Por Daniel Oliveira, CEO da paySmart. Um artigo intitulado “Cibercrime brasileiro cria método para clonar cartões com chip”, recentemente publicado pela fabricante de antivírus Kaspersky, tem chamado a atenção da mídia. O artigo contém alegações alarmantes como: “podemos assumir que todos os usuários foram comprometido...
Por Daniel Oliveira, CEO da paySmart.
Um artigo intitulado “Cibercrime brasileiro cria método para clonar cartões com chip”, recentemente publicado pela fabricante de antivírus Kaspersky, tem chamado a atenção da mídia. O artigo contém alegações alarmantes como:
“podemos assumir que todos os usuários foram comprometidos”, “se você tem um cartão, os dados dele provavelmente já foram roubados” e “agora que os criminosos desenvolveram maneiras de efetivamente clonar os cartões, isso se tornou um sério risco”.
Esse post é uma tentativa de explicar um pouco melhor a abrangência desse ataque e refutar essas alegações extraordinárias que, parafraseando Carl Sagan, deveriam ser acompanhadas de evidências extraordinárias.
Comprometimento total de terminais é coisa séria e pode permitir ataques mais elaborados no futuro, mas tudo indica que o ataque se trata de uma interceptação de dados, uma variação do “clássico” ataque de homem do meio, com proteções conhecidas.
Infelizmente, alguns emissores de cartão ainda não implementam essas proteções e estão sujeitos a fraudes. Mas afirmar que cartões com chip não são mais seguros já que alguns terminais foram comprometidos e alguns emissores não implementam medidas de segurança é quase o mesmo que dizer que carros não são seguros porque há lugares onde pessoas dirigem sem cinto de segurança.
Problema antigo, solução antiga
Como quase todos os protocolos e especificações de segurança, EMV, a tecnologia por trás dos cartões de pagamento com chip, tem problemas. Um deles, uma falha de design originalmente descoberta por pesquisadores da Universidade de Cambridge em 2010 e batizada de “PIN wedge”, é uma variação do clássico ataque de “homem do meio”, onde um oponente fica entre dois ambientes (no caso, entre o cartão e a maquininha) e engana, simultaneamente, os dois. Até aí, absolutamente nada de novo. O ataque de “PIN wedge” é conhecido há anos e tem uma série de contramedidas, também conhecidas.
O ataque em 2018
Parece ser, literalmente, mais do mesmo, com um toque de automatização para “facilitar a vida dos fraudadores”: um pacote de “fraude como serviço” para permitir que mais fraudadores menos experientes tenham acesso à essa tecnologia. Mas é importante frisar que o cartão é um cartão parecido com original — com alguns dados do cartão original — e não um clone perfeito, como o artigo induz o leitor desavisado a acreditar.
Um terminal comprometido é um problema porque ele pode ser utilizado para manipular dados da transação, capturar dados do cartão e coordenar outros ataques. Dados públicos, por exemplo, combinados com o código de segurança (impresso no verso) e dados pessoais que o fraudador pode obter por outros meios (como engenharia social), podem ser utilizados em outros ataques, como compras pela Internet. Mas dizer que “cartões estão sendo clonados” é um salto lógico, para dizer o mínimo.
Em determinado momento o artigo faz alusão à utilização do cartão para saque em caixas eletrônicos (“jackpotting ATMs and beyond”), o que é estranho pelo fato de que em transações de saque, a senha é sempre validada on-line -- e um “yescard”, que aceite qualquer senha off-line, não poderia ser utilizado com tanta facilidade.
O artigo não deixa claro se os criminosos estão armazenando transações nos cartões e depois enviando essas transações duplicadas (“replay”). Mas se estão fazendo “replay”, a afirmação de que “utilizar Android Pay e Apple Pay” resolveria é estranha.
O artigo tem um tom panfletário, mas a boa notícia é que existem proteções razoavelmente simples contra esses ataques e a maioria dos emissores de cartões no Brasil, já as utilizam.
Para mais informações, veja a publicação original no site da paySmart