O seu cartão bancário com chip é seguro? Depende do banco





Os cartões bancários com chip são projetados de forma que não haja nenhum ponto em cloná-los com skimmers ou malware quando você paga usando um cartão com chip em vez de uma tarja magnética. No entanto, vários ataques recentes a lojas americanas indicam que os ladrões estão explorando as fraquezas na implementação dessa tecnologia por algumas das instituições financeiras. Isso permite que eles ignorem os cartões com chip e, de fato, criem falsificações utilizáveis.



Tradicionalmente, os cartões de plástico codificam os dados da conta do proprietário em texto simples em uma fita magnética. Skimmers ou malware ocultos em terminais de pagamento podem ler dados dele e anotá-los. Esses dados podem ser codificados em qualquer outro cartão de tarja magnética e usados ​​para transações financeiras fraudulentas.



Os cartões mais modernos usam tecnologia EMV (Europay + MasterCard + Visa), que criptografa os dados da conta armazenados no chip. Graças a essa tecnologia, cada vez que um cartão interage com um terminal que suporta chips, uma chave única única é gerada, que é chamada de token ou criptograma.



Quase todos os cartões com chip armazenam os mesmos dados que são codificados na tarja magnética do cartão. Isso é para compatibilidade com versões anteriores, já que muitos fornecedores dos EUA ainda precisam mudar para terminais habilitados para chip. Essa funcionalidade dupla também permite que os portadores de cartão usem a tarja magnética se o chip do cartão ou o terminal do comerciante não estiver funcionando corretamente.



No entanto, existem várias diferenças entre os dados armazenados em um chip EMV e os dados em uma tarja magnética. Um deles é um componente de chip denominado Código de Verificação de Cartão de Circuito Integrado, ou iCVV, que às vezes também é conhecido como “CVV dinâmico”.



O iCVV é diferente do código de confirmação do cartão CVV armazenado em fita magnética e protege contra a cópia de dados do chip e seu uso para criar cartões de tarja magnética falsificados. Tanto o iCVV quanto o CVV não estão associados ao código numérico de três dígitos impresso no verso do cartão, que geralmente é usado para pagar em lojas online ou confirmar o cartão por telefone.



A vantagem da abordagem EMV é que, mesmo se um skimmer ou um vírus interceptar informações sobre uma transação de cartão, esses dados serão válidos apenas para essa transação e não devem mais permitir que ladrões façam pagamentos fraudulentos no futuro.



No entanto, para que todo esse sistema de segurança funcione, os sistemas de back-end implantados por instituições financeiras emissoras de cartões devem verificar se quando um cartão é inserido no terminal, apenas o iCVV é emitido junto com os dados, e vice-versa, que no pagamento com tarja magnética, apenas CVV. Se essas informações não corresponderem ao tipo de transação selecionado, a instituição financeira deve rejeitar a transação.



O problema é que nem todas as organizações configuraram seus sistemas corretamente. Não é nenhuma surpresa que os ladrões conheçam esses pontos fracos há anos. Em 2017, escrevi sobre um aumento na porcentagem de uso de " shimmers " - skimmers de alta tecnologia que interceptam dados de transações feitas com um chip.





Shimmer encontrado em um caixa eletrônico canadense



Pesquisadores do Cyber ​​R&D Labs publicaram recentemente os resultados de um estudo no qual testaram 11 tipos de implementação de chip em cartões de 10 bancos diferentes na Europa e nos Estados Unidos. Eles descobriram que podiam obter dados de quatro deles, criar cartões de tarja magnética clonados e usá-los para pagamentos.



Há todos os motivos para acreditar que o método detalhado pelo Cyber ​​R&D Labs está sendo usado por malware que se instala em terminais de lojas. Os programas interceptam dados de transação do EMV, que podem ser revendidos e usados ​​para fazer cópias de cartões com chip, mas usando uma tarja magnética.



Em julho de 2020, a maior rede de pagamentos do mundo Visa emitiu um alertasobre ameaças de segurança relativas aos terminais de um vendedor recentemente comprometido. Em seus terminais, o malware foi corrigido para funcionar com cartões com chip.



