Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Fallo de seguridad permite saltarse la confirmación PIN en pagos contactless Visa




La vulnerabilidad podría permitir a delincuentes realizar cargos fraudulentos en las tarjetas sin necesidad de conocer los PIN. Los académicos demostraron con éxito cómo se puede llevar a cabo el ataque utilizando dos teléfonos Android, una tarjeta de crédito que permita realizar pago sin contacto y una aplicación de prueba de concepto para Android que desarrollaron especialmente para este propósito. El ataque tuvo éxito en eludir los PIN en las tarjetas Visa Credit, Visa Electron y VPay







 Lógicamente a la hora de realizar pagos de sumas mas altas se requiere de confirmarlo con el PIN de seguridad para verificar que es el propietario quien hace la compra.

Un equipo de investigadores del Instituto Federal de Tecnología Suizo en Zúrich (ETH Zúrich) ha descubierto una vulnerabilidad en el protocolo EMV para realizar pagos sin contacto de Visa que podría permitir a los atacantes realizar ataques de omisión de PIN y cometer fraude con tarjetas de crédito.


Actualmente, todas las tarjetas contactless que hacen uso del protocolo Visa, incluidas las tarjetas Visa Credit, Visa Debit, Visa Electron y V Pay, se ven afectadas por por este fallo de seguridad. Los investigadores también avisaron de que este fallo podría aplicarse a los protocolos EMV implementados por Discover y UnionPay. Esto dejaría fuera a Mastercard, American Express y JCB, por lo que los usuarios de de estas tarjetas pueden estar tranquilos ya que el fallo no les afectaría.

Los investigadores probaron su ataque de omisión de PIN en uno de los seis protocolos EMV para pago sin contacto que hay (cada protocolo corresponde a una marca diferente, como es Mastercard, Visa, American Express, JCB, Discover, UnionPay). En este caso se realizó la prueba de omisión de PIN en el de VISA; sin embargo, teorizaron que también podría aplicarse a los protocolos Discover y UnionPay, aunque no fueron probados en la práctica. EMV, el protocolo estándar internacional para el pago con tarjeta inteligente, se usa en más de 9 mil millones de tarjetas en todo el mundo y, a diciembre de 2019, se usaba en más del 80% de las transacciones que actualmente se realizan con tarjeta a nivel mundial.


Visa también emitió una advertencia sobre un nuevo skimmer web de JavaScript conocido como Baka

Protocolo EMV


La vulnerabilidad en cuestión consiste en la modificación de los verificadores de transacciones de tarjetas mediante ataques MitM.

Para comprender la vulnerabilidad debemos de saber que el protocolo EMV, es un estándar a nivel internacional y ampliamente utilizado para efectuar pagos con tarjeta, requiere de una verificación a través de PIN cuando la cantidad excede de cierto límite.

Los investigadores de ETH encontraron una brecha de seguridad en este protocolo, lo que les permitió explotar una vulnerabilidad a través de un ataque MitM llevado a cabo mediante una aplicación móvil para Android que le indica al terminal de pago que la verificación del PIN no es necesaria porque la verificación del titular de la tarjeta se realizó en el dispositivo del consumidor.

El método de verificación del titular de la tarjeta (CVM), que se utiliza para verificar si la persona que intenta realizar una transacción con una tarjeta de crédito o débito es el titular legítimo de la tarjeta, no está protegido criptográficamente contra modificaciones. Esto permite que se pueda modificar el CTQ (Card Transaction Qualifiers) para indicar al terminal que no se necesita una verificación de PIN y que el titular de la tarjeta ya había sido verificado en el dispositivo del consumidor.

Dos teléfonos, una app y una tarjeta

Es lo que los investigadores necesitan para poder realizar el ataque correctamente. Dos teléfonos Android hacen de intermediarios entre la tarjeta bancaria y el dispositivo de pago. Para ello requieren de una app especial desarrollada por el equipo de seguridad. Por último tenemos la tarjeta de la víctima.

Los investigadores explican que esencialmente lo que hacen es modificar el ítem que verifica la transacción con la tarjeta. Para ello el teléfono cercano a la tarjeta bancaria actúa como un dispositivo de pago y le pide una transacción a la tarjeta de una suma pequeña que no requiera PIN. Con la transacción concedida envía estos datos al otro teléfono colocado junto al dispositivo de pago real y que en realidad actúa como tarjeta virtual. Pero modifica los datos para que la suma alta del dispositivo de pago real pueda concederse con los datos previamente autenticados.

Todo ello se realiza mediante Wi-Fi entre los dos teléfonos y estos a su vez se conectan a la tarjeta y al dispositivo de pago mediante NFC. Los investigadores comentan que sólo requieren de tener una tarjeta bancaria y comenzar a agotarla con pagos grandes hasta dejarla vacía. Algo que sería mucho más complicado o un proceso más largo si los pagos sin PIN están limitados a sumas pequeñas, por ejemplo 20 euros.

ETH Zurich descubrió esta vulnerabilidad a principios de este 2020 y contactó a los responsables de las tarjetas bancarias para solventar el problema. Afortunadamente no hay indicios de que previamente alguien haya estado utilizando este fallo de seguridad para acciones malintencionadas. Las investigaciones como la de ETH Zurich se realizan precisamente para encontrar estos fallos y parchearlos antes de que alguien los encuentre y use con otras intenciones.

Segundo ataque descubierto, que también afecta a Mastercard

Para descubrir este error, el equipo de investigación dijo que utilizaron una versión modificada de una herramienta llamada Tamarin, que se utilizó anteriormente para descubrir vulnerabilidades complejas en el protocolo criptográfico TLS 1.3 [PDF] y en el mecanismo de autenticación 5G [PDF].

Además de la omisión del PIN en las tarjetas sin contacto Visa, la misma herramienta también descubrió un segundo problema de seguridad, esta vez que afectó tanto a Mastercard como a Visa. Los investigadores explican:

"Nuestro análisis también revela que, en una transacción sin contacto fuera de línea con una Visa o una tarjeta Mastercard antigua, la tarjeta no autentica en el terminal el ApplicationCryptogram (AC), que es una prueba criptográfica producida por la tarjeta de la transacción que el terminal no puede verificar (solo el emisor de la tarjeta puede). Esto permite a los delincuentes engañar al terminal para que acepte una transacción fuera de línea no auténtica. Más adelante, cuando el adquirente envía los datos de la transacción como parte del registro de compensación, el banco emisor detectará el criptograma incorrecto, pero el criminal ya se ha ido con los bienes .

A diferencia del primer error, el equipo de investigación dijo que no probó este segundo ataque en configuraciones del mundo real por razones éticas, ya que esto habría defraudado a los comerciantes.
Se pueden encontrar detalles adicionales sobre la investigación del equipo en una preimpresión en papel titulada "The EMV Standard: Break, Fix, Verify". Los investigadores están programando presentar sus hallazgos en el Simposio de Seguridad y Privacidad de IEEE, el próximo año, en mayo de 2021.


 Fuentes:
https://www.xataka.com/seguridad/descubren-fallo-seguridad-que-permite-saltarse-confirmacion-pin-pagos-contactless-tarjetas-bancarias
https://www.welivesecurity.com/la-es/2020/09/01/falla-seguridad-pagos-sin-contacto-visa-permite-omitir-verificacion-pin/
https://blog.segu-info.com.ar/2020/08/academicos-saltean-los-pin-de-los-pagos.html
https://unaaldia.hispasec.com/2020/09/errores-en-la-verificacion-del-pin-afecta-a-los-pagos-a-traves-de-contactless-en-tarjetas-visa.html

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.