O defecțiune de securitate ar permite evitarea introducerii PIN-ului la plățile contactless Visa, scrie blog.eset.ro.

Vulnerabilitatea le-ar putea permite infractorilor cibernetici să desfășoare atacuri frauduloase pe carduri, fără a fi nevoie să cunoască codurile PIN ale acestora

O echipă de cercetare de la Institutul Federal Elvețian de Tehnologie din Zurich (ETH Zurich) a descoperit o vulnerabilitate de securitate în protocolul contactless EMV al Visa care le-ar putea permite atacatorilor să deruleze atacuri care să compromită parolele PIN ale victimelor și să comită fraude asupra cardurilor de credit.

În general, există o limită a sumei pe care o putem plăti pentru bunuri sau servicii folosind un card contactless. Odată ce limita este depășită, terminalul cardului va impune verificarea deținătorului cardului – prin introducerea codului PIN.

Cu toate acestea, noua lucrare de cercetare intitulată „The EMV Standard: Break, Fix, Verify ”, a arătat că un infractor cibernetic care reușește să obțină acces la un card de credit i-ar putea exploata defectele pentru achiziții frauduloase, fără a fi nevoie să introducă codul PIN chiar și în cazurile în care suma a depășit limita impusă de card.

Cercetătorii au demonstrat modul în care atacul poate fi efectuat folosind două telefoane Android, un card de credit contactless și o aplicație Android special concepută pentru acest experiment.

„Telefonul de lângă terminalul de plată este emulatorul de card al atacatorului, iar telefonul de lângă cardul victimei este emulatorul POS al atacatorului. Dispozitivele atacatorului comunică între ele prin WiFi și comunică prin NFC cu terminalul și cardul”, au explicat cercetătorii, adăugând că aplicația lor nu are nevoie de privilegii speciale de root sau hack-uri Android pentru a funcționa.

„Atacul constă într-o modificare a unui obiect de date de pe card – CTQ – Card Transaction Qualifiers – înainte de a-l livra către terminal”, se arată în descrierea atacului, iar această modificare îi indică terminalului că nu este necesară o verificare PIN și că titularul cardului a fost deja verificat prin intermediul dispozitivului consumatorului.

Cercetătorii au testat atacul de bypass a parolei PIN pe unul dintre cele șase protocoale contactless EMV (Mastercard, Visa, American Express, JCB, Discover, UnionPay); cu toate acestea, au teoretizat că s-ar putea aplica și protocoalelor Discover și UnionPay, deși acestea nu au fost testate în practică. EMV, standardul internațional de protocol pentru plata cu carduri inteligente, este utilizat în peste 9 miliarde de carduri din întreaga lume și începând din decembrie 2019 a fost utilizat în peste 80% din toate tranzacțiile cu carduri la nivel global.

Merită menționat faptul că cercetătorii nu au testat atacul doar în condiții de laborator, ci au reușit să îl efectueze cu succes în magazine reale, folosind carduri Visa Credit, Visa Electron și V Pay. Pentru a fi siguri, și-au folosit propriile carduri de credit pentru testare.

Echipa a subliniat, de asemenea, că ar fi dificil pentru un casier să observe eventualele nereguli, deoarece a devenit un obicei pentru clienți să plătească bunuri sau servicii direct cu ajutorul smartphone-urilor.

Pe durata cercetării, s-a descoperit, de asemenea, o altă vulnerabilitate, ce implică tranzacții contactless offline efectuate fie de un card Visa, fie de un card Mastercard vechi. În timpul acestui atac, criminalii cibernetici modifică anumite date produse de carduri (mai exact Transaction Cryptogram) înainte de a fi livrate către terminal.

Cu toate acestea, aceste date nu pot fi verificate de terminal, ci doar de emitentul cardului, adică de bancă. Deci, până ar avea loc această verificare, atacatorul poate reuși cu succes să sustragă banii victimei. Din motive etice, echipa nu a testat acest atac cu terminalele din viața reală.

Echipa a notificat Visa despre această descoperire, scrie blog.eset.ro.

2 COMMENTS

  1. Ca “echipa a notificat Visa despre această descoperire” e un lucru foarte bun; totusi, facind publice aceste vulnerabilitati, INAINTE ca masuri de securitate sporita sa fi fost luate, nu cumva echipa le-a dat infractorilor cibernetici idei? Nu ca, saracii de ei, ar duce lipsa…

  2. Fiti siguri ca deja au modificat totul inainte de a da publicitatii acest comunicat! Pentru ca mai stiu din zona destule, cum baiba de mi-au golit contul din banca anul trecut fara pin, fara program pe telefon, fara datele de pe card, cardul fiind ramas acasa in casa, dar direct din bcr fara a ma informa si fara acceptul meu, s-au facut tranzactiile in lire sterline si euro pentru vacante de lux? Este o zicatoare din batrani valabila in orice domeniu si in orice perioada:”cand umbli cu miere, e pacat sa nu-ti lingi degetele”! Cam asa este si cu bancile care acum, prin hotararile guvernamentale, esti obligat sa primesti salariul sau pensia prin card! Victima sigura la dat cu zarul! Deh, fiecare traieste pe turta lui dar scarbele de lux te obliga sa faci ceea ce vor doar ele fara a fi primii care iti ofera, sa iti si poata impune sau obliga!

Leave a Reply