“A implementação de tecnologias de pagamento seguras, como o chip EMV, reduziu significativamente os benefícios dos dados de pagamento da conta para terceiros, uma vez que esses dados incluem apenas o número da conta PAN pessoal, o código de verificação do cartão iCVV e a data de expiração dos dados”, escreveu Visa. “Portanto, com a confirmação correta do iCVV, o risco de falsificação era mínimo. Além disso, muitos comerciantes têm usado terminais criptografados P2PE que criptografam PANs, reduzindo ainda mais o risco de fazer pagamentos. ”



O nome do vendedor não foi mencionado, mas algo semelhante parece ter acontecido na Key Food Stores Co-Operative Inc., uma rede de supermercados no nordeste dos Estados Unidos. A Key Food revelou inicialmente os detalhes do hack do cartão em março de 2020, mas atualizou a declaração em julho de 2020 para esclarecer que os dados da transação EMV também foram interceptados.



“Os terminais nas lojas eram habilitados para EMV”, explica Key Food. "Em nossa opinião, durante as transações nesses pontos, o malware só conseguiu interceptar o número do cartão e a data de validade (não o nome do proprietário e nem o código de confirmação interno)."







Embora a afirmação da Key Food seja tecnicamente correta, ela embeleza a realidade - dados EMV roubados ainda podem ser usados ​​para criar variantes de cartões de tarja magnética que podem ser usados ​​em caixas com terminais de malware instalados quando o banco emissor do cartão não conseguiu vender A proteção EMV está correta.



Em julho, a empresa antifraude Gemini Advisory publicou um post em um blog detalhando hacks recentes em comerciantes - incluindo a Key Food - que roubaram dados de transações EMV, que então foram colocados à venda ilegalmente lojas de cardadoras.



"Os cartões de pagamento roubados durante este incidente foram colocados à venda na dark web", explica Gemini. "Logo após o incidente ser descoberto, várias instituições financeiras confirmaram que todos os cartões participantes foram processados ​​por meio do EMV, sem depender da tarja magnética como método alternativo."



A Gemini afirma ter confirmado que outro incidente de segurança em uma loja de bebidas da Geórgia também comprometeu os dados de transações EMV, resultando em sua aparição mais tarde na dark web de sites de venda de cartões roubados. Conforme observado por Gemini e Visa, em ambos os casos, a confirmação correta dos dados iCVV dos bancos deveria ter tornado os dados inúteis para os fraudadores.



Gemini determinou que o grande número de lojas afetadas sugeria que era altamente improvável que ladrões interceptassem dados EMV usando shimmers de EMV instalados manualmente.



"Dada a impraticabilidade dessa tática, pode-se concluir que eles usaram uma técnica diferente para invadir terminais de pagamento e coletar dados EMV suficientes para realizar a clonagem de bypass EMV", escreveu a empresa.



Stas Alferov, diretor de pesquisa e desenvolvimento da Gemini, disse que as instituições financeiras que não realizam tais verificações perdem a capacidade de rastrear casos de uso indevido de tais cartões.



O fato é que muitos bancos que emitiram cartões com chip acreditam que, desde que sejam usados ​​para transações com chip, praticamente não há risco de clonagem e venda em mercados clandestinos. Portanto, quando essas organizações procuram padrões em transações fraudulentas para determinar quais equipamentos dos fornecedores foram comprometidos por malware, elas podem ignorar completamente os pagamentos baseados em chip e se concentrar apenas nos caixas onde os clientes passaram o cartão em faixas.



“As redes de cartões estão começando a entender que há muito mais transações EMV hackeadas agora”, disse Alferov. “Os grandes emissores de cartões, como o Chase ou o Bank of America, já estão verificando as inconsistências do iCVV e CVV e rejeitando transações suspeitas. No entanto, as organizações menores claramente não. "



Para o bem ou para o mal, não sabemos quais instituições financeiras implementaram incorretamente o padrão EMV. Portanto, você deve sempre monitorar cuidadosamente os gastos do seu cartão e relatar quaisquer transações não autorizadas imediatamente. Se o seu banco permite que você receba mensagens de texto sobre transações, isso o ajudará a rastrear tal atividade quase em tempo real.



All Articles