Lo sfruttamento della vulnerabilità consente di utilizzare carte Mastercard e Maestro rubate per pagare beni costosi.
Un gruppo di scienziati della Swiss Higher Technical School di Zurigo ha scoperto un modo per aggirare i codici PIN sulle carte contactless Mastercard e Maestro. Lo sfruttamento della vulnerabilità può consentire ai criminali informatici di utilizzare le carte Mastercard e Maestro rubate per pagare prodotti costosi senza dover fornire codici PIN per i pagamenti contactless.
Per eseguire un attacco MitM (Man-in-the-Middle), un utente malintenzionato avrà bisogno di una carta rubata, due smartphone Android e un’applicazione Android personalizzata in grado di manomettere i campi della transazione. L’applicazione deve essere installata su entrambi gli smartphone, che fungeranno da emulatori. Uno smartphone verrà posizionato accanto alla carta rubata e fungerà da emulatore di terminale PoS, inducendo la carta ad avviare una transazione e condividerne i dati, mentre il secondo smartphone fungerà da emulatore di carta e verrà utilizzato dal truffatore per trasferire la transazione modificata dati in un vero terminale PoS – all’interno del negozio.
Dal punto di vista dell’operatore del terminale PoS, l’attacco sembra che il cliente stia pagando con la propria applicazione di pagamento mobile, ma in realtà il truffatore sta inviando dati di transazione modificati dalla carta rubata.
Il team di ricerca ha utilizzato questo schema di attacco l’anno scorso quando ha trovato un modo per aggirare il PIN per i pagamenti contactless Visa. Gli esperti hanno testato con successo l’attacco con le carte Visa Credit, Visa Debit, Visa Electron e V Pay.
Il team dell’ETH di Zurigo ha poi continuato la sua ricerca e si è concentrato sull’elusione dei PIN su altri tipi di carte che non utilizzavano il protocollo di pagamento contactless di Visa. Come si è scoperto, un problema simile ha riguardato anche i pagamenti contactless con carte Mastercard e Maestro.
In questo caso la differenza sta nel fatto che il terminale PoS non viene informato dell’avvenuta verifica del PIN. Invece, i ricercatori costringono il terminale PoS ad accettare una transazione in entrata, apparentemente da una carta Visa, non Mastercard o Maestro.
I ricercatori hanno testato con successo l’attacco con carte di credito Mastercard e Maestro, eseguendo transazioni fino a 400 franchi svizzeri (439 dollari circa) durante l’esperimento.
Mastercard ha rilasciato correzioni per il problema all’inizio di quest’anno, ma Visa non sembra aver ancora risolto la vulnerabilità.