Geral 3min de Leitura - 22 de fevereiro de 2021

Cibercriminosos aplicam golpes envolvendo cartões de crédito

Uma mão segurando máquina de cartão e a outra aproximando cartão da máquina.

This post is also available in: Português Español

Nas compras com cartão de débito ou crédito, tão comuns na atualidade, é normal ouvir o vendedor perguntar qual é a bandeira a ser utilizada. A grande maioria das respostas envolve os nomes Visa e Mastercard, que dominam o mercado brasileiro. Porém, alguns cibercriminosos estão conseguindo misturar as duas marcas para praticar golpes.

Pesquisadores de segurança cibernética publicaram um documento sobre um tipo de ataque que engana um terminal de ponto de venda – a maquininha – para fazer compras com o cartão Mastercard contactless (por aproximação) como se fosse um cartão Visa.

A pesquisa, lançada por um grupo de acadêmicos da ETH Zurich, baseia-se em um estudo publicado em setembro passado. Na época, o relatório investigava um ataque de desvio de PIN que permitia aproveitar um cartão de crédito habilitado para Visa EMV roubado ou perdido para fazer compras sem o conhecimento do PIN do cartão. Era possível também enganar o terminal para aceitar transações de cartão off-line não autênticas. A sigla EMV faz referência a um padrão técnico para pagamentos com cartões inteligentes, que são aqueles com um chip integrado.

Marcas misturadas

A pesquisa também explora vulnerabilidades “sérias” no protocolo contactless EMV, só que desta vez o alvo é um cartão Mastercard.

Isso é possível usando um aplicativo Android que implementa um ataque do tipo man-in-the-middle (MitM) sobre uma arquitetura de ataque de retransmissão. Assim, permite-se que o aplicativo não apenas estabeleça comunicação entre o terminal e o cartão, mas também intercepte e manipule as comunicações NFC (ou Wi-Fi) para introduzir maliciosamente uma incompatibilidade entre a marca do cartão e a rede de pagamento.

Nesse contexto, se o cartão emitido for da bandeira Visa ou Mastercard, o pedido de autorização necessária para realizar as transações EMV é encaminhado para a respectiva rede. A maquininha reconhece a marca usando uma combinação do número de conta principal (PAN, na sigla em inglês, também conhecido como número do cartão) e um identificador de aplicativo (AID) que identifica exclusivamente o tipo de cartão – Mastercard Maestro ou Visa Electron, por exemplo.

Depois, usa o AID para ativar um kernel específico para a transação. Um kernel EMV é um conjunto de funções que fornece toda a lógica de processamento e dados necessários para realizar a conexão EMV ou uma transação sem contato.

O ataque, apelidado de “mix de marca de cartão”, aproveita o fato de que esses AIDs não são autenticados no terminal de pagamento. Assim, existe a possibilidade de enganar a maquininha para ativar um kernel defeituoso. “O golpista então realiza simultaneamente uma transação Visa com o terminal e uma transação Mastercard com o cartão”, descreveram os pesquisadores.

Não é tão simples

Felizmente, o ataque exige que os cibercriminosos atendam a uma série de pré-requisitos. É preciso, por exemplo, ter acesso ao cartão da vítima, além de poder modificar os comandos do terminal e as respostas do cartão antes de entregá-las ao destinatário correspondente.

Mas os autores do estudo observam que uma segunda lacuna no protocolo EMV por aproximação pode permitir que um invasor crie todas as respostas necessárias especificadas pelo protocolo Visa a partir das obtidas de um cartão não Visa, incluindo as provas criptográficas necessárias para o emissor do cartão autorizar a transação.

Usando o aplicativo PoC para Android, os pesquisadores da ETH Zurich disseram que conseguiram ignorar a verificação do PIN para transações com cartões de crédito e débito Mastercard, emitidos por bancos diferentes, com uma das transações superior a US$ 400. Ou seja, mesmo em valores altos é possível aplicar o golpe.

Em resposta, a Mastercard disse que está implementando uma série de medidas, incluindo obrigar as instituições financeiras a incluir o AID nos dados de autorização, permitindo que os emissores de cartão comparem o AID com o PAN.

Além disso, a rede de pagamento implementou verificações para outros pontos de dados presentes na solicitação de autorização, que poderiam ser usados para identificar um ataque desse tipo, recusando, assim, uma transação fraudulenta desde o início.

De qualquer maneira, as descobertas da equipe da ETH Zurich são bastante relevantes. Inclusive, serão apresentadas no 30º Simpósio de Segurança Usenix em agosto deste ano. Assim, fica evidente a voracidade dos cibercriminosos em ludibriar sistemas de pagamento – que precisam receber cada vez mais investimentos para se manterem minimamente seguros.

This post is also available in: Português Español