Top 5 razões para implantar VMware com Tegile
Visa Europe minimizou um novo ataque que poderia roubar centenas de milhares em moeda estrangeira sobre o ar a partir de cartões de crédito sem contato.
O roubo eletrônico foi concebido por pesquisadores da Universidade de Newcastle, no Reino Unido, mas o gigante bancário reivindica as técnicas utilizadas não são viáveis no mundo real. As descobertas dos pesquisadores será apresentado na 21ª Conferência ACM em Informática e Comunicações de Segurança no Arizona nesta semana.
De acordo com os acadêmicos, é possível programar um dispositivo handheld para atuar como um carrinho de pay-by-ondas até que, em seguida, escovar o dispositivo sobre bolso ou na bolsa da vítima para acessar seu cartão Visa contactless por sinais de rádio. O gadget pode, então, explorar uma falha que permite a compensação automática dos pagamentos sem fio para a melodia de até 999,999.99 unidades de qualquer moeda é especificado, estamos disse.
"Com apenas um telefone móvel foi criado um terminal de ponto-de-venda que pode ler um cartão através de uma carteira", disse Martin Emms , principal pesquisador do projeto.
"Todos os controlos são efectuados no cartão em vez do terminal para no ponto de transação, não há nada de levantar suspeitas. Por predefinir a quantidade que você deseja transferir, você pode bater o seu celular contra bolso de alguém ou passe o telefone sobre uma carteira deixada sobre uma mesa e aprovar uma transação. Em nossos testes, que levou menos de um segundo para que a transação seja aprovada. "
Quanto a placa irá transferir depende da escolha de moeda do atacante. No Reino Unido, há um limite de £ 20 em cada transação, mas não há tal tampa em moedas estrangeiras, dizem-nos, portanto, usando não esterlina em Blighty vai contornar a proteção. (Só não use dólares zimbabuanos: um milhão daqueles que renderá apenas $ 2763 ou £ 1.730).
"Nós ainda não testamos o back-end do sistema, e agradecemos que os bancos terão uma série de sistemas de segurança para evitar a fraude", Emms observou.
"No entanto, nossa pesquisa identificou uma vulnerabilidade real no protocolo de pagamento, o que poderia abrir a porta para possíveis fraudes por parte de criminosos que estão constantemente procurando maneiras de violar o sistema. Não está claro a partir da leitura do protocolo de pagamento como os bancos lidam com as inconsistências temos encontrado através da nossa pesquisa, portanto, acreditamos que a vulnerabilidade representa uma ameaça potencial. "O fato de que podemos ignorar o limite de £ 20 torna este novo hack potencialmente muito escalável e lucrativo. Tudo o que um criminoso precisa fazer é configurar em algum lugar como um aeroporto ou o metrô de Londres, onde o uso de diferentes moedas parece legítimo. "
Visa diz que seus sistemas de back-end acabará por ver o pagamento do cartão - e um pedido de uma enorme quantia irá definir sinos tocando instantaneamente. Mas Emms sugere ladrões poderiam desviar dinheiro em pequenas quantidades de cada vez para deslizar sob o radar da Visa.
"Um ambiente de laboratório '
Visa Europe disse ao The Register que gasta € 100 milhões (R $ 78 milhões) por ano em segurança, por isso acha que é muito seguro: cinco pence em cada 100 das transações por meio de seus servidores é fraudulenta, aparentemente. As descobertas da equipe de Newcastle foram revistos, Visa disse, eo gigante financeiro considera que o ataque só replicável em um "ambiente de laboratório."
"A pesquisa não leva em conta as múltiplas salvaguardas postas em prática em todo o sistema Visa, cada um dos quais devem ser atendidas, a fim de fazer uma transação possível no mundo real", disse um porta-voz da Visa Europe.
"Estamos confiantes de que o nosso sistema de contato continua sendo uma maneira segura e conveniente para pagar."
Um outro takeaway da pesquisa é que a segurança de pagamento sem contato é definitivamente na mira de pesquisadores - e vigaristas.
"No momento, o menor fruta de suspensão em relação a fraude de cartão de pagamento é a tarja magnética", disse o co-autor do relatório Professor Aad van Moorsel, chefe da Escola de Ciência da Computação do Newcastle.
"Com a opção de tarja magnética sendo eliminados, o próximo alvo que os criminosos vão almejar é o recurso de pagamento sem contato. Se pudermos encontrar falhas no pagamento sem contato, então eles vão ser capazes de fazer isso também." ®
Nenhum comentário:
Postar um comentário