¿Es segura su tarjeta con chip? Mucho depende de dónde deposite – Krebs on Safety


Las tarjetas de crédito y débito basadas en chips están diseñadas para que no sea factible que los dispositivos de descremado o malware clonen su tarjeta cuando paga algo sumergiendo el chip en lugar de deslizar la banda. Pero una serie reciente de ataques de malware contra comerciantes con sede en los EE. UU. Sugiere que los ladrones están explotando las debilidades en cómo ciertas instituciones financieras han implementado la tecnología para eludir las características clave de seguridad de las tarjetas con chip y crear efectivamente tarjetas falsificadas utilizables.

Una tarjeta de crédito con chip. Imagen: Wikipedia.

Las tarjetas de pago tradicionales codifican los datos de la cuenta del titular de la tarjeta en texto sin formato en una banda magnética, que puede leerse y registrarse mediante dispositivos de descremado o application malicioso instalado subrepticiamente en terminales de pago. Esos datos pueden codificarse en cualquier otra cosa con una banda magnética y usarse para realizar transacciones fraudulentas.

Las nuevas tarjetas basadas en chips emplean una tecnología conocida como EMV que cifra los datos de la cuenta almacenados en el chip. La tecnología hace que se genere una clave de cifrado única, denominada token o «criptograma», cada vez que la tarjeta con chip interactúa con un terminal de pago con capacidad de chip.

Prácticamente todas las tarjetas basadas en chips aún tienen gran parte de los mismos datos almacenados en el chip codificado en una banda magnética en la parte posterior de la tarjeta. Esto se debe principalmente a razones de compatibilidad con versiones anteriores, ya que muchos comerciantes, particularmente aquellos en los Estados Unidos, aún no han implementado completamente los lectores de tarjetas con chip. Esta funcionalidad twin también permite a los titulares de tarjetas deslizar la banda si por alguna razón el chip de la tarjeta o el terminal habilitado para EMV de un comerciante no funciona correctamente.

Pero existen diferencias importantes entre los datos del titular de la tarjeta almacenados en chips EMV y las bandas magnéticas. Uno de ellos es un componente en el chip conocido como un valor de verificación de tarjeta de circuito integrado o «iCVV» para abreviar, también conocido como «CVV dinámico».

El iCVV difiere del valor de verificación de tarjeta (CVV) almacenado en la banda magnética física, y protege contra la copia de datos de banda magnética del chip y el uso de esos datos para crear tarjetas de banda magnética falsificadas. Tanto los valores de iCVV como de CVV no están relacionados con el código de seguridad de tres dígitos que está impreso visiblemente en el reverso de una tarjeta, que se utiliza principalmente para transacciones de comercio electrónico o para verificación de tarjeta por teléfono.

El atractivo del enfoque EMV es que, incluso si un skimmer o malware logra interceptar la información de la transacción cuando se sumerge una tarjeta con chip, los datos solo son válidos para esa transacción y no deben permitir que los ladrones realicen pagos fraudulentos con ella en el futuro.

Sin embargo, para que las protecciones de seguridad de EMV funcionen, se supone que los sistemas de back-conclusion implementados por las instituciones financieras emisoras de tarjetas deben verificar que cuando una tarjeta con chip se sumerge en un lector de chips, solo se presenta el iCVV y viceversa, que solo se presenta el CVV cuando se desliza la tarjeta. Si de alguna manera no se alinean para un tipo de transacción determinado, se supone que la institución financiera rechazará la transacción.

El problema es que no todas las instituciones financieras han configurado adecuadamente sus sistemas de esta manera. Como period de esperar, los ladrones han sabido de esta debilidad durante años. En 2017, escribí sobre la creciente prevalencia de «shimmers», dispositivos de alta tecnología para descremado de tarjetas diseñados para interceptar datos de transacciones con tarjetas con chip.

Un primer plano de un brillo encontrado en un cajero automático canadiense. Fuente: RCMP.

Más recientemente, investigadores de Cyber ​​R&D Labs publicado un artículo que detalla cómo probaron 11 implementaciones de tarjetas con chip de 10 bancos diferentes en Europa y EE. UU. Los investigadores descubrieron que podían recolectar datos de cuatro de ellos y crear tarjetas de banda magnética clonadas que se utilizaron con éxito para realizar transacciones.

Ahora hay fuertes indicios de que el malware detallado en el punto de venta (POS) está utilizando el mismo método detallado por Cyber ​​R&D Labs para capturar datos de transacciones EMV que luego se pueden revender y utilizar para fabricar copias en banda magnética de tarjetas basadas en chips.

A principios de este mes, la purple de tarjetas de pago más grande del mundo Visa lanzó una alerta de seguridad con respecto a un reciente compromiso comercial en el que las familias conocidas de malware POS se modificaron aparentemente para apuntar a terminales POS habilitados para chips EMV.

