Nuevo truco permite a los atacantes eludir el PIN de MasterCard al usarlos como tarjeta Visa

Pasar por alto el PIN de MasterCard

Los investigadores de ciberseguridad han revelado un nuevo ataque que podría permitir a los delincuentes engañar a un terminal de punto de venta para que realice transacciones con la tarjeta sin contacto Mastercard de una víctima mientras creen que es una tarjeta Visa.

La investigación, publicada por un grupo de académicos de ETH Zurich, se basa en un estudio detallado en septiembre pasado que profundizó en un ataque de omisión de PIN, lo que permite a los malos actores aprovechar la tarjeta de crédito Visa EMV robada o perdida de una víctima para realizar compras de alto valor. sin conocer el PIN de la tarjeta, e incluso engañar al terminal para que acepte transacciones con tarjeta fuera de línea no auténticas.

«Esto no es solo una mera confusión de marcas de tarjetas, sino que tiene consecuencias críticas», dijeron los investigadores David Basin, Ralf Sasse y Jorge Toro. «Por ejemplo, los delincuentes pueden usarlo en combinación con el ataque anterior a Visa para eludir también el PIN de las tarjetas Mastercard. Anteriormente se suponía que las tarjetas de esta marca estaban protegidas por PIN».

Tras la divulgación responsable, los investigadores de ETH Zurich dijeron que Mastercard implementó mecanismos de defensa a nivel de red para frustrar tales ataques. Los hallazgos se presentarán en el 30º Simposio de Seguridad de USENIX en agosto de este año.

Un ataque de confusión de marcas de tarjetas

Al igual que el ataque anterior que involucró a las tarjetas Visa, la última investigación también explota vulnerabilidades «graves» en el protocolo sin contacto EMV ampliamente utilizado, solo que esta vez el objetivo es una tarjeta Mastercard.

En un alto nivel, esto se logra utilizando una aplicación de Android que implementa un ataque de hombre en el medio (MitM) sobre una arquitectura de ataque de retransmisión, lo que permite que la aplicación no solo inicie mensajes entre los dos extremos: el terminal y el tarjeta, sino también para interceptar y manipular las comunicaciones NFC (o Wi-Fi) para introducir maliciosamente una discrepancia entre la marca de la tarjeta y la red de pago.

Dicho de otra manera, si la tarjeta emitida es de la marca Visa o Mastercard, la solicitud de autorización necesaria para facilitar las transacciones EMV se enruta a la red de pago respectiva. El terminal de pago reconoce la marca mediante una combinación de lo que se denomina un número de cuenta principal (PAN, también conocido como número de tarjeta) y un identificador de aplicación (AID) que identifica de forma única el tipo de tarjeta (por ejemplo, Mastercard Maestro o Visa Electron), y advance hace uso de este último para activar un kernel específico para la transacción.

Un kernel EMV es un conjunto de funciones que proporciona toda la lógica de procesamiento y los datos necesarios para realizar una transacción EMV con contacto o sin contacto.

El ataque, denominado «confusión de marcas de tarjetas», se aprovecha del hecho de que estos AID no están autenticados en el terminal de pago, lo que permite engañar a un terminal para que active un kernel defectuoso y, por extensión, al banco que procesa los pagos en en nombre del comerciante, para aceptar transacciones sin contacto con un PAN y un AID que indican diferentes marcas de tarjetas.

«El atacante luego realiza simultáneamente una transacción de Visa con la terminal y una transacción de Mastercard con la tarjeta», detallaron los investigadores.

Sin embargo, el ataque requiere que cumpla una serie de requisitos previos para tener éxito. En particular, los delincuentes deben tener acceso a la tarjeta de la víctima, además de poder modificar los comandos del terminal y las respuestas de la tarjeta antes de entregarlas al destinatario correspondiente. Lo que no requiere es la necesidad de tener privilegios de root o explotar fallas en Android para usar la aplicación de prueba de concepto (PoC).

Pero los investigadores señalan una segunda deficiencia en el protocolo sin contacto EMV que podría permitir que un atacante «construya todas las respuestas necesarias especificadas por el protocolo Visa a partir de las obtenidas de una tarjeta que no sea Visa, incluidas las pruebas criptográficas necesarias para que el emisor de la tarjeta autorice la transacción». . «

Mastercard agrega contramedidas

Usando la aplicación de Android PoC, los investigadores de ETH Zurich dijeron que pudieron omitir la verificación de PIN para transacciones con tarjetas de crédito y débito Mastercard, incluidas dos tarjetas de débito Maestro y dos tarjetas de crédito Mastercard, todas emitidas por diferentes bancos, con una de las transacciones superior a $ 400 .

En respuesta a los hallazgos, Mastercard agregó una serie de contramedidas, incluida la obligación de las instituciones financieras de incluir el AID en los datos de autorización, lo que permite a los emisores de tarjetas verificar el AID con el PAN.

Además, la red de pago ha implementado comprobaciones de otros puntos de datos presentes en la solicitud de autorización que podrían usarse para identificar un ataque de este tipo, rechazando así una transacción fraudulenta desde el principio.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática