Chips clonados na França com raios-X?

Imagem de raio-X do chip pirata colado acima do original
Imagem de raio-X colorida artificialmente para destacar diferentes materiais. Fonte: artigo “When Organized Crime Applies Academic Results”

Recentemente, pesquisadores franceses da ENS (École Normale Supérieure) divulgaram a descoberta de um novo artefato de hardware utilizado por uma quadrilha em fraudes envolvendo cartões com chip. Como costuma acontecer com fraudes envolvendo cartões, o caso rapidamente virou notícia.

Um artigo da revista Wired intitulado X-Ray Scans Expose an Ingenious Chip-and-PIN Card Hack (“Análise de raios-X revela ataque engenhoso a cartões com chip”) viralizou nas redes sociais e tem sido utilizado para questionar a segurança de cartões em chip de maneira geral. No Brasil, muitos têm nos perguntado se “cartões com chip ainda são seguros” e “como funciona essa clonagem por raios-X?”.

Então, antes de entrar nos detalhes vamos reforçar dois fatos:

  1. Cartões com chip não foram clonados pelos fraudadores franceses. O que houve foi um ataque envolvendo cartões com chip e um artefato de hardware (outro chip) colado em cima do cartão.
  2. Os raios-X foram utilizados apenas para comprovar que o ataque envolveu hardware específico, conectado ao chip original, e não para realizar qualquer tipo de clonagem.

 

 

Rápida descrição do ataque

O ataque identificado pelos pesquisadores forenses franceses é uma variação do ataque de homem-do-meio (“man-in-the-middle“), também conhecido como “PIN-wedge”, proposto por pesquisadores da Universidade de Cambridge no Reino Unido, em 2010.

A diferença é que, ao invés de depender de uma parafernália externa de hardware, como era o caso do protótipo utilizado pelo grupo de Cambridge, os fraudadores franceses utilizaram um outro chip, “colado” ao cartão legítimo. A implementação deu mais flexibilidade aos fraudadores, que não precisavam carregar mochilas e fios conectados a um cartão fraudulento, mas se baseia no mesmo princípio proposto anteriormente, isto é, enganar, simultaneamente, o cartão e o terminal de pagamentos (por exemplo, a “maquininha” de aceitar cartões).

2_chips_PT_BR

Embora o terminal acredite que esteja submetendo para o cartão a senha digitada pelo usuário, o chip pirata engana o chip legítimo e o terminal — um típico ataque de homem do meio. Para o cartão original, o chip pirata simula um terminal incapaz de enviar senhas e para serem validadas pelo cartão; para o terminal, o cartão pirata simula um cartão que acaba de validar a senha com sucesso. Na prática, o cartão pirata passa a aceitar qualquer senha (por exemplo, “1234”) digitada e o cartão original segue realizando a transação normalmente.

O processo é idêntico ao proposto em 2010 e a boa notícia é que as contramedidas, também.

 

Contramedidas

Em 2010, quando o ataque de “PIN wedge” foi proposto, ele causou verdadeiro frisson na indústria. Além de um longo vídeo da BBC descrevendo o ataque e entrevistando os pesquisadores, havia o artigo original publicado em um Simpósio da IEEE com afirmações fortes como “Chip and PIN is broken” (“EMV foi comprometido”). A realidade, conhecida desde então, é que:

  1. O ataque não se aplicava a todos os tipos de cartões e terminais como podia dar a entender o artigo. A enorme maioria dos terminais de saque (caixas eletrônicos), por exemplo, já forçava a captura de senha on-line, o que inviabilizava o processo;
  2. Controles existentes para bloquear cartões roubados ou perdidos em transações on-line já limitavam o ataque;
  3. O ataque pode ser evitado. De fato, o ataque tem sido evitado com sucesso por muitos emissores ao redor do mundo.

E como o ataque pode ser evitado?

As contramedidas são, basicamente, durante a aprovação de uma transação, verificar que o cartão inclui em uma estrutura chamada “Card Verification Results” (Resultado da Verificação pelo Cartão), que inclui informações que a senha foi validada.

Em transações puramente offline, essa verificação dá um pouco mais de trabalho — principalmente porque os detalhes variam de bandeira para bandeira e é preciso atualizar o software do terminal — mas em transações online, como é o caso da enorme maioria das transações realizadas no Brasil, a verificação pode ser implementada de maneira centralizada e de forma  razoavelmente simples.

 

Sem relação com as notícias de clonagem no Brasil

Em 2014 e, recentemente em 2015, algumas quadrilhas foram identificadas no Brasil (operação “Double Card”) fraudando cartões de pagamentos. A mídia noticiou que “cartões com chip foram clonados”, mas ao que tudo indica, o que houve, foi a recuperação de dados públicos dos cartões através de terminais comprometidos. Os ataques não aparentam ter qualquer relação com esses ataques perpetrados na França. As tecnologias utilizadas nos ataques dos “Gêmeos do Fantástico” são descritas aqui.

 

Conclusões

Embora o ataque identificado pelos pesquisadores da ENS seja mais uma confirmação de que o modelo proposto pelos pesquisadores de Cambridge é viável, contramedidas existem e há muito tempo.

Na paySmart, por exemplo, clientes que utilizam nossa tecnologia de autorização EMV estão protegidos desde 2006 (4 anos antes da publicação do artigo). A proteção se aplica também a essa nova variação do ataque descoberta em 2015.

Como qualquer sistema computacional, especialmente os que envolvem pagamentos, EMV está sujeito a ataques. Este não é o primeiro e nem será o último, mas contra os “chips colados Franceses” e contra os “Gêmeos do Fantástico”, estamos seguros. Basta fazer o “dever de casa”.