“Seu total é $ 12,95”, diz o caixa do supermercado local. Pego minha carteira para dar um toque familiar no terminal de PDV, espero um segundo, ouço o bipe e - voilà! - a transação foi bem-sucedida!

Um cartão bancário sem contato é extremamente conveniente. Você não precisa passar o cartão, recuperar o PIN, assinar com uma caneta de baixa qualidade, e isso não adianta sacar a carteira, procurar dinheiro ou pescar moedas no fundo do bolso. Basta um toque - e você está pronto para ir.

[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]

Os caixas também ficam satisfeitos com os meios de pagamento sem contato: isso torna o processo de compra muito mais rápido e aumenta a 'largura de banda' do caixa, o conhecido gargalo de todos os processos de varejo.

No entanto, sua facilidade de uso faz você se perguntar se roubar seu dinheiro é igualmente fácil. Um criminoso poderia simplesmente bater no seu bolso com um leitor clandestino e retirar completamente o seu dinheiro suado?

Para descobrir isso, estudei muitos relatórios de conferências de hackers e conversei com vários representantes de bancos. O feedback coletivo foi bastante positivo, mas não sem pequenas desvantagens.

Alcance

Os cartões sem contato operam com NFC (um tipo de tecnologia baseada em RFID). Um cartão integra um chip e uma antena que respondem à solicitação do terminal POS usando uma faixa de frequência de 13,56 MHz. Diferentes sistemas de pagamento usam seus próprios padrões chamados Visa payWave, MasterCard PayPass, American Express ExpressPay, etc. Mas todos eles ainda empregam a mesma abordagem e a mesma tecnologia básica.

O alcance da transmissão NFC é pequeno - menos de uma polegada. Portanto, a primeira linha de defesa é física. O leitor, em essência, deve ser colocado nas proximidades do cartão, o que dificilmente poderia ser feito clandestinamente.

Ao mesmo tempo, pode-se montar um leitor personalizado capaz de operar em maior alcance. Por exemplo, pesquisadores da Universidade de Surrey demonstraram um scanner compacto capaz de ler dados NFC a uma distância de 80 cm.

Tal dispositivo pode ser capaz de emitir solicitações para cartões sem contato em transporte público, em shoppings, aeroportos e outros locais "populosos". Em muitos países, os cartões compatíveis com NFC podem ser encontrados em cada segunda carteira, portanto, em lugares superlotados, os criminosos encontrariam um grande número de vítimas.

Em última análise, pode-se ir ainda mais longe e lidar sem um scanner personalizado ou proximidade física. Um método elegante de 'eliminar a distância' foi desenvolvido pelos hackers espanhóis Ricardo Rodrigues e Jose Villa e apresentado na conferência Hack in the Box.

A maioria dos smartphones atuais está equipada com um módulo NFC. Aparentemente, os smartphones estão frequentemente localizados próximos a uma carteira - digamos, em uma bolsa ou no bolso. Rodrigues e Villa desenvolveram um conceito de Trojan Android, que transforma um smartphone alvo em uma espécie de transponder NFC.

Assim que um smartphone comprometido é colocado perto de um cartão sem contato, ele sinaliza a possibilidade de realizar uma transação aos invasores. Os golpistas então ativam um terminal POS normal e colocam seu smartphone habilitado para NFC próximo ao terminal. Assim, uma espécie de 'ponte' sobre a Internet é construída entre um cartão NFC e um terminal NFC, independentemente do alcance.

O Trojan pode ser distribuído por meio de métodos padrão, como aquele que envolve um pacote de malware e um aplicativo pago hackeado. O único pré-requisito a este respeito é o Android 4.4 e superior. Mesmo o acesso root não é necessário, embora seja uma opção desejável para o Trojan funcionar quando a tela do smartphone está bloqueada.

Encriptação

Colocar um cartão de destino ao alcance de um leitor desonesto é apenas metade da tarefa. Existe outra linha de defesa mais séria - a criptografia.

As transações sem contato são protegidas pelo mesmo padrão EMV que protege os cartões de plástico comuns equipados com um chip EMV. Enquanto uma fita magnética pode ser facilmente clonada, um chip não permitiria que isso acontecesse. Ao receber uma solicitação de um terminal POS, seu IC gerou uma chave única. Essa chave poderia ser interceptada, mas não seria válida para a próxima transação.

Pesquisas expressaram numerosamente suas preocupações sobre a segurança EMV; entretanto, casos reais de hackear uma placa EMV ainda são desconhecidos.

Mas há uma coisa. Em uma implantação padrão, o conceito de segurança do cartão EMV é baseado na combinação de chaves de criptografia e um código PIN inserido por um usuário. No caso de transações sem contato, o código PIN não é solicitado, então os meios de proteção neste caso são limitados a chaves de criptografia geradas por um cartão e por um terminal.

