Hacker bypassano verifica PIN delle MasterCard usandole come carte di credito Visa

hacker-bypassano-mastercard-visa
Condividi:

Ricercatori di cybersecurity hanno rivelato un nuovo attacco che potrebbe consentire ai criminali di ingannare un terminale di un punto vendita facendogli effettuare transazioni sul circuito contactless di Mastercard simulando l’utilizzo di una carta Visa.

La ricerca, pubblicata da un gruppo di accademici dell’ETH di Zurigo, si basa su uno studio dettagliato che ha approfondito un attacco bypass tramite PIN, che consente ai malintenzionati di sfruttare le carte di credito abilitate al protocollo Visa EMV (Europay-MasterCard-Visa) rubate o smarrite, al fine di effettuare acquisti di alto valore senza conoscere il PIN della carta, ingannando il terminale POS.

I criminali possono usarlo in combinazione con il precedente attacco a Visa per aggirare anche il PIN per le carte Mastercard. Le carte di questo marchio erano precedentemente ritenute protette da PIN“.

In seguito alla divulgazione, Mastercard ha implementato nuovi meccanismi di difesa per contrastare tali attacchi.

Come funziona l’attacco tra carte di credito

In precedenza vi era stato un attacco che aveva coinvolto Visa, anche quest’ultimo attacco hacker sfrutta gravi vulnerabilità nel protocollo contactless EMV (ampiamente utilizzato), solo che questa volta l’obiettivo è Mastercard.

L’attacco avviene utilizzando un’applicazione Android che implementa un attacco man-in-the-middle (MitM) su un’architettura di attacco, consentendo così all’app non solo di avviare messaggi tra le due estremità – il terminale e la carta – ma anche di intercettare e manipolare le comunicazioni NFC (o Wi-Fi) per impedire il riconoscimento di una mancata corrispondenza tra carta di credito e la rete di pagamento.

In altre parole, in una situazione normale, la carta emessa a marchio Visa o Mastercard invia una richiesta di autorizzazione alla rispettiva rete di pagamento. Il terminale di pagamento riconosce il marchio utilizzando una combinazione e il pagamento avviene.

L’attacco, soprannominato “confusione tra marchi di carte” (suona molto meglio in lingua originale) consente invece di ingannare un terminale facendogli attivare un kernel difettoso e, per estensione, la banca che elabora i pagamenti per conto del commerciante, ad accettare transazioni contactless con riferimenti che indicano diversi marchi di carte.

L’aggressore esegue quindi contemporaneamente una transazione Visa con il terminale e una transazione Mastercard con la carta“, hanno sottolineato i ricercatori.

Mastercard applica delle contromisure

In risposta ai fatti, Mastercard ha aggiunto una serie di contromisure, tra cui l’obbligo per le istituzioni finanziarie di includere nuovi parametri di autorizzazione (nello specifico l’AID, cioè l’Application Identifier).

Morale della favola: l’importanza dell’analisi delle vulnerabilità

Per quanto strutturate, le aziende non possono assicurare una protezione informatica perfetta: per questo motivo, è necessario scoprire le vulnerabilità prima che lo facciano gli hacker. In questo senso è fondamentale l’aiuto di esperti di cyber security (cosiddetti “hacker etici”) che testano i sistemi e i processi al fine di individuare le lacune, risolvendole prima che si generino frodi e furti di dati. È così che Mastercard ha limitato i danni.

    Il tuo nome*

    La tua email*

    Il tuo telefono*

    La tua città

    Il tuo messaggio

    * campo obbligatorio

    Condividi:

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

    Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

    Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

    Chiudi