Ricercatori di cybersecurity hanno rivelato un nuovo attacco che potrebbe consentire ai criminali di ingannare un terminale di un punto vendita facendogli effettuare transazioni sul circuito contactless di Mastercard simulando l’utilizzo di una carta Visa.
La ricerca, pubblicata da un gruppo di accademici dell’ETH di Zurigo, si basa su uno studio dettagliato che ha approfondito un attacco bypass tramite PIN, che consente ai malintenzionati di sfruttare le carte di credito abilitate al protocollo Visa EMV (Europay-MasterCard-Visa) rubate o smarrite, al fine di effettuare acquisti di alto valore senza conoscere il PIN della carta, ingannando il terminale POS.
“I criminali possono usarlo in combinazione con il precedente attacco a Visa per aggirare anche il PIN per le carte Mastercard. Le carte di questo marchio erano precedentemente ritenute protette da PIN“.
In seguito alla divulgazione, Mastercard ha implementato nuovi meccanismi di difesa per contrastare tali attacchi.
Come funziona l’attacco tra carte di credito
In precedenza vi era stato un attacco che aveva coinvolto Visa, anche quest’ultimo attacco hacker sfrutta gravi vulnerabilità nel protocollo contactless EMV (ampiamente utilizzato), solo che questa volta l’obiettivo è Mastercard.
L’attacco avviene utilizzando un’applicazione Android che implementa un attacco man-in-the-middle (MitM) su un’architettura di attacco, consentendo così all’app non solo di avviare messaggi tra le due estremità – il terminale e la carta – ma anche di intercettare e manipolare le comunicazioni NFC (o Wi-Fi) per impedire il riconoscimento di una mancata corrispondenza tra carta di credito e la rete di pagamento.
In altre parole, in una situazione normale, la carta emessa a marchio Visa o Mastercard invia una richiesta di autorizzazione alla rispettiva rete di pagamento. Il terminale di pagamento riconosce il marchio utilizzando una combinazione e il pagamento avviene.
L’attacco, soprannominato “confusione tra marchi di carte” (suona molto meglio in lingua originale) consente invece di ingannare un terminale facendogli attivare un kernel difettoso e, per estensione, la banca che elabora i pagamenti per conto del commerciante, ad accettare transazioni contactless con riferimenti che indicano diversi marchi di carte.
“L’aggressore esegue quindi contemporaneamente una transazione Visa con il terminale e una transazione Mastercard con la carta“, hanno sottolineato i ricercatori.
Mastercard applica delle contromisure
In risposta ai fatti, Mastercard ha aggiunto una serie di contromisure, tra cui l’obbligo per le istituzioni finanziarie di includere nuovi parametri di autorizzazione (nello specifico l’AID, cioè l’Application Identifier).
Morale della favola: l’importanza dell’analisi delle vulnerabilità
Per quanto strutturate, le aziende non possono assicurare una protezione informatica perfetta: per questo motivo, è necessario scoprire le vulnerabilità prima che lo facciano gli hacker. In questo senso è fondamentale l’aiuto di esperti di cyber security (cosiddetti “hacker etici”) che testano i sistemi e i processi al fine di individuare le lacune, risolvendole prima che si generino frodi e furti di dati. È così che Mastercard ha limitato i danni.