Pesquisadores da Universidade de Cambridge demonstraram como os criminosos podem modificar um chip e um terminal PIN para que, quando um PIN genuíno for inserido, pareça que um PIN de valor mais alto foi inserido.
A equipe descobriu que, ao anexar um pequeno dispositivo chamado “glitcher” ao caixa eletrônico, os criminosos poderiam manipular o protocolo criptográfico usado pelo chip e pelo PIN para proteger os números PIN.
Esta vulnerabilidade pode permitir que os criminosos roubem dinheiro das contas bancárias das vítimas, enganando o caixa eletrônico fazendo-o pensar que um PIN genuíno é na verdade um PIN diferente e de valor mais alto.
Os pesquisadores desenvolveram um patch que pode corrigir a vulnerabilidade e estão trabalhando com a UK Cards Association (UKCA) para garantir que todos os chips e terminais PIN do Reino Unido sejam corrigidos o mais rápido possível.
O professor Steve Fehler, do Laboratório de Computação da Universidade de Cambridge, que liderou a pesquisa, disse:"Esta é uma vulnerabilidade séria que pode permitir que criminosos roubem dinheiro das contas bancárias das pessoas. Estamos trabalhando com a UK Cards Association para garantir que todos os terminais de chip e PIN sejam corrigidos o mais rápido possível."
Os pesquisadores publicaram um artigo descrevendo suas descobertas, que será apresentado no Simpósio de Segurança USENIX em agosto.
Aqui está uma explicação mais detalhada de como o ataque funciona:
* Quando um cartão com chip e PIN é inserido num caixa eletrônico, o caixa eletrônico envia uma mensagem ao cartão solicitando seu PIN.
* O cartão então criptografa o PIN usando um protocolo criptográfico chamado DES (Data Encryption Standard) e o envia de volta ao caixa eletrônico.
* O caixa eletrônico descriptografa o PIN usando o mesmo protocolo criptográfico e o compara com o PIN armazenado no cartão.
* Se o PIN estiver correto, o caixa autoriza a transação.
Os pesquisadores descobriram que, ao anexar um “glitcher” ao caixa eletrônico, eles poderiam manipular o protocolo criptográfico para que, quando um PIN genuíno fosse inserido, parecesse que um PIN de valor mais alto foi inserido.
Por exemplo, se o PIN genuíno fosse 1234, o glitcher poderia alterá-lo para que o caixa eletrônico “visse” um valor PIN de 9876. Isso permitiria ao criminoso sacar £ 9.876 em vez de £ 1.234 da conta bancária da vítima.
Os pesquisadores desenvolveram um patch que pode corrigir a vulnerabilidade e estão trabalhando com a UK Cards Association para garantir que todos os terminais de chip e PIN do Reino Unido sejam corrigidos o mais rápido possível.
Esta vulnerabilidade é um lembrete de que nenhum sistema de segurança é completamente infalível. No entanto, trabalhando juntos, podemos dificultar ao máximo o roubo do nosso dinheiro pelos criminosos.