Hacker de dinero Peter Fillmore ha creado una
aplicación para Android que puede clonar algunas de las tarjetas de crédito sin
contacto más populares de Australia.
Los ataques lograron eludir la seguridad de bancos y
proveedores de tarjetas de crédito. El Aussie sondeó los protocolos de las
tarjetas de pago Visa y Mastercard, demostrando la viabilidad de un ataque con
éxito mediante el uso de versiones clonadas de sus tarjetas de crédito para
hacer compras en la cadena de supermercados Woolworths, y comprar cerveza en un
pub de Sydney.
Aunque la táctica de teléfono es un ataque poco visto,
Fillmore dijo que bandas criminales emprendedoras podría hacer una escabechina
con sus tácticas y un equipo a la mediada
más potente, para estafar a los viajeros en su camino al trabajo.
Hay otra ventaja para el criminal en potencia, como
cuando falla el truco, parece que los minoristas y los bancos a ser un error
mundano, en lugar de un intento de fraude, lo que podría desencadenar un banco
y la policía de investigación con buenos recursos.
Los grandes minoristas son blancos primera elección
para el ataque (en lugar de las pequeñas nuevas empresas), ya que era probable,
como en el caso de Woolworths, para operar equipos de pago en un punto de venta
legalizado y por lo tanto ser más abierta a los movimientos fraudulentos.
El Nexus 4 (como descubrió Fillmore) sirvió como fuzzer
hardware eficiente y discreto para tarjetas sin contacto. El mod de cianógeno
populares daba acceso a una interfaz de programación de aplicaciones de otro
modo inaccesibles llamado 'Emulación Card Host "que, dijo, es una"
gran plataforma "para clonar tarjetas.
Fillmore planea escribir un exploit aplicación para un
lector de tarjetas popular, pero aún sin nombre que se entrega a través del
teléfono.
Su ataque funcionó en parte por la explotación de
compatibilidad con sistemas existentes de pago del terminal para tarjetas de
banda magnética. La EMV (el chip de oro en las tarjetas de crédito) protocolo
significó tarjetas contó terminales si apoyaba EMV, que después se deja a un
atacante de procesamiento de pago aplazado a rayas mag.
Capturó detalles, incluyendo un contador de transacción
de la aplicación, que se incrementa cada vez que una transacción se hizo. Los
atacantes necesitan para llevar a cabo el fraude antes de que se hizo la
siguiente transacción o se producirá un error.
Los ataques no se debieron a problemas particulares con
un banco determinado, aunque se encontró la Australia y Nueva Zelanda Banking
Group (a diferencia del Banco Nacional de Australia) que no han implementado un
número al azar que la vez que proporciona seguridad adicional, no impidió el
ataque.
Fillmore dijo que las nuevas startups pueden ser
objetivos más difíciles, ya que pueden utilizar la nueva tecnología que podría
ser, como una prueba en una NAB cajero automático, capaz de determinar si una
tarjeta de crédito sin contacto fue 'tumbado' por no apoyar EMV.
El bloqueo el ataque requeriría el muy lento proceso de
abandonar el soporte de legado para las transacciones no EMV, una hazaña que se
podría hacer más rápido en Australia que en los EE.UU..
Él dijo que el ataque puede funcionar similar a la
plataforma de Apple Pago de Cupertino que apoyó las transacciones no EMV.
El trabajo de Fillmore estuvo sustentado por Michael Roland y Josef Langer del NFC Research Lab que se detallan en el
documento Clonación Tarjetas de crédito: Un pre-juego combinado y rebajar
ataque a EMV sin contacto .
El año pasado se redujo la multitud Breakpoint hasta
las lágrimas de la risa por la demostración de cómo la música agradable
generada por ordenador »únicamente en las drogas de clase A 'podrían superar
listas de música a través de scripts personalizados que se ejecutan en Amazon.
Fuente: The Register
