Este novedoso ataque permite evadir el PIN de tarjetas MasterCard
Investigadores de ciberseguridad han revelado un ataque novedoso que podría permitir a los delincuentes engañar a un terminal de punto de venta (POS). Esto para que realice transacciones con la tarjeta sin contacto Mastercard de la víctima mientras se le hace creer que es una tarjeta Visa.
La investigación, publicada por un grupo de académicos de la ETH de Zúrich, se basa en un estudio detallado en septiembre pasado. La investigación profundizó en un ataque de evasión de PIN. El ataque permite a los delincuentes aprovechar la tarjeta de crédito Visa EMV robadas o extraviadas de una víctima. Esto para hacer compras sin conocimiento del PIN de la tarjeta e incluso engañar al terminal para que acepte transacciones con tarjeta sin conexión no auténticas.
“Esto no es sólo una confusión de marcas de tarjetas, sino que tiene consecuencias críticas”, dijeron los investigadores David Basin, Ralf Sasse y Jorge Toro. “Por ejemplo, los delincuentes pueden usarlo en combinación con el ataque anterior a Visa para también evadir el PIN de las tarjetas Mastercard. Las tarjetas de esta marca se presumían previamente que estaban protegidas por PIN”.
Tras la divulgación responsable, los investigadores de ETH Zurich dijeron que Mastercard implementó mecanismos de defensa a nivel de red para frustrar tales ataques. Los hallazgos se presentarán en el 30º Simposio de Seguridad de USENIX en agosto a finales de este año.
Ataque de confusión de marcas de tarjetas
Al igual que el ataque anterior que involucró tarjetas Visa, la última investigación también explota vulnerabilidades “serias” en el protocolo sin contacto EMV ampliamente utilizado. No obstante, esta vez el objetivo es una tarjeta Mastercard.
En un nivel alto, esto se logra utilizando una aplicación de Android que implementa un ataque man-in-the-middle (MitM) sobre una arquitectura de ataque de retransmisión. Esto permite que la aplicación no solo inicie mensajes entre los dos extremos. Es decir, el terminal y la tarjeta, sino también para interceptar y manipular las comunicaciones NFC (o Wi-Fi). Esto para introducir maliciosamente una falta de coincidencia entre la marca de la tarjeta y la red de pago.
Demostración
Dicho de otra manera, si la tarjeta emitida es de marca Visa o Mastercard, entonces la solicitud de autorización necesaria para facilitar las transacciones EMV se enruta a la red de pago respectiva.
El terminal de pago reconoce la marca mediante una combinación de lo que se llama número de tarjeta bancaria, PAN por sus siglas en inglés. Este también es conocido simplemente como número de tarjeta. Además, necesitan un identificador de aplicación (AID) que identifica de forma única el tipo de tarjeta. Por ejemplo, Mastercard Maestro o Visa Electron, y posteriormente hace uso de este último para activar un kernel específico para la transacción.
Un Kernel EMV es un conjunto de funciones que proporciona toda la lógica de procesamiento y los datos necesarios para realizar una transacción con contacto EMV. Asimismo, una transacción sin contacto.
El ataque, denominado ” confusión de marcas de tarjetas “, aprovecha el hecho de que estos AID no están autenticados en el terminal de pago. Esto hace posible engañar a un terminal para que active un kernel defectuoso. Y, por extensión, el banco que procesa los pagos en nombre del comerciante acepta la transacción. El banco acepta transacciones sin contacto con un PAN y un AID de diferentes marcas de tarjetas.
Transacciones
“El atacante realiza simultáneamente una transacción Visa con el terminal y una transacción Mastercard con la tarjeta”, señalaron los investigadores.
Sin embargo, el ataque requiere que cumpla una serie de requisitos previos para tener éxito. Cabe destacar que los ciberdelincuentes deben tener acceso a la tarjeta de la víctima. Además, deben poder modificar los comandos del terminal y las respuestas de la tarjeta antes de entregarlos al destinatario correspondiente. Lo que no es necesario es tener privilegios de root o explotar vulnerabilidades en Android para poder usar la aplicación de prueba de concepto (PoC).
Empero, los investigadores señalan que una segunda vulnerabilidad en el protocolo EMV sin contacto también es peligrosa. Esta podría permitir que un atacante “construya todas las respuestas necesarias especificadas por el protocolo Visa a partir de las obtenidas de una tarjeta que no sea Visa. Esto incluye las pruebas criptográficas necesarias para que el emisor de la tarjeta autorice la transacción.”
Mastercard agregó contramedidas
Usando la aplicación PoC para Android, los investigadores de ETH Zurich dijeron que pudieron evadir la verificación del PIN. Ellos lo hicieron para transacciones con tarjetas de crédito y débito Mastercard emitidas por diferentes bancos.
En respuesta a los hallazgos, Mastercard ha agregado una serie de contramedidas. Por ejemplo, la obligación de las instituciones financieras de incluir la AID en los datos de autorización. Esto permite a los emisores de tarjetas comparar la AID con el PAN.