“La implementación de la tecnología de aceptación segura, como el chip EMV®, redujo significativamente la usabilidad de los datos de la cuenta de pago por parte de los actores de amenazas, ya que los datos disponibles solo incluían el número de cuenta personal (PAN), el valor de verificación de la tarjeta de circuito integrado (iCVV) y la fecha de vencimiento «, Escribió Visa. “Por lo tanto, siempre que iCVV esté validado correctamente, el riesgo de fraude falsificado fue mínimo. Además, muchas de las ubicaciones comerciales empleaban encriptación punto a punto (P2PE) que encriptaba los datos de PAN y reducía aún más el riesgo para las cuentas de pago procesadas como Chip EMV® ”.

Visa no nombró al comerciante en cuestión, pero algo very similar parece haber sucedido en Critical Food items Shops Co-Operative Inc., una cadena de supermercados en el noreste de los Estados Unidos. Critical Food items reveló inicialmente un incumplimiento de tarjeta en marzo de 2020, pero hace dos semanas actualizado su aviso para aclarar que los datos de transacciones EMV también fueron interceptados.

«Los dispositivos POS en las tiendas involucradas estaban habilitados para EMV», explicó Crucial Food stuff. «Para las transacciones de EMV en estas ubicaciones, creemos que el malware solo habría encontrado el número de tarjeta y la fecha de vencimiento (pero no el nombre del titular de la tarjeta o el código de verificación interno)».

Si bien la declaración de Key Food stuff puede ser técnicamente precisa, pasa por alto la realidad de que los estafadores aún pueden usar los datos robados de EMV para crear versiones de banda magnética de tarjetas EMV presentadas en los registros de tiendas comprometidas en los casos en que el banco emisor de la tarjeta no EMV implementado correctamente.

Hoy temprano, firma de inteligencia de fraude Gemini Advisory publicado una publicación de weblog con más información sobre compromisos comerciales recientes, incluido Essential Foods, en el que los datos de transacciones de EMV fueron robados y terminaron a la venta en tiendas subterráneas que atienden a ladrones de tarjetas.

«Las tarjetas de pago robadas durante esta violación se ofrecieron a la venta en la world wide web oscura», explicó Gemini. «Poco después de descubrir esta violación, varias instituciones financieras confirmaron que las tarjetas comprometidas en esta violación se procesaron todas como EMV y no confiaron en la banda magnética como alternativa».

Gemini dice que ha verificado que otra violación reciente, en una tienda de licores en Ga, también resultó en datos de transacciones EMV comprometidas que se muestran a la venta en tiendas internet oscuras que venden datos de tarjetas robadas. Como han señalado Gemini y Visa, en ambos casos, la verificación adecuada de iCVV por parte de los bancos debería hacer que estos datos interceptados de EMV sean inútiles para los delincuentes.

Géminis determinó que debido a la gran cantidad de tiendas afectadas, es extremadamente improbable que los ladrones involucrados en estas violaciones interceptaran los datos de EMV utilizando reflectores de tarjetas EMV instalados físicamente.

«Dada la extrema impracticabilidad de esta táctica, probablemente utilizaron una técnica diferente para violar de forma remota los sistemas POS para recopilar suficientes datos EMV para realizar la clonación de derivación EMV», escribió la compañía.

Stas Alforov, Director de investigación y desarrollo de Gemini, dijo que las instituciones financieras que no realizan estos controles corren el riesgo de perder la capacidad de darse cuenta cuando esas tarjetas se usan para fraude.

Esto se debe a que muchos bancos que han emitido tarjetas basadas en chips pueden asumir que, siempre y cuando esas tarjetas se usen para transacciones con chips, prácticamente no hay riesgo de que las tarjetas se clonen y se vendan en el subsuelo. Por lo tanto, cuando estas instituciones buscan patrones en transacciones fraudulentas para determinar qué comerciantes pueden verse comprometidos por el malware POS, pueden descontar por completo los pagos basados ​​en chips y centrarse solo en aquellos comerciantes en los que un cliente ha deslizado su tarjeta.

«Las redes de tarjetas se están dando cuenta del hecho de que hay muchas más infracciones basadas en EMV en este momento», dijo Alforov. «Los emisores de tarjetas más grandes como Chase o Financial institution of The us están verificando (por una falta de coincidencia entre el iCVV y el CVV), y eliminarán las transacciones que no coinciden. Pero claramente ese no es el caso con algunas instituciones más pequeñas ”.

Para bien o para mal, no sabemos qué instituciones financieras no han podido implementar correctamente el estándar EMV. Es por eso que siempre vale la pena vigilar de cerca sus estados de cuenta mensuales e informar de inmediato cualquier transacción no autorizada. Si su institución le permite recibir alertas de transacciones por mensaje de texto, esta puede ser una forma casi en tiempo serious de estar atento a dicha actividad.


Etiquetas: tarjetas con chip, cvv, Cyber ​​R&D Labs, EMV, Gemini Advisory, iCVV, Important Food stuff brech, POS malware, shimmers, skimmers, Stas Alforov, Visa

Esta entrada fue publicada el jueves 30 de julio de 2020 a las 11:09 am y está archivada en Todo sobre Skimmers, Most up-to-date Warnings, The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el last y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia initial