Dados de cartão de pagamento emitidos por grandes bancos e organizações são constantemente alvo de criminosos de computador que usam diferentes métodos de hacking. Contudo, os cartões de pagamento Visa foram considerados vulneráveis a um novo tipo de ataque categorizado como um desvio de PIN. Ele permite que os hackers manipulem os terminais de pagamento para aceitar transações com cartões não autênticos.
Cartões de pagamento Visa identificados com nova falha de autenticação que leva ao desvio de verificação do PIN
Bancos e instituições financeiras precisam estar atentos a um novo e sério problema de segurança que afeta os cartões de pagamento baseados na rede VISA. Um grupo acadêmico de segurança publicou uma extensa pesquisa chamada EMVrace o que mostra que o Visa é vulnerável a um Ataque de desvio de PIN. Esta é uma das deficiências detectadas que foram feitas após uma análise detalhada da forma como os pagamentos são feitos usando o padrão EMV atual.
Uma das consequências mais perigosas é observada e demonstrada o método que permite que os hackers obtenham fundos dos titulares do cartão e manipulem os comerciantes da web para aceitá-los sem autenticação. Ao fazer pagamentos sem contato, as transações exigem uma verificação do código PIN quando um certo limite de dinheiro é atingido. Abaixo disso, em quase todos os casos, os pagamentos serão automatizados.
Para que o ataque aconteça, os criminosos terão de obter os detalhes do cartão de pagamento roubando ou adquirindo por outros meios. A alternativa é fazer isso por meio do popular NFC skimmin opção que usa a tecnologia de comunicação nearfield a fim de escanear os cartões próximos e copiar seus detalhes.
A fim de provar a eficiência e o perigo deste ataque, os pesquisadores criaram um demonstrativo cenário de prova de conceito. Depende da criação de um abordagem man-in-the-middle usando um aplicativo Android especialmente projetado. É usado para modificar o comportamento dos terminais de pagamento projetados para alterar as respostas do cartão antes de serem entregues ao dispositivo.
Como resultado do ataque feito, os criminosos podem concluir compras usando o cartão da vítima e podem superar o limite sem PIN usando a modificação de um valor chamado Qualificadores de transação de cartão. Ao abusar da conexão usando os protocolos remotos, os terminais de pagamento serão instruídos a superar a verificação do PIN e confiar que a identidade do titular do cartão já foi verificada. Para mais confirmação do sucesso do ataque, os pesquisadores também testaram o ataque a terminais ativos em lojas físicas.
Como consequência dos ataques feitos, os pesquisadores observam que este método se aplica aos protocolos Visa e Mastercard.