Enquanto os bancos festejam o quão descolada a tecnologia é (o Banco Inter lançou seu cartão com a tecnologia poucas horas atrás), pesquisadores de segurança da informação descobriram que praticamente todos os cartões Contactless testados estão vulneráveis a ataques do tipo replay, além de outros já expostos anteriormente.

“As vulnerabilidades nos pagamentos contactless representam uma ameaça à integridade do modelo de pagamento cada vez mais popular”, alertaram os pesquisadores de segurança Leigh-Anne Galloway e Tim Yunusov, ambos da empresa Positive Technologies.

Os pagamentos Contactless por NFC foram introduzidos pela primeira vez em 2007 e estão se tornando cada vez mais comuns, representando hoje 40% das transações em todo o mundo e substituindo rapidamente os métodos de verificação de chip e PIN e dinheiro, como métodos de pagamento preferenciais.

Protocolos e criptografia antiga

Nos últimos meses, a dupla vem descobrindo e expondo vários problemas na segurança de pagamentos contactless através de palestras em eventos de ciber-segurança e artigos científicos.

Os pesquisadores explicaram que protocolo criptográfico por trás dos pagamentos NFC é obsoleto e vulnerável. Em particular, foram encontradas falhas nos valores das chaves de geração, no número imprevisível (ONU) e no contador de transações de aplicativos (ATC).

Essas deficiências tornam possível clonar transações.

Alguns dos problemas decorrerem do uso de protocolos muito mais antigos que a própria tecnologia, incluindo o modo de tarja magnética e os protocolos EMV (utilizados por Europay, MasterCard e Visa).

Em outro momento, os pesquisadores realizaram um ataque pré-reprodução usando o EMV sem fazer o downgrade para os modos legados.

Yunusov disse ao site Daily Swig que o ataque foi possível devido à falta de cheques pelos bancos emissores de cartões. Galloway e Yunusov divulgaram sua pesquisa de forma particular à Mastercard, Visa e vários bancos antes de demonstrar publicamente os hacks que haviam descoberto.

“A Visa está ciente dos problemas, mas não vê nenhum problema”, disse Yunusov. A Mastercard, que tem maior presença na Europa, está menos exposta.

A conveniência adicionou riscos, apesar da negação da indústria

Os sistemas de pagamento sem contato envolvem o uso de cartões de crédito e cartões de débito, smartphones e outros dispositivos que incorporam identificação por radiofrequência (RFID) ou comunicação de campo próximo para efetuar pagamentos seguros.

O chip e a antena do circuito integrado incorporados permitem que os consumidores passem o cartão ou o smartphone pelo leitor no terminal do ponto de venda para efetuar um pagamento.

Os comerciantes gostam porque as transações podem ser concluídas rapidamente, acelerando filas e aumentando as vendas. Como normalmente não é necessária nenhuma verificação de assinatura ou PIN, as compras sem contato geralmente se limitam a vendas de pequeno valor.

Segundo Yunusov, os gateways de pagamento afirmam que “enquanto a fraude for coberta pelo seguro ou não exceder as expectativas, está tudo bem”, ignorando a dor de cabeça gerada pro consumir ao lidar com cobranças indevidas relativas a fraudes e golpes.

“Enquanto a fraude for coberta pelo nosso seguro ou não exceder as expectativas, está tudo bem”



Mais detalhes relacionados às descobertas e para acesso ao material da apresentação realizada na última Black Hat estão disponíveis no site da Galloway: https://leigh-annegalloway.com/presentation-materials/