Unos investigadores de ciberseguridad del ETH Zurich han revelado un ataque novedoso que podría permitir a los delincuentes engañar a un terminal de punto de venta para que realice transacciones con la tarjeta sin contacto Mastercard de la víctima mientras creen que es una tarjeta Visa.
La investigación, publicada por estos académicos de la ETH de Zúrich, se basa en un estudio detallado en septiembre pasado que profundizó en un ataque de derivación de PIN, que permite a los ciberdelincuentes aprovechar la tarjeta de crédito Visa EMV robada o extraviada de una víctima para hacer de alto valor compras sin conocimiento del PIN de la tarjeta e incluso engañar al terminal para que acepte transacciones con tarjeta fuera de línea no auténticas.
Según expresaron los investigadores David Basin, Ralf Sasse y Jorge Toro: «Esto no es sólo una confusión de marcas de tarjetas, sino que tiene consecuencias críticas. Por ejemplo, los delincuentes pueden usarlo en combinación con el ataque anterior a Visa para también eludir el PIN de las tarjetas Mastercard. Las tarjetas de Mastercard se presumían previamente protegidas por PIN».
Tras la divulgación responsable, los investigadores de ETH Zurich dijeron que Mastercard implementó mecanismos de defensa a nivel de red para frustrar tales ataques. Los hallazgos se presentarán en el 30º Simposio de Seguridad de USENIX en agosto de este año.
Aquí un video publicado en YouTube en dónde se demustra este tipo de ataque:
Mastercard ha agregado contramedidas
Usando la aplicación PoC para Android, los investigadores de ETH Zurich dijeron que pudieron omitir la verificación del PIN para transacciones con tarjetas de crédito y débito Mastercard, incluidas dos tarjetas de débito Maestro y dos tarjetas de crédito Mastercard, todas emitidas por diferentes bancos, con una de las transacciones superando los $ 400.
En respuesta a los hallazgos, Mastercard ha agregado una serie de contramedidas, incluida la obligación de las instituciones financieras de incluir la AID en los datos de autorización, lo que permite a los emisores de tarjetas comparar la AID con el PAN.
Además, la red de pago ha implementado controles para otros puntos de datos presentes en la solicitud de autorización que podrían usarse para identificar un ataque de este tipo, rechazando así una transacción fraudulenta desde el principio.
