credit-card

I ricercatori del Dipartimento di informatica presso l’ETH di Zurigo, hanno individuato alcuni bug di autenticazione nel protocollo contactless Visa che permettono di bypassare l’inserimento del pin della carta per importi superiori al limite stabilito dal proprio Istituto di credito.

EMV (dal nome dei suoi fondatori Europay, Mastercard e Visa) è lo standard del protocollo internazionale per il pagamento con smartcard. A partire da dicembre 2019, EMV è utilizzato in oltre 9 miliardi di carte di debito e di credito in tutto il mondo. Nonostante la sicurezza pubblicizzata dallo standard, in precedenza sono stati scoperti vari problemi, derivanti da difetti logici che sono difficili da individuare nelle lunghe e complesse specifiche di EMV, che coprono oltre 2.000 pagine.

Per eseguire l’attacco, i criminali devono avere accesso alla tua carta, rubandola / trovandola in caso di smarrimento, oppure avvicinandola ad un telefono in cui è abilitato l’NFC.

Per dimostrare il tipo di attacco, i ricercatori hanno utilizzato un’App che permette attacchi man-in-the-middle (MitM) modificando i comandi del terminale e le risposte della carta prima di consegnarli al destinatario corrispondente. In questo caso il POS utilizzato per il pagamento.

attacco

L’attacco consiste nella modifica di un oggetto dati proveniente dalla carta – the Card Transaction Qualifiers – prima di consegnarlo al terminale. 

La criticità emerge nel metodo di verifica del titolare della carta (CVM) che non risulta protetto dalle modifiche. In basso puoi vedere un video in cui viene mostrato l’attacco.

Inoltre, i ricercatori hanno scoperto una seconda vulnerabilità, che coinvolge le transazioni contactless offline eseguite da una carta Visa o da una vecchia carta Mastercard, consentendo all’aggressore di alterare un dato specifico chiamato “Application Cryptogram” (AC) prima che venga consegnato al terminale.

Questo attacco si applica a entrambi i protocolli Visa e Mastercard. Nel caso di quest’ultimo, si applica solo alle transazioni con (probabilmente vecchie) carte che non supportano il metodo di autenticazione CDA. 

Aggiornamento

In data 09 settembre 2020, Visa ci comunicava quanto segue:

Visa considera con la massima serietà tutte le minacce alla sicurezza dei pagamenti e apprezza l’impegno da parte del settore e del mondo accademico per rafforzare la sicurezza delle transazioni. I consumatori possono continuare a fidarsi delle carte Visa e ad utilizzarle senza timore.

Gli schemi di frodi per fasi sono stati studiati per circa dieci anni e in questo periodo non sono mai state registrate segnalazioni di tali reati nella realtà. I test sviluppati per progetti di ricerca possono risultare legittimi in fase di simulazione, ma nel mondo reale questi schemi si sono dimostrati irrealizzabili per i truffatori.

Le carte contactless sono molto sicure. Utilizzando la stessa tecnologia sicura di EMV® Chip, le carte contactless sono estremamente efficaci nel prevenire le contraffazioni grazie ad un codice monouso che impedisce il riutilizzo di dati compromessi per realizzare una frode. In Europa, inoltre, nel 2019, il tasso di frodi con uso di carte contactless Visa è diminuito del 21% rispetto al 2018.

Pertanto visto quanto sopra, allo stato attuale la vulnerabilità rimane sfruttabile prettamente a livello di progetto di ricerca (simulazione) e non trova riscontro nell’utilizzo quotidiano.

I dettagli della ricerca li trovi nel link utilizzato come fonte per quest’articolo.

FONTE: Dipartimento di informatica presso l’ETH di Zurigo.

Puoi seguirci anche sui nostri canali social:

Inoltre è attiva la Newsletter settimanale, con cui potrai ricevere gratuitamente ogni domenica una selezione di tutti gli articoli e guide pubblicate sul sito.

Articoli correlati:

condividi