Terminais de pagamento em maior risco de fraude

As chaves de cifra são amplamente reutilizadas na Europa e os dispositivos podem ser alvo de um ataque em massa

payment_terminal_hacking_2-100634924-large970.idge

Alguns terminais de pagamento podem ser sujeitos a esquemas informáticos para suportar fraudes em massa, afectando clientes e comerciantes, descobriram investigadores da Security Research Labs (SRLabs), uma empresa de Berlim.

Os terminais, usados ​​sobretudo na Alemanha mas também no resto da Europa, não foram concebidos com os melhores princípios de segurança, deixando-os vulneráveis ​​a uma série de ataques.

Usando os dispositivos, os especialistas conseguiram roubar dados de cartões de pagamento e mesmo códigos PIN, sequestraram transacções e comprometeram contas de comerciantes. As conclusões da investigação deverão ser apresentadas durante a 32ª edição do Chaos Communication Congress, no final deste mês.

De acordo com Karsten Nohl, o fundador e cientista-chefe da SRLabs, a maioria dos terminais na Alemanha utilizam dois protocolos de comunicação, o ZVT e Poseidon, para comunicar com caixas registadoras e prestadores de serviços de processamento de pagamentos, respectivamente.

Ambos têm características passíveis de serem aproveitadas por hackers, mas o problema é ainda agravado por más decisões de concepção dos terminais de pagamento, incluindo a prática de reutilização das chaves de cifra em todos os dispositivos.

Potenciais atacantes podem facilmente encontrar e comprar os terminais vulneráveis ​através do eBay, para extraírem as chaves de cifra.

Um dos maiores problemas é que a maioria dos terminais, independentemente do fabricante, partilham a mesma chave de assinatura, violando um princípio básico da segurança, disse Nohl.

O módulo de hardware para segurança (HSM, sigla em inglês) em alguns modelos de terminais é vulnerável a um tipo de ataque com o qual se pode extrair a chave em minutos, depois de se ganhar acesso ao terminal através de uma ligação remota, por exemplo.

Além disso, potenciais atacantes podem facilmente encontrar e comprar esses terminais vulneráveis ​através do eBay. Depois de extrair a chave, podem usá-la na maioria dos outros dispositivos, incluindo os modelos mais recentes (devido à prática da reutilização).

Os terminais utilizados noutros países europeus costumam usar um protocolo de comunicações diferente chamado Open Payment Initiative (OPI), semelhante ao ZVT mas sem a funcionalidade de gestão remota, que os atacantes podem abusar. No entanto, em muitos, essa funcionalidade foi acrescentada e é igualmente insegura.

Remédios de curto e longo prazo

Há nas soluções implantadas neles, apesar de tudo, uma funcionalidade para mudar as chaves e fornecer a todos os terminais uma chave única, desde que os servidores de back-end também sejam modificados para suportar tal implantação, avança o investigador.

Os terminais ainda estariam vulneráveis à execução de código ou outros ataques ao hardware mas, pelo menos, o ataque ficava restrito a um único terminal e não a centenas de milhar.

No curto prazo, é fundamental mudar as cifras existentes fixando chaves exclusivas para cada terminal,  mas a longo prazo torna-se necessário garantir melhores normas de segurança, que dependam menos da segurança dos próprios terminais.

Isso poderia ser feito através da implantação de medidas como a adopção de cifra de chave pública, em vez de algoritmos de chave simétrica, sugere Nohl.




Deixe um comentário

O seu email não será publicado