A Positive Technologies anunciou hoje que os pesquisadores Leigh-Anne Galloway e Tim Yunusov descobriram falhas que permitem aos hackers contornar os limites de pagamento dos cartões sem contato Visa. A Positive Technologies testou o ataque com cinco grandes bancos do Reino Unido, ultrapassando com sucesso o limite de verificação sem contato do Reino Unido de £ 30 em todos os cartões Visa testados, independentemente do terminal do cartão. Os pesquisadores também descobriram que esse ataque é possível com cartões e terminais fora do Reino Unido. Esses resultados são significativos porque os limites de verificação de pagamento sem contato são usados para proteger contra perdas fraudulentas, que vêm aumentando nos últimos anos.
O ataque funciona manipulando dois campos de dados que são trocados entre o cartão e o terminal durante um pagamento sem contato. Predominantemente no Reino Unido, se o pagamento precisar de uma verificação adicional do titular do cartão (que é necessária para pagamentos acima de 30 libras no Reino Unido), os cartões responderão “Eu não posso fazer isso”, o que impede a realização de pagamentos acima desse limite. Em segundo lugar, o terminal usa configurações específicas do país, que exigem que o cartão ou a carteira móvel forneçam uma verificação adicional do titular do cartão, como a entrada do PIN do cartão ou a autenticação da impressão digital no telefone.
A Positive Technologies descobriu que ambas as verificações podem ser ignoradas usando um dispositivo que intercepta a comunicação entre o cartão e o terminal de pagamento. Este dispositivo funciona como um proxy e é conhecido por conduzir ataques de homem no meio (MITM). Primeiro, o dispositivo informa ao cartão que a verificação não é necessária, mesmo que o valor seja maior que £ 30. O dispositivo informa ao terminal que a verificação já foi feita por outros meios. Esse ataque é possível porque a Visa não exige que emissores e adquirentes realizem verificações que bloqueiam pagamentos sem apresentar a verificação mínima.
O ataque também pode ser feito usando carteiras móveis como o GPay, onde um cartão Visa foi adicionado à carteira. Aqui, é possível cobrar até 30 € de forma fraudulenta sem desbloquear o telefone.
De acordo com a UK Finance, a fraude em cartões e dispositivos sem contato aumentou de £ 6,7 milhões em 2016 para £ 14 milhões em 2017. £ 8,4 milhões foram perdidos para fraudes sem contato no primeiro semestre de 2018. A descoberta da Positive Technologies destaca a importância da segurança adicional do banco emissor, que não deve depender da Visa para fornecer um protocolo seguro para pagamentos. Em vez disso, os emissores devem ter suas próprias medidas para detectar e bloquear esse vetor de ataque e outros ataques de pagamento.
“A indústria de pagamento acredita que os pagamentos sem contato são protegidos pelas salvaguardas que implementaram, mas o fato é que a fraude sem contato está aumentando”, disse Tim Yunusov, diretor de Segurança Bancária da Positive Technologies. “Embora seja um tipo relativamente novo de fraude e possa não ser a prioridade número um dos bancos no momento, se os limites de verificação sem contato puderem ser contornados facilmente, isso significa que poderemos ver perdas mais prejudiciais para os bancos e seus clientes”.
Os pesquisadores alertam que os usuários de cartões sem contato precisam estar vigilantes no monitoramento de seus extratos bancários para detectar fraudes precocemente e, se disponível com o banco, implementar medidas adicionais de segurança, como limites de verificação de pagamento e notificações por SMS.
“Cabe ao cliente e ao banco se proteger”, disse Leigh-Anne Galloway, chefe de resiliência de segurança cibernética da Positive Technologies. “Embora alguns terminais tenham verificações aleatórias, eles precisam ser programados pelo comerciante, por isso é totalmente a critério deles. Por isso, podemos esperar que as fraudes sem contato continuem aumentando. Os emissores precisam ser mais eficientes regras sobre o uso de sem contato e o aumento do padrão da indústria. Os criminosos sempre gravitarão para a maneira mais conveniente de obter dinheiro rapidamente, por isso precisamos tornar o mais difícil possível o uso de serviços sem contato. “
FONTE: https://www.ptsecurity.com/ww-en/about/news/visa-card-vulnerability-can-bypass-contactless-limits/