O QUE A KASPERSKY LAB DIZ SOBRE A SEGURANÇA DOS CARTÕES DE PAGAMENTO CONTACTLESS

Kaspersky-NFC-01

 

Os cartões de pagamento contactless funcionam com a tecnologia NFC. Os cartões têm um microchip integrado e uma antena que responde às ordens do terminal de pagamento através uma gama de frequência de 13,56 MHz. O alcance na transmissão NFC é muito curto, pelo que a primeira linha de defesa é física. O leitor deve estar sempre, teoricamente, mesmo ao lado do cartão, pelo que o pagamento dificilmente pode ser feito de forma clandestina.

Por outro lado, é possível montar um leitor personalizado para funcionar em longo alcance. Um dispositivo deste género teria a capacidade de solicitar pagamentos de cartões contactless em ambientes públicos, como centros comerciais, aeroportos e outros lugares concorridos, sem que o proprietário do cartão se apercebesse. Em muitos países, os cartões compatíveis com NFC já estão em todas as carteiras, pelo que os locais públicos e movimentados podem ser palco para muitos ataques.

Mas hoje em dia já nem é necessária uma proximidade física ou um leitor personalizado para realizar um ataque. Os hackers espanhóis Ricardo Rodriguez e José Vila desenvolveram um sistema que ‘elimina a distância’ entre leitor e cartão, tendo-o apresentado oficialmente na conferência Hack in the Box.

A primeira linha de defesa tem que ser a encriptação. As transacções contactless estão protegidas pelo mesmo standard EMV que protege os cartões de pagamento tradicionais que estão equipados com um chip EMV. As bandas magnéticas são fáceis de clonar, ao contrário dos chips. Ao receber um pedido de um TPV, o seu chip interno gera uma chave de um só uso. Esta chave pode ser interceptada, mas não seria válida para a transacção seguinte.

Os analistas de segurança já manifestaram por várias vezes a sua preocupação com o sistema EMV; no entanto, na vida real, ainda não se ouviu falar de casos de ataque a estes cartões. Numa implementação standard, o conceito de segurança do cartão EMV baseia-se na combinação de chaves de encriptação e um código PIN introduzido pelo utilizador. No caso das transacções contactless, nem sempre é necessário o código PIN, pelo que os sistemas de protecção estão limitados a chaves de encriptação geradas por um cartão e um terminal.

Outra linha de defesa é a limitação do valor das transacções de pagamentos contactless. Este limite é codificado nos parâmetros do TPV, de forma a que seja adequado ao banco, baseado em recomendações obtidas pelos sistemas de pagamento. Em Portugal, a quantia máxima é normalmente de 20 euros.

No caso de se exceder esse limite, a transacção é recusada ou exigida uma prova de validade adicional, por exemplo um código PIN ou uma assinatura, dependendo dos parâmetros aplicados pelo banco emissor. Para prevenir tentativas contínuas de cobrança de pequenas quantias é necessário um mecanismo de segurança adicional. Embora a tecnologia de pagamento contactless pressuponha várias camadas de protecção, isto não significa que o dinheiro esteja 100% seguro.

A Kaspersky Lab alerta que muitos elementos dos cartões bancários baseiam-se em tecnologias obsoletas, como as bandas magnéticas, permitindo ainda realizar pagamentos online sem uma autenticação adiciona. Em muitos aspectos, a segurança depende dos parâmetros definidos pelas instituições financeiras e pelas lojas online.

 

Matéria original em: http://www.pcguia.pt/2015/09/o-que-a-kaspersky-lab-diz-sobre-a-seguranca-dos-cartoes-de-pagamento-contactless/

Deixe uma resposta

O seu endereço de email não será publicado Campos obrigatórios são marcados *