Cartões com chips ainda são vulneráveis

A indústria bancária investe muito esforço, tempo e dinheiro para proteger cartões de banco. Por anos, a proteção consistia em número em relevo e campos de assinatura, mas agora, na

A indústria bancária investe muito esforço, tempo e dinheiro para proteger cartões de banco. Por anos, a proteção consistia em número em relevo e campos de assinatura, mas agora, na maioria das vezes, chips inteligentes e senhas de uso único  são o que separam os cibercriminosos de seu dinheiro.

Os novos chips e cartões com PIN (um padrão EMV) prometem melhor segurança do que os com tarja magnética. Contudo, logo que desenvolvidos, criminosos tentaram violar essa proteção. Felizmente, criminosos não são os únicos testando-os. Especialistas em segurança também fazem dos cartões com chip objeto de estudo. Pesquisadores associados a empresas buscam por vulnerabilidades em equipamentos e na arquitetura dos sistemas de pagamento,  com o objetivo de reportar essas falhas aos desenvolvedores para que possam corrigi-las antes que os criminosos as encontrem.

Uma apresentação de pesquisadores na Black Hat causou tanto esperança quanto ansiedade: sim, criminosos podem roubar dinheiro dos cartões com chip, mas as pessoas não são completamente incapazes de se proteger. Dois funcionários da NCR Corp, empresa que desenvolve terminais de pagamento, apresentaram um tipo de ataque utilizado em lojas e postos de gasolina. A partir de um computador RaspberryPi pequeno e barato, os pesquisadores conseguiram hackear as comunicações entre o computador principal de uma loja (a caixa registradora) e o módulo de pagamento (o teclado da senha).

Em geral, comunicações entre os dois sistemas têm de ser criptografadas, mas em muitos casos, o terminal está cheio de criptografia pouco eficiente. Por isso, criminosos podem utilizar ataques Man-in-the-Middle: interceptam as comunicações entre o módulo de pagamento e o computador principal e as desencriptam.

O ataque não extrai dados por meio da segurança básica do chip: certos dados, como a senha, estão encriptados e nunca são transmitidos abertamente. Contudo, o criminoso pode obter outras informações, dados que normalmente estão gravados na tarja magnética.

Dessa forma, criminosos podem descobrir o nome do dono do cartão e outros dados necessários para fazer pagamentos online com o auxílio do cartão da vítima. Nesse caso, criminosos ainda precisam do código CVV ou CVC2 da parte de trás do cartão – normalmente mantido em segredo durante a transmissão. Contudo, eles podem tentar enganar os donos, os convencendo a fornecer essa informação. Além do mais, terminais possuem a capacidade de exibir notificações personalizadas, que vão além dos tradicionais “Insira o seu cartão” e “Digite sua senha”, por exemplo: “digite seu CVV (ou CVC2)”.

Outra abordagem interessante: um criminoso pode forçar a exibição de uma mensagem como “Erro, insira senha novamente” – dessa vez o terminal pensaria se tratar de uma informação aberta, que não demanda segurança. Caso isso funcione, o terminal interpreta uma informação segura como insegura e os criminosos obtém o PIN da vítima .

Pesquisadores possuem duas dicas simples para donos de cartões que querem se manter fora da mira dos criminosos. Primeiro, nunca digite sua senha duas vezes durante uma transação. Se você se deparar com um erro e uma solicitação para digitar sua senha novamente, cancele a transação, retire seu cartão, insira novamente e digite a senha novamente (apenas uma vez). Fique alerta e ignore qualquer pergunta incomum feita pelo terminal – especialmente “Digite seu CVC/CVV2?”

A segunda dica não é aplicável a todo e qualquer país, mas é interessante. Especialistas da NCR elogiam os sistemas de pagamento mobile (como o Apple Pay), então pagar com seu relógio ou celular pode ser ainda mais seguro do que com cartão de crédito.

Claro, utilizar o bom e velho dinheiro é a melhor proteção que você poderia desejar contra fraudes bancárias e de cartão de crédito.

Dicas