o vecchia Mastercard. In questo attacco, i criminali modificano i dati prodotti dalla carta chiamati crittogramma delle transazioni prima di essere consegnati al terminale. Poiché in questo caso i dati sono verificati dall’emittente della carta, cioè banca, i truffatori sono a lungo al vento con la merce in mano.