Consiguen robar dinero de tarjetas de crédito sin conocer el PIN

Las tarjetas de débito y crédito se usan cada vez más como medios de pago. Gracias al pago sin contacto, podemos hacer transacciones con pago sin tocar nada, ayudando a reducir la expansión de virus y otros patógenos presentes en el dinero físico. La seguridad en estas tarjetas es muy importante, y por ello es alarmante la vulnerabilidad que ha descubierto un grupo de investigadores de la Escuela Politécnica Federal de Zúrich.

La investigación estaba basada en un estudio publicado en septiembre, que indagaba en un ataque que permitía saltarse la verificación con PIN en tarjetas VISA, de manera que cualquier tarjeta robada o perdida en manos de un atacante podía usarse para realizar transacciones de grandes cantidades de dinero sin conocer el PIN. De hecho, era posible incluso engañar a un terminal para aceptar transacciones hechas offline.

La vulnerabilidad de VISA, aprovechada en MasterCard

Ahora, los investigadores han ido un paso más allá, y han aprovechado este fallo de seguridad para poder realizar transacciones no autorizadas con tarjetas MasterCard a través de la vulnerabilidad de VISA.

El fallo reside en el protocolo EMV de pago sin contacto. Para aprovecharlo, es necesario usar una aplicación en Android que implementa un ataque de man-in-the-middle (un ataque de relay, en concreto), permitiendo a la aplicación iniciar mensajes entre el terminal y la tarjeta, e interceptar y manipular comunicaciones por NFC o WiFi para hacer creer que se está usando una tarjeta de otra compañía. En el siguiente vídeo podemos ver la demostración con un pago de 400 francos suizos:

Cuando una transacción se hace con una tarjeta VISA o MasterCard, se usan sus respectivas redes para procesarla. Cada tarjeta tiene un identificador único para activar el kernel que redirige a su respectiva red de pago. Estos identificadores, llamados Application Identificar (AID), son los vulnerables al ataque, al no estar verificados en el propio terminal de pago. Con ello, se puede activar un kernel falso y hacer que un banco acepte transacciones sin contacto de tarjetas de diferentes fabricantes. En definitiva, el atacante realiza simultáneamente una transacción Visa con el terminal y una transacción MasterCard con la tarjeta.

El ataque se lleva a cabo con un móvil

Para poder llevar a cabo el ataque, es necesario que el atacante tenga acceso a la tarjeta física real o un móvil que la tenga asociada. También es necesario poder modificar los comandos del terminal y las respuestas de la tarjeta antes de entregarlos al correspondiente receptor. Mediante su app, los investigadores consiguieron saltarse la verificación por PIN para las transacciones con tarjetas de crédito y débito de MasterCard y Maestro.

MasterCard ha solucionado ya el fallo para poder bloquear este tipo de ataques, entre las que se encuentran hacer obligatorio para las instituciones financieras que incluyan el AID en los datos de autorización para las transacciones. Además, la red de pago comprobará otros datos en las solicitudes de autorización que pueden ser usados para identificar ataques de este tipo, gracias a lo cual pueden bloquear cualquier tipo de transacción fraudulenta desde el principio.

Fuente > THN

1 Comentario