Vulnerabilitatea le-ar putea permite infractorilor cibernetici să desfășoare atacuri frauduloase pe carduri, fără a fi nevoie să cunoască codurile PIN ale acestora

O echipă de cercetare de la Institutul Federal Elvețian de Tehnologie din Zurich (ETH Zurich) a descoperit o vulnerabilitate de securitate în protocolul contactless EMV al Visa care le-ar putea permite atacatorilor să deruleze atacuri care să compromită parolele PIN ale victimelor și să comită fraude asupra cardurilor de credit.

În general, există o limită a sumei pe care o putem plăti pentru bunuri sau servicii folosind un card contactless. Odată ce limita este depășită, terminalul cardului va impune verificarea deținătorului cardului - prin introducerea codului PIN.

Cu toate acestea, noua lucrare de cercetare intitulată „The EMV Standard: Break, Fix, Verify ”, a arătat că un infractor cibernetic care reușește să obțină acces la un card de credit i-ar putea exploata defectele pentru achiziții frauduloase, fără a fi nevoie să introducă codul PIN chiar și în cazurile în care suma a depășit limita impusă de card.

Cercetătorii au demonstrat modul în care atacul poate fi efectuat folosind două telefoane Android, un card de credit contactless și o aplicație Android special concepută pentru acest experiment. 

„Telefonul de lângă terminalul de plată este emulatorul de card al atacatorului, iar telefonul de lângă cardul victimei este emulatorul POS al atacatorului. Dispozitivele atacatorului comunică între ele prin WiFi și comunică prin NFC cu terminalul și cardul", au explicat cercetătorii, adăugând că aplicația lor nu are nevoie de privilegii speciale de root sau hack-uri Android pentru a funcționa.

„Atacul constă într-o modificare a unui obiect de date de pe card - CTQ - Card Transaction Qualifiers - înainte de a-l livra către terminal”, se arată în descrierea atacului, iar această modificare îi indică terminalului că nu este necesară o verificare PIN și că titularul cardului a fost deja verificat prin intermediul dispozitivului consumatorului.

Cercetătorii au testat atacul de bypass a parolei PIN pe unul dintre cele șase protocoale contactless EMV (Mastercard, Visa, American Express, JCB, Discover, UnionPay); cu toate acestea, au teoretizat că s-ar putea aplica și protocoalelor Discover și UnionPay, deși acestea nu au fost testate în practică. EMV, standardul internațional de protocol pentru plata cu carduri inteligente, este utilizat în peste 9 miliarde de carduri din întreaga lume și începând din decembrie 2019 a fost utilizat în peste 80% din toate tranzacțiile cu carduri la nivel global.

Merită menționat faptul că cercetătorii nu au testat atacul doar în condiții de laborator, ci au reușit să îl efectueze cu succes în magazine reale, folosind carduri Visa Credit, Visa Electron și V Pay. Pentru a fi siguri, și-au folosit propriile carduri de credit pentru testare.

Echipa a subliniat, de asemenea, că ar fi dificil pentru un casier să observe eventualele nereguli, deoarece a devenit un obicei pentru clienți să plătească bunuri sau servicii direct cu ajutorul smartphone-urilor.

Pe durata cercetării, s-a descoperit, de asemenea, o altă vulnerabilitate, ce implică tranzacții contactless offline efectuate fie de un card Visa, fie de un card Mastercard vechi. În timpul acestui atac, criminalii cibernetici modifică anumite date produse de carduri (mai exact Transaction Cryptogram) înainte de a fi livrate către terminal.

Cu toate acestea, aceste date nu pot fi verificate de terminal, ci doar de emitentul cardului, adică de bancă. Deci, până ar avea loc această verificare, atacatorul poate reuși cu succes să sustragă banii victimei. Din motive etice, echipa nu a testat acest atac cu terminalele din viața reală. 

Echipa a notificat Visa despre această descoperire.