Cartões Visa Contactless Vulneráveis aos Fraudadores. Pesquisadores dizem que a máquina proxy pode contornar os limites de transação através do ataque do man-in-the-middle.
O ISMG relata que uma vulnerabilidade descoberta recentemente nos cartões de pagamento sem contato da Visa pode permitir que fraudadores contornem o limite de pagamento de £ 30 (US$ 37) em vários bancos sediados no Reino Unido, de acordo com pesquisadores da empresa de segurança Positive Technologies .
Embora os pesquisadores tenham limitado seus testes aos bancos do Reino Unido, a vulnerabilidade aparentemente pode ser explorada em outros países também, explicam os pesquisadores em um blog.
A Positive Technologies anunciou, em 29 de julho, que os pesquisadores Leigh-Anne Galloway e Tim Yunusov descobriram falhas que permitem aos hackers contornar os limites de pagamento dos cartões sem contato Visa.
A Positive Technologies testou o ataque com cinco grandes bancos do Reino Unido, ultrapassando com sucesso o limite de verificação sem contato do Reino Unido de £30 em todos os cartões Visa testados, independentemente do terminal do cartão. Os pesquisadores também descobriram que esse ataque é possível com cartões e terminais fora do Reino Unido. Esses resultados são significativos porque os limites de verificação de pagamento sem contato são usados para proteger contra perdas fraudulentas, que vêm aumentando nos últimos anos.
Fonte: Forbes
Como funciona o ataque
O ataque funciona manipulando dois campos de dados que são trocados entre o cartão e o terminal durante um pagamento sem contato.
Primeiro, se o pagamento precisar de uma verificação adicional do titular do cartão (que é necessária para pagamentos acima do valor limite), os cartões responderão “Eu não posso fazer isso“, o que impede a realização de pagamentos acima desse limite.
Segundo, o terminal usa configurações específicas do país, que exigem que o cartão ou a carteira móvel forneçam uma verificação adicional do titular do cartão, como a entrada do PIN do cartão ou a autenticação da impressão digital no telefone.
A Positive Technologies descobriu que ambas as verificações podem ser ignoradas usando um dispositivo que intercepta a comunicação entre o cartão e o terminal de pagamento. Este dispositivo funciona como um proxy e é conhecido por conduzir ataques man-in-the-middle (MITM).
Assim, primeiro o dispositivo informa ao cartão que a verificação não é necessária, mesmo que o valor seja maior que o limite e depois o dispositivo informa ao terminal que a verificação já foi feita por outros meios. Esse ataque é possível porque a Visa não exige que emissores e adquirentes realizem verificações que bloqueiam pagamentos sem apresentar a verificação mínima.
“A indústria de pagamento acredita que os pagamentos sem contato são protegidos pelas salvaguardas que implementaram, mas o fato é que a fraude sem contato está aumentando“, disse Tim Yunusov, diretor de Segurança Bancária da Positive Technologies. “Embora seja um tipo relativamente novo de fraude e possa não ser a prioridade número um para os bancos no momento, se os limites de verificação sem contato puderem ser contornados facilmente, isso significa que poderemos ver perdas mais prejudiciais para os bancos e seus clientes“.
“Cabe ao cliente e ao banco se protegerem“
Os pesquisadores alertam que os usuários de cartões sem contato precisam estar vigilantes no monitoramento de seus extratos bancários para detectar fraudes precocemente e, se disponível com o banco, implementar medidas adicionais de segurança, como limites de verificação de pagamento e notificações por SMS.
“Cabe ao cliente e ao banco se protegerem“, disse Leigh-Anne Galloway, chefe de resiliência de segurança cibernética da Positive Technologies. “Embora alguns terminais tenham verificações aleatórias, eles precisam ser programados pelo comerciante, por isso fica totalmente a critério deles. Por isso, podemos esperar que as fraudes sem contato continuem aumentando. Os emissores precisam ter regaras mais eficientes no uso de sem contato e o aumento do padrão da indústria. Os criminosos sempre gravitarão para a maneira mais conveniente de obter dinheiro rapidamente, por isso precisamos tornar o mais difícil possível o uso de serviços sem contato. “
Resposta da VISA
Segundo o ISMG, embora a ameaça seja relativamente nova, representa um grande desafio potencial para os bancos, disse o pesquisador Galloway à Forbes. “Embora seja um tipo relativamente novo de fraude e possa não ser a prioridade número um dos bancos no momento, se os limites de verificação sem contato puderem ser contornados facilmente, isso significa que poderemos ver perdas mais prejudiciais para os bancos e seus clientes“, disse ela.
Um porta-voz da Visa disse à Forbes que a indisponibilidade de cartões físicos pode limitar o escopo dos ataques man-in-the-middle descritos pelos pesquisadores porque eles exigem o uso de um cartão sem contato roubado para o qual o roubo ainda não foi relatado.
“Da mesma forma, a transação deve passar por validações de emissores e protocolos de detecção. Não é uma abordagem de fraude escalável que normalmente vemos os criminosos empregarem no mundo real“, acrescentou o porta-voz da Visa.
Fonte: ISMG & Forbes & Positive Technologies
Veja também:
- CrowdStrike aterriza no Brasil com o melhor Next Generation AV do mercado!
- CrowdStrike expande presença internacional para atender à crescente demanda do cliente
- A #LGPD e o mito do advogado que entende de Dados
- PMEs subestimam seriamente sua vulnerabilidade a ataques cibernéticos
- Cofre de Senhas – Sugestões para uma implementação bem sucedida
- Microsoft Office 365 Webmail expõe o endereço IP do usuário em emails
- Novo malware MONOKLE tem a capacidade de controle do dispositivo móvel SEM ROOT.
- Segurança ou conformidade? Uma decisão que não deve ser tomada
- NCSC alerta para nova onda de ataques de sequestro de DNS
- DataSpii: Vazamento de dados pessoais em massa
- Empresa de serviços forenses paga resgate após ataque cibernético
- Pesquisadores enganam o AV da Cylance para que não identifique malwares conhecidos
- Novo ataque permite que aplicativos Android ouçam o seu alto-falante sem permissão
- Você pode confiar seu rosto ao FaceApp ?
Deixe sua opinião!