Según las nuevas investigaciones de Positive Technologies las nuevas vulnerabilidades ofrecen a los piratas informáticos la posibilidad de pasar por alto los límites de pago de las tarjetas sin contacto de Visa, independientemente de la terminal de la tarjeta
En un comunicado de prensa del 29 de julio , Positive Technologies dijo que los investigadores probaron las fallas varias veces con cinco bancos importantes del Reino Unido y con tarjetas y terminales fuera del Reino Unido. Descubrieron que los límites podían pasarse por alto el 100% del tiempo y permitir que un atacante robara cuentas.
“El ataque funciona manipulando dos campos de datos que se intercambian entre la tarjeta y el terminal durante un pago sin contacto. Predominantemente en el Reino Unido, si el pago requiere una verificación adicional del titular de la tarjeta (que se requiere para pagos de más de 30 libras en el Reino Unido), las tarjetas responderán "No puedo hacer eso", lo que impide que se realicen pagos por encima de este límite. En segundo lugar, el terminal usa configuraciones específicas por país, que exigen que la tarjeta o la billetera móvil proporcionen una verificación adicional del titular de la tarjeta, como a través de la entrada del PIN de la tarjeta o la autenticación de huellas dactilares en el teléfono ", indica el comunicado de prensa.
Los cheques se omitieron mediante el uso de un dispositivo que actúa como proxy para interceptar la comunicación entre el terminal de pago y la tarjeta, un ataque conocido como "hombre en el medio" (MITM). Estos ataques MITM también pueden llevarse a cabo utilizando billeteras móviles, lo que permite que un estafador cargue hasta £ 30 sin desbloquear el teléfono.
“El dispositivo le dice a la tarjeta que la verificación no es necesaria, aunque la cantidad sea mayor a £ 30. Luego, el dispositivo le dice al terminal que la verificación ya se ha realizado por otros medios. Este ataque es posible porque Visa no requiere que los emisores y los compradores tengan cheques que bloqueen los pagos sin presentar la verificación mínima ", según el comunicado.
"La industria de pagos cree que los pagos sin contacto están protegidos por las medidas de seguridad que han establecido, pero el hecho es que el fraude sin contacto está aumentando", dijo Tim Yunusov, jefe de seguridad bancaria de Positive Technologies. "Si bien es un tipo de fraude relativamente nuevo y podría no ser la prioridad número uno para los bancos en este momento, si los límites de la verificación sin contacto se pueden pasar por alto fácilmente, significa que podríamos ver más pérdidas perjudiciales para los bancos y sus clientes".
Fecha actualización el 2021-07-30. Fecha publicación el 2019-07-30. Categoría: windows Autor: Oscar olg Mapa del sitio Fuente: infosecurity-magazine Version movil