Los investigadores crean versiones de banda magnética de EMV y tarjetas sin contacto


El hombre usa el teléfono inteligente y la tarjeta de crédito con compras

El hombre usa el teléfono inteligente y la tarjeta de crédito con compras en línea. Concepto de pago en línea.

Getty Pictures / iStockphoto

Un investigador de seguridad británico ha demostrado esta semana que todavía es posible en 2020 crear tarjetas de banda magnética (banda magnética) de la generación anterior utilizando los detalles que se encuentran en las tarjetas modernas de chip y PIN (EMV) y sin contacto, y luego usar las tarjetas clonadas para transacciones fraudulentas

En un libro blanco llamado «Solo toma un minuto clonar una tarjeta de crédito, gracias a un problema de 50 años, «Leigh-Anne Galloway, Jefa de Investigación de Seguridad Comercial en Cyber ​​R&D Lab, probó tecnologías modernas de tarjetas de 11 bancos de los Estados Unidos, el Reino Unido y la UE.

Galloway descubrió que cuatro de los 11 bancos aún emitían tarjetas EMV que podían ser clonadas en una versión de banda magnética más débil que podría ser objeto de abuso por transacciones fraudulentas.

cyber-rd-table.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/07/10/d77b6f14-4f65-4b36-856c-0a705ebc0d68/cyber-rd-table.png

Imagen: Cyber ​​R&D Lab

En circunstancias normales, esto no debería ser posible. Las tarjetas EMV fueron diseñadas para ser difíciles de clonar, principalmente debido al chip seguro incluido con cada una.

Sin embargo, el documento técnico de Galloway explica en una guía paso a paso cómo tomar datos de una tarjeta EMV y crear un clon de banda magnética de generación anterior.

Esta técnica, de clonar una versión de banda magnética de una tarjeta EMV, no es nueva y se ha documentado desde 2007.

Clonar magstripes a partir de datos EMV es, de hecho, la forma en que todavía operan muchas bandas de carding.

Los delincuentes usan dispositivos skimmer o shimmer para recopilar datos en tarjetas EMV, crean un clon de banda magnética y luego usan este clon para realizar transacciones fraudulentas en sistemas de punto de venta (POS) o retirar dinero de cajeros automáticos en países del tercer mundo donde Las tarjetas EMV no se han desplegado y todavía se aceptan tarjetas de banda magnética.

La industria bancaria sigue siendo lenta para adoptar prácticas de seguridad adecuadas

En su libro blanco, Galloway explica por qué esto todavía es posible.

«Primero, los puntos en común entre la banda magnética y los estándares EMV para el chip insertado y sin contacto significan que es posible determinar la información válida del titular de la tarjeta de una tecnología y usarla para otra», dijo Galloway.

«En segundo lugar, la banda magnética sigue siendo una tecnología de pago suitable, probablemente porque la adopción de tarjetas basadas en chips ha sido lenta en algunas regiones geográficas de todo el mundo».

«En tercer lugar, aunque la banda magnética es una tecnología obsoleta en muchos de los países analizados, los datos clonados siguen siendo efectivos porque es posible hacer que el terminal y la tarjeta recurran a una transacción de banda magnética», agregó el investigador.

«Finalmente, todos los emisores de tarjetas no verifican los códigos de seguridad de la tarjeta, un punto crítico de la verificación de la tarjeta».

Este último punto es el tema más significativo. Como Galloway señaló en una conversación en Twitter con este reportero, los códigos de seguridad de la tarjeta (valores CSC, CVV o CVC impresos en una tarjeta) deben ser únicos por tecnología y siempre deben validarse.

Si bien los bancos no tienen regulate overall sobre qué tecnologías de tarjetas / pagos son compatibles en otros países, y aún tendrán que admitir tecnologías más antiguas para fines heredados, tienen el poder de verificar las transacciones correctamente.

Sin embargo, como Steven Murdoch, investigador del University Faculty London, también señaló en Twitter, la realidad es que los bancos aún no hacen cumplir esta sencilla regla, incluso ahora, en 2020.

Las transacciones aún se aprueban con el código de seguridad incorrecto, de otra tecnología de tarjeta, e incluso sin él. Al no verificar adecuadamente los códigos de seguridad, esto deja la puerta abierta para que las bandas de cardinales continúen operando copiando y degradando las nuevas tarjetas EMV en clones de banda magnética para abusar en el extranjero, en países donde todavía se aceptan tarjetas de banda magnética.

Galloway dijo que si bien el documento técnico se centró en las tarjetas EMV, también se puede abusar de las tarjetas sin contacto (basadas en NFC) de la misma manera para crear clones de banda magnética para las transacciones fraudulentas.





Enlace a la noticia authentic