Vulnerabilidades nos cartões Visa Contactless podem ser explorados para roubar até 1 milhão de seus portadores
Pesquisadores da Universidade de Newcastle descobriram uma falha em cartões Visa contactless que podem ser exploradas para roubar até 1M de portadores de cartões sem PIN.
Um grupo de pesquisadores da Universidade de Newcastle, no Reino Unido descobriram um buraco em contato cartões Visa que pode ser explorada por criminosos virtuais para roubar US $ 1 milhão por cartão, sem saber o seu PIN. O crédito contactless foram amplamente adotadas em resposta as várias violações de dados que expuseram milhões de dados de cartões de crédito em todo o mundo.Nos EUA o número de tarja magnética incidentes de fraude de cartão de pagamento é explodido devido aos inúmeros ataques aos varejistas nacionais gigantes como alvo e Home Depot .
O cartão emitido para aumentar a segurança do portador do cartão dependem de um microchip para assegurar as operações e pode ser utilizado para transacções sem contacto. No Reino Unido Visa emitiu cartões de pagamento sem contato que permitem fazer transações sem a necessidade de ler um cartão e fornecer o PIN relacionado, é claro para prevenir atividades ilegais desse tipo de operação são limitados pelo sistema EMV para US $ 32, o equivalente a £ 20 .
O PIN é necessário para autorizar transações com grandes quantias de dinheiro, mas como descoberta pelos pesquisadores os novos cartões Visa não reconhecem as transações em moeda estrangeira, fazendo com que a aprovação de quaisquer operações de soma maior até 999,999.99 em qualquer moeda estrangeira.
O cenário de ataque é bastante simples, o ator ameaça poderia configurar um ladino ponto-de-venda (POS) em caixas eletrônicos e até mesmo em celulares. Os pesquisadores estão apresentando os resultados de seu estudo hoje na conferência ACM Informática e Comunicações de Segurança (CCS), em Scottsdale, Arizona.
"Com apenas um celular criamos um terminal PoS que poderia ler um cartão através de uma carteira", explicou Martin Emms, o líder do projeto. "Todos os controlos são efectuados no cartão em vez do terminal para no ponto de transação, não há nada de levantar suspeitas. Por pré-definição do valor que você deseja transferir, você pode bater o seu celular contra bolso de alguém ou passe o telefone sobre uma carteira deixada sobre uma mesa e aprovar a transação. Em nossos testes, que levou menos de um segundo para que a transação seja aprovada. "
Visa começou imediatamente a investigação de qualquer maneira vários empresa de serviços financeiros têm argumentado que as transações fraudulentas em contato Visa Cartões hipoteticamente pelos pesquisadores são fáceis de detectar no mundo real.
"Por estas razões, não acredito que os resultados a ser um motivo de preocupação, uma vez que seria muito difícil para completar um pagamento fraudulento desse tipo fora de um ambiente de laboratório," Visa informou ao SecurityWeek em um email. "Nós gastamos 100 milhões € por ano para bater a fraude, e continuar a reforçar as salvaguardas no sistema de pagamento, razão pela qual as taxas de fraude estão a menos de 5p em cada cem quilos.Estamos confiantes de que o nosso sistema de contato continua sendo uma maneira segura e conveniente para pagar ", "Estamos atualizando as salvaguardas no sistema de pagamento de exigir mais transações para entrar em linha para autenticação, tornando ainda mais difícil fazer esse tipo de ataque fraudulento, "Visa explicou.
Os pesquisadores explicaram que eles não testaram o procedimento em um cenário do mundo real e é plausível que os mecanismos de segurança no local poderia evitar fraudes semelhantes exploram a falha no Contactless Visa Cartões.
"Nossa pesquisa identificou uma vulnerabilidade real no protocolo de pagamento, o que poderia abrir a porta para possíveis fraudes por parte de criminosos que estão constantemente à procura de formas de violação dos sistemas. Não está claro a partir da leitura do protocolo de pagamento como os bancos iria lidar com as inconsistências que encontramos através da nossa pesquisa, portanto, acreditamos que a vulnerabilidade representa, uma potencial ameaça muito real ", comentou o Professor Ad Van Moorsel, chefe da Escola de Computação Ciências da Universidade de Newcastle."No momento, o menor fruta de suspensão em relação a fraude de cartão de pagamento é a tarja magnética. Com a opção de tarja magnética sendo eliminados, o próximo alvo que os criminosos vão almejar é o recurso de pagamento sem contato. Se pudermos encontrar falhas no pagamento sem contato, então eles vão ser capazes de fazer isso também. Esse é o objetivo da pesquisa: encontrar os buracos e corrigi-los antes que eles possam ser exploradas ",
Comentários