Pesquisadores do Instituto Federal de Tecnologia da Suíça em Zurich (ETH Zurich) descobriram uma forma de contornar a autenticação em cartões de crédito e débito Mastercard e fazer transações por aproximação sem saber a senha do cartão.

O ataque foi batizado de “Card Brand Mixup” (algo como “confusão com a bandeira do cartão”), e a pesquisa que levou à sua descoberta será apresentada durante a 30ª edição do simpósio de segurança USENIX em agosto deste ano.

Na fração de segundos entre você encostar um cartão de crédito em um terminal (a “maquininha”) e a transação ser confirmada, cartão e terminal tem uma sofisticada conversa onde trocam uma série de comandos para aprovar uma compra.

O que os pesquisadores fizeram foi implementar um ataque “man in the middle” (“homem no meio”), onde a comunicação entre duas partes é interceptada e manipulada sem que elas tenham consciência disso, induzindo-as ao erro.

publicidade

Eles criaram dois aplicativos Android que funcionam como um “emulador de terminal” e “emulador de cartão”. Para realizar uma transação, o cartão do banco é colocado sobre um smartphone rodando o emulador de terminal, e outro smartphone rodando o emulador de cartão é colocado sobre a maquininha.

Os dois emuladores conversam entre si, manipulando as mensagens trocadas entre o terminal e o cartão. “Um criminoso realiza simultaneamente uma transação Visa com o terminal e uma transação Mastercard com o cartão”, disseram os pesquisadores. O processo é mostrado no vídeo abaixo:

Usando os apps que desenvolveram como prova de conceito, os pesquisadores afirmaram ter conseguido contornar a autenticação por senha em dois cartões de débito Maestro e dois cartões de crédito Mastercard, todos emitidos por diferentes bancos, com uma das transações excedendo os US$ 460 (quase R$ 2.500).

Para que o ataque tenha sucesso, o crimonoso precisa ter o cartão físico da vítima. E a estrutura necessária reduz as chances de que o golpe seja usado, por exemplo, em uma loja no varejo sem chamar a atenção

Mas em um mundo onde qualquer um pode comprar uma “maquininha” e receber o valor das transações diretamente em sua conta-corrente, não é difícil imaginar um bandido se aliando a um ou mais estabelecimentos inescrupulosos para aprovar transações com um cartão roubado.

Os pesquisadores informaram à Mastercard sobre a vulnerabilidade. Em resposta a empresa adicionou um número de contramedidas à sua rede, que agora é capaz de identificar um ataque do tipo e negar imediatamente uma transação fraudulenta.

Fonte: The Hacker News