“Em teoria, é plausível produzir um terminal que estaria lendo os dados NFC do cartão 'do bolso'. Ainda assim, este terminal personalizado deve empregar chaves de criptografia obtidas de um banco adquirente e um sistema de pagamento. As chaves são emitidas pelo banco adquirente, o que significa que o golpe seria muito fácil de rastrear e investigar ”, explicou Alexander Taratorin, diretor de suporte a aplicativos do Banco Raiffeisen.

Valor da transação

Existe ainda outra linha de defesa: limitação do valor da transação para pagamentos sem contato. Este limite é codificado nas configurações de um terminal POS, conforme considerado adequado por um banco adquirente com base nas recomendações obtidas nos sistemas de pagamento. Na Rússia, o valor máximo da transação sem contato é 1000 RUB, enquanto nos EUA esse limite é definido em $ 25 e no Reino Unido em 20 GBP (em breve será aumentado para 30 GBP), etc.

Caso o valor ultrapasse esse limite, a transação seria rejeitada ou exigiria uma prova adicional de validade, por exemplo, um código PIN ou uma assinatura, dependendo das configurações fornecidas pelo banco emissor. Para evitar tentativas de cobrar somas menores, consequentemente, um mecanismo de segurança adicional seria invocado.

No entanto, há uma dificuldade. Quase um ano atrás, outra equipe de pesquisadores da Universidade de Newcastle (Reino Unido) relatou vulnerabilidade no sistema de segurança dos cartões sem contato Visa. Depois de optar por realizar o pagamento em moeda estrangeira e não em GBP, você pode contornar o limite. Se um terminal POS estiver offline, o valor máximo da transação pode atingir até 1 milhão de EUR.

No entanto, os representantes da Visa recusaram a viabilidade de tal ataque na vida real, afirmando que a transação tão grande seria rejeitada pelos sistemas de segurança de um banco.

De acordo com Taratorin do Raiffeisen Bank, um terminal POS controla o valor máximo da transação, independentemente da moeda.

Vamos escolher um caminho diferente

Então, tudo se resume à improbabilidade prática de um banco de falha do sistema de pagamento em evitar transações sem contato desonestas? A resposta provável é sim, desde que os golpistas não trabalhem para o banco em questão.

Ao mesmo tempo, há outra descoberta desagradável. A NFC pode facilitar o roubo de credenciais de cartão de pagamento, se a transação em si não puder ser sequestrada.

O padrão EMV pressupõe que alguns dados sejam armazenados sem criptografia na memória dos chips. Esses dados podem incluir o número do cartão, últimas transações, etc., dependendo das políticas do banco emissor ou do sistema de pagamento. Os dados podem ser lidos por meio de um smartphone habilitado para NFC com um aplicativo legítimo (como leitor de cartão bancário NFC ) - você mesmo pode verificar.

Até agora, as informações em jogo eram consideradas abertas e não suficientes para comprometer a segurança do cartão. No entanto, um importante meio de comunicação ao consumidor britânico, que?, surpreendentemente, acabou com o velho mito.

A bruxa? especialistas testaram vários cartões sem contato diferentes emitidos por bancos do Reino Unido. Com a ajuda de um leitor NFC acessível e software gratuito, eles conseguiram decodificar o número do cartão e a data de validade de todos os cartões participantes.

Parecia que não era hora de se preocupar. Não seria necessário um número CVV para fazer compras online?

A triste verdade é que muitos mercados online não exigem um número CVV. A bruxa? especialistas solicitaram com sucesso uma TV no valor de 3K GBP em um dos maiores varejistas online.

O resultado final

Considerando que a própria tecnologia de pagamentos sem contato pressupõe várias camadas de proteção, isso não significa que seu dinheiro está 100% seguro. Muitos elementos dos cartões bancários são baseados em tecnologias obsoletas, como fita magnética, possibilidade de pagamento online sem autenticação adicional, etc.

Em muitos aspectos, a segurança depende das configurações usadas por instituições financeiras e varejistas. Estes últimos, em sua busca por compras mais rápidas e menos 'carrinhos abandonados', às vezes preferem sacrificar a segurança de pagamento por um dinheiro maior.

É por isso que as recomendações básicas de segurança ainda estão atualizadas, mesmo no caso de pagamentos sem contato. Evite que estranhos supervisionem seu PIN de informações de cartão, não o exiba, tome cuidado ao baixar um aplicativo para seu smartphone, instale um antivírus , habilite notificações por SMS em seu banco e alerte seu banco assim que detectar atividades suspeitas.

Se você quiser ter certeza de que ninguém lerá seu cartão NFC, considere comprar uma carteira de rastreio. Não se pode enganar as leis da física, de qualquer maneira.

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.