Uma equipe de pesquisadores do Instituto Federal Suíço de Tecnologia em Zurique (ETH Zurique) descobriu uma vulnerabilidade no protocolo EMV, usado para realizar pagamentos com cartões contactless (por aproximação), que pode permitir a realização de ataques que eliminam a necessidade do uso da senha de verificação para debitar valores em cartões de crédito.
Para contextualizar, normalmente há um limite no valor que pode ser pago por bens ou serviços usando um cartão contactless - que permite o pagamento por aproximação. Quando esse limite é excedido, o sistema solicita a senha do cartão como forma de verificação.
No entanto, uma nova pesquisa, intitulada “The EMV Standard: Break, Fix, Verify”, mostrou como um criminoso, tendo em mãos um cartão de crédito, pode explorar a falha para fazer compras falsas sem que seja necessário inserir a senha de verificação quando o valor ultrapassa o limite permitido.
Os acadêmicos demonstraram como o ataque pode ser realizado usando dois telefones Android, um cartão de crédito contactless e um aplicativo de prova de conceito para Android que foi desenvolvido especialmente para essa pesquisa.
“O telefone próximo da máquina de cobrança é o dispositivo emulador do cartão do criminoso e o telefone próximo ao cartão da vítima é o dispositivo emulador do POS do criminoso. Os dispositivos do criminoso se comunicam entre si via Wi-Fi, e com maquininha e o cartão via NFC (Near Field Communication)”, explicam os pesquisadores, acrescentando que o aplicativo não precisa de nenhum privilégio de root ou hack em especial para Android.
"O ataque consiste em uma modificação do CTQ (Card Transaction Qualifiers), que é um objeto de dados originado do cartão que qualifica as transações, antes de entregá-lo à máquina de cobrança", explicam os pesquisadores. A modificação indica ao terminal (maquininha) que a verificação de senha não é necessária e que o titular do cartão já foi verificado pelo dispositivo do consumidor.
Os pesquisadores testaram o ataque de desvio de senha em um dos seis protocolos EMV para pagamento por aproximação (cada protocolo corresponde a uma marca diferente, como Mastercard, Visa, American Express, JCB, Discover, UnionPay). Neste caso, o teste de omissão da senha foi realizado no protocolo da VISA. No entanto, em teoria, poderia ser aplicado aos protocolos Discover e UnionPay, embora não tenham sido testados na prática. O EMV, protocolo padrão internacional para pagamento com cartão contactless, é usado por mais de 9 bilhões de cartões em todo o mundo e, em dezembro de 2019, era usado em mais de 80% das transações que atualmente são feitas com cartão a nível mundial.
Vale destacar que os pesquisadores não só testaram o ataque em condições de laboratório, mas também em lojas reais, usando cartões Visa Credit, Visa Electron e V Pay. Por segurança, eles usaram seus próprios cartões para os testes.
A equipe também observou que seria difícil para um caixa perceber que algo fora do comum estava acontecendo, já que a realização de pagamentos com smartphones se tornou algo habitual.
As pesquisas realizadas também permitiram descobrir outra vulnerabilidade, que envolve transações por aproximação realizadas offline, seja com um cartão Visa ou um cartão Mastercard antigo. Durante esse ataque, o cibercriminoso modifica os dados produzidos pelo cartão chamados "criptograma de transação" antes de serem enviados para a máquina de cobrança. No entanto, esses dados não podem ser verificados pela maquininha, mas apenas pelo emissor do cartão, ou seja, o banco. Por motivos éticos, a equipe não testou esse ataque em maquininhas da vida real.
A equipe de pesquisadores notificou a Visa sobre as descobertas.