I ricercatori del Politecnico federale di Zurigo (ETH) hanno individuato una vulnerabilità delle carte di credito che consente di eseguire attacchi mirati sia contro i titolari delle carte, sia contro gli esercenti. In un documento recentemente pubblicato dichiarano di avere trovato delle vulnerabilità che potrebbero essere sfruttate per vanificare la verifica del PIN sulle transazioni contactless Visa.
I ricercatori di ETH hanno messo a punto anche dei proof of concept che dimostrano la fattibilità degli attacchi, mettendo in discussione l’affidabilità dell’EMV – acronimo di Europay, MasterCard e Visa – lo standard per la tutela dei pagamenti tramite smart card, terminali POS e sportelli ATM per l’autenticazione di transazioni con carte di credito e di debito.
Ad oggi EMV è stato ritenuto sicuro tuttavia, secondo i ricercatori, si tratta chiaramente di difetti logici che portano a due tipi di attacchi: il primo attacco consentirebbe ai cyber criminali di effettuare acquisti anche senza conoscere il PIN della carta, servendosi di uno smartphone per effettuare il pagamento.
Nel secondo attacco, il terminale sarebbe indotto ad accettare temporaneamente una transazione offline non autentica. Al momento del rifiuto, “il criminale avrebbe già fatto in tempo ad allontanarsi con la merce”.
Il modello proposto dai ricercatori prende in considerazione tutti e tre gli elementi presenti in una sessione EMV, ossia la banca, il terminale e la carta. Dimostra che il metodo di verifica del titolare della carta non è autenticato e non è protetto crittograficamente contro la modifica. Per questi motivi è possibile bypassare la verifica del PIN utilizzando un’applicazione Android appositamente fabbricata la quale realizza un attacco di tipo man-in-the-middle. Il terminale di pagamento viene portato a credere che la verifica del PIN sia già stata eseguita sul dispositivo del consumatore e che pertanto non sia necessaria. In tal modo un cyber criminale potrebbe usare carte Visa rubate per le transazioni contactless senza conoscere il PIN della carta.
Il secondo tipo di attacco si può mettere in atto con transazioni contactless offline in cui viene utilizzata una vecchia carta Visa o Mastercard; può accadere però che, essendo la carta obsoleta, non autentica al terminale l’Application Cryptogram (AC) e il terminale accetti temporaneamente la transazione offline, salvo poi identificare in ritardo il crittogramma sbagliato.
I ricercatori hanno testato con successo questo tipo di attacco su terminali reali, usando carte Visa Credit, Visa Electron e VPay e informato dei risultati le società produttrici delle carte, proponendo correzioni applicabili sia dalle banche sia da Visa e Mastercard. Ad ogni modo, le correzioni non richiedono modifiche allo standard EMV stesso, ma solo alla sua modalità di applicazione.
https://www.securityopenlab.it/news/754/carte-di-credito-e-pagamenti-senza-pin-c-e-un-problema.html