Nueva falla de omisión de verificación de PIN afecta los pagos sin contacto de Visa

visa

Incluso cuando Visa emitió una advertencia sobre un nuevo skimmer web de JavaScript conocido como Baka, los investigadores de seguridad cibernética descubrieron una falla de autenticación en las tarjetas de pago habilitadas para EMV de la compañía que permite a los ciberdelincuentes obtener fondos y estafar a los titulares de tarjetas, así como a los comerciantes de manera ilícita.

La investigación, publicada por un grupo de académicos de ETH Zurich, es un ataque de omisión de PIN que permite a los adversarios aprovechar la tarjeta de crédito robada o perdida de una víctima para realizar compras de alto valor sin conocer el PIN de la tarjeta, e incluso engañar a un punto. terminal de venta (PoS) para aceptar una transacción de tarjeta fuera de línea no auténtica.

Todas las tarjetas sin contacto modernas que utilizan el protocolo Visa, incluidas las tarjetas Visa Credit, Visa Debit, Visa Electron y V Pay, se ven afectadas por la falla de seguridad, pero los investigadores postularon que podría aplicarse a los protocolos EMV implementados por Discover y UnionPay como bien. Sin embargo, la laguna no afecta a Mastercard, American Express y JCB.

Los hallazgos se presentarán en el 42° Simposio IEEE sobre Seguridad y Privacidad que se realizará en San Francisco el próximo mes de mayo.

Modificación de los calificadores de transacciones de tarjetas a través de MitM Attack

EMV (abreviatura de Europay, Mastercard y Visa), el estándar de protocolo internacional ampliamente utilizado para el pago con tarjeta inteligente, requiere que las cantidades más grandes solo se puedan debitar de las tarjetas de crédito con un código PIN.

Pero la configuración ideada por los investigadores de ETH explota una falla crítica en el protocolo para montar un ataque de hombre en el medio (MitM) a través de una aplicación de Android que «instruye al terminal que no se requiere la verificación del PIN porque la verificación del titular de la tarjeta se realizó en el dispositivo del consumidor».

El problema surge del hecho de que el método de verificación del titular de la tarjeta (CVM), que se utiliza para verificar si una persona que intenta realizar una transacción con una tarjeta de crédito o débito es el titular legítimo de la tarjeta, no está protegido criptográficamente contra modificaciones.

https://www.youtube.com/watch?v=JyUsMLxCCt8

Como resultado, los Calificadores de transacciones de tarjetas (CTQ) utilizados para determinar qué verificación de CVM, si corresponde, se requiere para la transacción pueden modificarse para informar a la terminal PoS que anule la verificación del PIN y que la verificación se llevó a cabo utilizando el dispositivo del titular de la tarjeta. como un reloj inteligente o un teléfono inteligente (llamado Método de verificación del titular de la tarjeta del dispositivo del consumidor o CDCVM).

Explotación de transacciones fuera de línea sin que se le cobre

Además, los investigadores descubrieron una segunda vulnerabilidad, que involucra transacciones sin contacto fuera de línea realizadas con una tarjeta Visa o una tarjeta Mastercard antigua, lo que permite al atacante alterar un dato específico llamado «Criptograma de aplicación» (AC) antes de que se entregue a la Terminal.

Las tarjetas sin conexión generalmente se usan para pagar directamente bienes y servicios desde la cuenta bancaria del titular de la tarjeta sin requerir un número PIN. Pero como estas transacciones no están conectadas a un sistema en línea, hay un retraso de 24 a 72 horas antes de que el banco confirme la legitimidad de la transacción usando el criptograma, y ​​el monto de la compra se debita de la cuenta.

Un delincuente puede aprovechar este mecanismo de procesamiento retrasado para usar su tarjeta para completar una transacción fuera de línea y de bajo valor sin que se le cobre, además de liquidar las compras en el momento en que el banco emisor rechaza la transacción debido al criptograma incorrecto.

«Esto constituye un ataque de ‘almuerzo gratis’ en el que el delincuente puede comprar bienes o servicios de bajo valor sin que se le cobre nada», dijeron los investigadores, y agregaron que es poco probable que la naturaleza de bajo valor de estas transacciones sea un «negocio atractivo». modelo para los delincuentes».

Mitigación de la omisión de PIN y los ataques fuera de línea

Además de notificar a Visa sobre las fallas, los investigadores también propusieron tres soluciones de software al protocolo para evitar la omisión de PIN y los ataques fuera de línea, incluido el uso de la Autenticación dinámica de datos (DDA) para asegurar transacciones en línea de alto valor y el uso de criptogramas en línea en todos los terminales PoS, lo que hace que las transacciones fuera de línea se procesen en línea.

«Nuestro espectáculo de ataque[ed] que el PIN es inútil para transacciones sin contacto de Visa [and] reveló diferencias sorprendentes entre la seguridad de los protocolos de pago sin contacto de Mastercard y Visa, lo que demuestra que Mastercard es más segura que Visa «, concluyeron los investigadores. Estas fallas violan propiedades de seguridad fundamentales como la autenticación y otras garantías sobre las transacciones aceptadas».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática