Una falla de seguridad permite omitir la verificación del PIN en los pagos sin contacto de Visa


La vulnerabilidad podría permitir a los delincuentes acumular cargos fraudulentos en las tarjetas sin necesidad de conocer los PIN.

Un equipo de investigadores del Instituto Federal Suizo de Tecnología en Zúrich (ETH Zúrich) ha encontrado una vulnerabilidad de seguridad en el protocolo sin contacto EMV de Visa que podría permitir a los atacantes realizar ataques de omisión de PIN y cometer fraude con tarjetas de crédito.

Por contexto, normalmente hay un límite en la cantidad que puede pagar por bienes o servicios utilizando una tarjeta sin contacto. Una vez que se supera el límite, el terminal de la tarjeta solicitará la verificación del titular de la tarjeta, escribiendo el PIN.

Sin embargo, la nueva investigación, titulada «El estándar EMV: romper, arreglar, verificar’, Demostró que un delincuente que puede conseguir una tarjeta de crédito podría aprovechar la falla para realizar compras fraudulentas sin tener que ingresar el PIN, incluso en los casos en que la cantidad excediera el límite.

Los académicos demostraron cómo se puede llevar a cabo el ataque utilizando dos teléfonos Android, una tarjeta de crédito sin contacto y una aplicación de Android de prueba de concepto que desarrollaron especialmente para este propósito.

“El teléfono cerca de la terminal de pago es el dispositivo emulador de tarjeta del atacante y el teléfono cerca de la tarjeta de la víctima es el dispositivo emulador POS del atacante. Los dispositivos del atacante se comunican entre sí a través de WiFi, y con el terminal y la tarjeta a través de NFC «, explicaron los investigadores, y agregaron que su aplicación no necesita ningún privilegio de root especial o hacks de Android para funcionar.

(incrustar) https://www.youtube.com/observe?v=JyUsMLxCCt8 (/ incrustar)

“El ataque consiste en una modificación de un objeto de datos de la tarjeta: el Calificadores de transacciones con tarjeta– antes de entregarlo en el terminal «, se lee en la descripción del ataque, y la modificación indica al terminal que no se necesita una verificación de PIN y que el dispositivo del consumidor ya verificó al titular de la tarjeta.

Los investigadores probaron su ataque de bypass de PIN en uno de los seis protocolos sin contacto EMV (Mastercard, Visa, American Express, JCB, Discover, UnionPay) sin embargo, teorizaron que podría aplicarse también a los protocolos Uncover y UnionPay, aunque no se probaron en la práctica. EMV, el estándar de protocolo internacional para el pago con tarjeta inteligente, se united states of america en más de 9 mil millones de tarjetas en todo el mundo y, a diciembre de 2019, se usaba en más del 80% de todas las transacciones con tarjeta presente a nivel mundial.

Vale la pena mencionar que los investigadores no solo probaron el ataque en condiciones de laboratorio, sino que pudieron llevarlo a cabo con éxito en tiendas reales, utilizando tarjetas Visa Credit rating, Visa Electron y V Pay. Sin duda, utilizaron sus propias tarjetas para la prueba.

El equipo también señaló que sería difícil para un cajero darse cuenta de que algo estaba en marcha, ya que se ha convertido en algo recurring para los clientes pagar por productos con sus teléfonos inteligentes.

Las investigaciones también descubrieron otra vulnerabilidad, que involucra transacciones sin contacto fuera de línea realizadas con una tarjeta Visa o una tarjeta Mastercard antigua. Durante este ataque, el ciberdelincuente modifica los datos generados por la tarjeta denominados «Criptograma de transacción» antes de que se entreguen a la terminal.

Sin embargo, estos datos no pueden ser verificados por el terminal, sino solo por el emisor de la tarjeta, es decir, el banco. Entonces, para el momento en que eso sucede, el ladrón ya está en el viento con la mercancía en la mano. Por razones éticas, el equipo no probó este ataque en terminales reales.

El equipo notificó a Visa sobre sus descubrimientos.





Enlace a la noticia first