Cardurile bancare contactless de la VISA, susceptibile la atacuri din cauza unei breşe de implementare

Toate obiectele din jurul nostru vor să devină ceva mai „inteligente” şi să se ne simplifice viaţa, însă progresul tehnologic ne oferă uneori şi surprize neplăcute. Cel mai recent exemplu afectează cardurile bancare VISA, un grup de cercetători din cadrul universităţii Newcastle din Marea Britanie descoperind o problemă software a sistemului VISA care facilitează furtul banilor de pe cardurile care includ şi un cip RFID pentru plata contacteless.

Implementat şi la noi în ţară, sistemul de plată payWave de la VISA foloseşte un cip RFID cu ajutorul căruia posesorul cardului poate valida o tranzacţie fără a mai folosi codul de protecţie PIN şi fără a mai introduce cardul într-un POS. Deoarece sistemul este gândit pentru plăţile mărunte făcute în mod curent şi nu foloseşte autentificări manuale suplimentare, VISA şi băncile emitente au stabilit şi o limită pentru sumele care pot fi transferate în cadrul unei operaţiuni, însă acest sistem se pare că nu funcţionează tot atât de bine pe cât şi-ar fi dorit instituţiile bancare.

Conform lucrării publicate de cercetătorii britanici, sistemul VISA poate fi păcălit să valideze tranzacţii cu o valoare care depăşeşte limita impusă pentru plata contactless atunci când moneda folosită este alta decât cea curentă folosită de banca emitentă. Dacă bariera în moneda implicită funcţionează, utilizarea unei monede străine şi conversia valutară făcută de bancă scurtcircuitează sistemul de protecţie VISA şi permite validarea contactless a unor tranzacţii cu o valoare de cel mult 999.999 de dolari.

Cercetătorii afirmă că această breşă poate fi speculată de cei care vor folosi o metodă ingenioasă prin care datele de pe un card bancar contactless pot fi accesate fără ştirea utilizatorului. Acum doi ani, cercetătorii viaForensic au arătat că pe un telefon Android echipat cu cip NFC pot fi instalate aplicaţii speciale care imită un POS şi determină cardul bancar să încerce să se autentifice şi să semneze o tranzacţie. Cercetătorii din cadrul universităţii Newcastle afirmă că, folosind această metodă, persoanele rău intenţionate pot pregăti un astfel de telefon, pot iniţia o tranzacţie şi pot încerca să treacă pe lângă persoanele străine în locuri aglomerate în speranţa că unul dintre cardurile din buzunarele acestora vor trece suficient de aproape de ei pentru a putea valida tranzacţia.

VISA Europe afirmă că metoda descoperită de cercetătorii britanici nu reprezintă o problemă reală. Compania afirmă că efectuarea unor astfel de plăţi frauduloase este extrem de dificilă dincolo de uşile laboratorului, în lumea reală. Compania nu a oferit încă o declaraţie referitoare la problema care permite ocolirea limitelor de sumă stabilite pentru tranzacţiile contactless.