Vulnerabilità consente agli hacker di utilizzare la carta di credito senza sapere il pin
Buongiorno cari lettori, oggi parleremo di una vulnerabilità che ti permette di usare una carta di credito senza sapere il pin.
La vulnerabilità è stata rivelata in un rapporto intitolato "The EMV Standard": Rompere, riparare, verificare".
Ogni volta che effettuiamo un pagamento con carte di credito/debito, per l'elaborazione dei pagamenti viene utilizzato il protocollo di comunicazione EMV. Essendo stato sviluppato da Europay, Mastercard e Visa, ecc. viene utilizzato per oltre 9 miliardi di carte a livello globale.
Tuttavia, come il principio della sicurezza informatica, nulla impedisce che sia vulnerabile. Sulla base di questo, di recente, 3 ricercatori, David Basin, Ralf Sasse e Jorge Toro-Pozo del Dipartimento di informatica del Politecnico di Zurigo hanno scoperto delle vulnerabilità nel protocollo che permetterebbero a un aggressore di condurre un Man in the Middle Attack (MITM) e quindi di effettuare transazioni fraudolente.
Utilizzando un modello che simulava una situazione reale che coinvolgeva la macchina del commerciante, la carta dell'utente e la banca; i ricercatori sono stati in grado di trovare 2 vulnerabilità principali. In primo luogo, hanno sviluppato un'applicazione Android come Proof of Concept (POC) che, se utilizzata per effettuare pagamenti senza contatto, consentirebbe all'aggressore di passare senza l'uso di alcun codice PIN.
Ciò è possibile a causa della mancanza di autenticazione e crittografia utilizzata nel metodo di verifica del titolare della carta, che consente all'aggressore di modificare le impostazioni in base alle proprie esigenze. A titolo di esempio, i ricercatori hanno anche effettuato con successo una transazione del valore di 190 dollari per la verifica in un negozio reale utilizzando le proprie carte.
difettoso, che consente di utilizzare le carte di credito senza codici a barre
La seconda vulnerabilità permette a un aggressore di ingannare il commerciante facendogli credere che una transazione senza contatto offline ha avuto successo sul posto, ma in seguito si scopre che è stata rifiutata. Nel loro rapporto, i ricercatori lo hanno spiegato:
...in una transazione senza contatto offline con una carta Visa o una vecchia carta Mastercard, la carta non autentica al terminale l'Application Cryptogram (AC), che è una prova crittografica della transazione prodotta dalla carta che il terminale non può verificare (solo l'emittente della carta può). Questo permette ai criminali di ingannare il terminale per fargli accettare una transazione offline non autentica.
In seguito, quando l'acquirente presenta i dati della transazione come parte del record di compensazione, la banca emittente rileverà il crittogramma sbagliato, ma il criminale è già da tempo lontano con la merce.
Questo però non è stato testato nei negozi reali a causa di ovvie preoccupazioni etiche di dover defraudare il commerciante altrimenti - anche se a scopo di test.
Per concludere, queste 2 vulnerabilità possono essere risolte aggiornando direttamente i sistemi terminali a livello globale invece del protocollo EMV stesso. Tuttavia, considerando che esistono circa 161 milioni di terminali di questo tipo, molti dei quali si trovano in paesi tecnologicamente arretrati, potrebbe essere necessario un notevole lasso di tempo per consentire agli attori della minaccia di trarne vantaggio.
spero che questo articolo vi sia piaciuto , noi ci vediamo in prossimo articolo.
