A reportagem “Quadrilha usa bluetooth para clonar cartões de chip e movimenta milhões”, veiculada no último domingo (16/11/2014) no Fantástico, fez afirmações fortes sobre a segurança de sistemas de pagamentos eletrônicos no país e deixou muitas pessoas apreensivas.
Imagens de dispositivos de captura implantados pela quadrilha em terminais de pagamento, de cartões com chip em branco e afirmações como “há fortes indícios de que essa quadrilha de carders conseguiu a clonagem” ganharam grande atenção dos brasileiros (20,6 pontos de audiência no Fantástico, quase o mesmo que o domingo de eleições, quando o programa chegou a 24 pontos, segundo o site OTVFoco.com.br).
Alguns fatos, entretanto, precisam ser esclarecidos e contextualizados na devida profundidade.
Antes de mais dada, é importante esclarecer a diferença entre clonagem – que por definição seria uma cópia perfeita, indistinguível, do cartão original – e uma cópia grosseira de alguns dados públicos, que é o que aparentemente aconteceu.
Temos vários indícios que esses ataques (evitáveis) são baseados em duas técnicas já conhecidas, a saber:
- Geração de cartões fraudulentos a partir de dados públicos de cartões legítimos: esse ataque consiste na captura de dados públicos de um cartão e geração de novos cartões semelhantes (mas não idênticos) aos cartões originais. Esses cartões não possuem as mesmas credenciais de segurança dos cartões originais, mas podem ser utilizados em emissores que não implementam corretamente todos os mecanismos de autenticação. Em emissores que implementam o processo completo de validação, esses “clones” imperfeitos simplesmente não funcionam.
- Ataques de “replay”: nesses ataques, um oponente envia dados de uma transação anteriormente realizada de forma legítima, misturados aos dados de uma nova transação fraudulenta. Quando emissores não avaliam corretamente todos os dados recebidos, transações duplicadas podem ser confundidas com transações autênticas.
A reportagem também destaca o suposto ineditismo desses ataques (“pela primeira vez no mundo essa tecnologia sofisticada foi violada!”), sendo que ataques semelhantes já haviam sido registrados (e remediados) anteriormente. O programa utilizou analogias para tentar explicar o fato de que o ataque se aproveita de falhas na implementação de sistemas:
“O chip é como uma casa que precisa de segurança para não ser invadida por ladrões. A casa está segura, não dá para entrar na casa, ladrão entra se não tem polícia na rua. Normalmente, naquela rua deveria ter polícia, controle. (…) o que aconteceu é que algumas instituições implementaram ruas sem guardas ou com poucos guardas”.
A analogia é válida: o que aconteceu é que algumas instituições não implementavam todos os mecanismos de autenticação disponíveis. Entretanto, a reportagem falha em não esclarecer que se trata de um problema de terminais e de autorização e não de “clonagem de cartões”.
Temos sido contactados por dezenas de pessoas preocupadas com a notícia e gostaríamos de reiterar aqui o que explicamos a cada uma delas:
- A fraude não foi uma “clonagem” propriamente dita e sim uma cópia grosseira dos dados públicos dos cartões com chip. Cartões com chip não foram clonados e continuam infinitamente mais seguros que cartões de tarja magnética, estes, sim, facilmente clonáveis.
- Reforçamos a necessidade de implementar as melhores práticas de autorização do mercado, que incluem validar os criptogramas gerados pelos cartões para evitar ataques de duplicação grosseira e validar os parâmetros da transação para evitar ataques de “replay”.
- Clientes paySmart estão protegidos em relação aos ataques descritos na reportagem e em relação à diversos outros ataques a sistemas de pagamentos. Para saber mais, entre em contato conosco aqui.
Preparamos também uma pequena apresentação on-line para ilustrar esse artigo que pode ser acessada aqui.