Pesquisadores de segurança relatam uma nova falha de autenticação em pagamentos sem contato com cartão Visa
A segurança foi encontrada nos cartões de pagamento Visa, permitindo que os invasores executem um novo tipo de ataque categorizado como um desvio de PIN. Isso permite que eles manipulem os terminais de pagamento para aceitar transações com cartões não autênticos.
Uma equipe de pesquisadores do Instituto Federal Suíço de Tecnologia de Zurique (ETH Zurique) foi a primeira a detectar essa vulnerabilidade de segurança que pode permitir que invasores executem ataques de desvio de PIN e cometam fraude de cartão de crédito.
Normalmente, há um limite no valor que você pode pagar por produtos e serviços usando o cartão sem contato. Quando esse limite for ultrapassado, a rescisão do cartão exigirá verificação do titular do cartão digitando o PIN. Mas, o que os analistas mostraram, os criminosos que acessam esse cartão de crédito podem explorar a falha e fazer a compra sem ter o PIN quando o valor ultrapassar o limite.
Para que o ataque aconteça, os criminosos exigem os detalhes do cartão de pagamento. Eles podem fazer isso roubando ou adquirindo por vários meios. A alternativa é usar a opção popular de skimming NFC para digitalizar cartões próximos e copiar seus detalhes.
Para demonstrar como o ataque poderia ser feito, os pesquisadores criaram um aplicativo de prova de conceito especialmente para esse propósito. Ele é usado para modificar o comportamento dos terminais de pagamento projetados para alterar as respostas do cartão antes de serem entregues ao dispositivo.
Uma vez que o ataque é feito, os criminosos podem completar as compras usando o cartão das vítimas e podem superar o limite de menos PIN usando a modificação de um valor chamado Qualificadores de Transação de Cartão. Eles abusam da conexão usando o protocolo remoto para fazer com que os terminais de pagamento superem a verificação do PIN e confiem que a identidade do titular do cartão já foi verificada.
Os pesquisadores testaram o ataque de desvio do PIN em um dos seis protocolos sem contato EMV. No entanto, eles teorizaram que isso poderia se aplicar aos protocolos Discover e Union Pay também.
Os pesquisadores também descobriram outra vulnerabilidade com base em transações sem contato off-line realizadas pela Visa ou o antigo Mastercard. Nesse ataque, os criminosos modificam os dados produzidos pelo cartão, chamados criptograma de transação, antes de serem entregues ao terminal. Uma vez que, neste caso, os dados são verificados pelo emissor do cartão, ou seja, banco, o bandido está muito no vento com os bens em mãos.
