0
0
Pesquisadores de segurança cibernética divulgaram um novo ataque que poderia permitir que criminosos enganassem um terminal de ponto de venda para transacionar com o cartão sem contato Mastercard da vítima, acreditando que era um cartão Visa.
A pesquisa, publicada por um grupo de acadêmicos da ETH Zurique, baseia-se em um estudo detalhado em setembro passado que se aprofundou em um ataque de bypass PIN, permitindo que os maus atores aproveitassem o cartão de crédito roubado ou perdido da vítima para fazer compras de alto valor sem conhecimento do PIN do cartão, e até mesmo enganar o terminal para aceitar transações de cartão off-line não authentic.
“Esta não é apenas uma mera mistura de marca de cartões, mas tem consequências críticas”, disseram os pesquisadores David Basin, Ralf Sasse e Jorge Toro. “Por exemplo, os criminosos podem usá-lo em combinação com o ataque anterior ao Visa para também contornar o PIN para cartões Mastercard. Os cartões desta marca foram previamente presumidos protegidos pela PIN.”
Após a divulgação responsável, os pesquisadores da ETH Zurique disseram que a Mastercard implementou mecanismos de defesa no nível da rede para impedir tais ataques. Os resultados serão apresentados no 30º Simpósio de Segurança USENIX, em agosto deste ano.
Um ataque de mixagem de marca de cartão
Assim como o ataque anterior envolvendo cartões Visa, a pesquisa mais recente também explora vulnerabilidades “sérias” no protocolo emv sem contato amplamente utilizado, só que desta vez o alvo é um cartão Mastercard.
Em alto nível, isso é conseguido usando um aplicativo Android que implementa um ataque homem-no-meio (MitM) em cima de uma arquitetura de ataque de relé, permitindo assim que o aplicativo não apenas inicie mensagens entre as duas extremidades — o terminal e o cartão — mas também intercepte e manipule as comunicações NFC (ou Wi-Fi) para introduzir maliciosamente uma incompatibilidade entre a marca do cartão e a rede de pagamentos.
Dito de outra forma, se o cartão emitido for da marca Visa ou Mastercard, então a solicitação de autorização necessária para facilitar as transações EMV é encaminhada para a respectiva rede de pagamento. O terminal de pagamento reconhece a marca usando uma combinação do que é chamado de número de conta primária (PAN, também conhecido como número do cartão) e um identificador de aplicativo (AID)que identifica exclusivamente o tipo de cartão (por exemplo, Mastercard Maestro ou Visa Electron), e posteriormente faz uso deste último para ativar um kernel específico para a transação.
Um EMV Kernel é um conjunto de funções que fornece toda a lógica de processamento e dados necessários para realizar uma transação emv ou sem contato.
O ataque, apelidado de “mixagemde marca de cartão “, aproveita o fato de que esses AIDs não são autenticados para o terminal de pagamento, possibilitando assim enganar um terminal para ativar um kernel defeituoso, e por extensão, o banco que processa pagamentos em nome do comerciante, para aceitar transações sem contato com um PAN e um AID que indique diferentes marcas de cartão.
“O invasor então realiza simultaneamente uma transação visa com o terminal e uma transação Mastercard com o cartão”, descreveram os pesquisadores.
O ataque, no entanto, exige que ele cumpra uma série de pré-requisitos para ser bem sucedido. Notavelmente, os criminosos devem ter acesso ao cartão da vítima, além de poderem modificar os comandos do terminal e as respostas do cartão antes de entregá-los ao destinatário correspondente. O que não requer é a necessidade de ter privilégios raiz ou explorar falhas no Android para usar o aplicativo de prova de conceito (PoC).
Mas os pesquisadores observam que uma segunda falha no protocolo sem contato em EMV poderia permitir que um invasor “construísse todas as respostas necessárias especificadas pelo protocolo Visa das obtidas a partir de um cartão não Visa, incluindo as provas criptográficas necessárias para o emissor do cartão autorizar a transação”.
Mastercard adiciona contramedidas
Usando o aplicativo PoC Android, os pesquisadores da ETH Zurique disseram que foram capazes de contornar a verificação do PIN para transações com cartões de crédito e débito Mastercard, incluindo dois cartões de débito Maestro e dois cartões de crédito Mastercard, todos emitidos por diferentes bancos, com uma das transações superior a US$ 400.
Em resposta às descobertas, a Mastercard adicionou uma série de contramedidas, incluindo a obrigatoriedade das instituições financeiras para incluir o AUXÍLIO nos dados de autorização, permitindo que os emissores de cartões verificassem o AUXÍLIO contra o PAN.
Além disso, a rede de pagamentos lançou verificações de outros pontos de dados presentes no pedido de autorização que poderiam ser usados para identificar um ataque desse tipo, diminuindo assim uma transação fraudulenta logo no início.
FONTE: THE HACKER NEWS