{"id":5564,"date":"2015-08-10T18:36:08","date_gmt":"2015-08-10T18:36:08","guid":{"rendered":"http:\/\/kasperskydaily.com\/brazil\/?p=5564"},"modified":"2017-09-21T11:50:31","modified_gmt":"2017-09-21T14:50:31","slug":"contactless-payments-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/contactless-payments-security\/5564\/","title":{"rendered":"Os sistemas de pagamento sem fio s\u00e3o seguros?"},"content":{"rendered":"<p>\u201cO total \u00e9 de R$ 12.99\u201d disse a caixa do supermercado do bairro. Peguei minha carteira para fazer o procedimento habitual no terminal, esperei um segundo, depois ou\u00e7o um beep e \u2013 voil\u00e1! -transa\u00e7\u00e3o conclu\u00edda com sucesso!<\/p>\n<p>Um sistema sem fio para cart\u00e3o banc\u00e1rio \u00e9 super conveniente. N\u00e3o precisa passar o cart\u00e3o, lembrar seu PIN e assinar a nota com uma caneta falhando. Nem revirar a carteira em busca de dinheiro ou de moedas perdidas para facilitar o troco. Basta somente usar seu cart\u00e3o e est\u00e1 livre para sair com as compras.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/08\/06140833\/nfc_fb.png\"><img decoding=\"async\" class=\"aligncenter size-full wp-image-5565\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/08\/06140833\/nfc_fb.png\" alt=\"nfc_fb\" width=\"640\"><\/a><\/p>\n<p>Os caixas tamb\u00e9m est\u00e3o felizes com esse sistema. Ele torna o processo de compra mais r\u00e1pido e diminui o \u201cbandwidth\u201d, gargalo t\u00e3o comum no varejo.<\/p>\n<p>No entanto, a simplicidade nos faz questionar sobre a seguran\u00e7a. Um criminoso poderia usar um leitor falso e roubar nosso dinheiro?<\/p>\n<p>Com intuito de descobrir mais sobre este universo, estudei v\u00e1rios relat\u00f3rios sobre ataques dos hackers e conversei com representantes dos bancos. O feedback geral foi positivo, mas existem pontos de aten\u00e7\u00e3o.<\/p>\n<p><strong>Alcance<\/strong><\/p>\n<p>Os sistemas de cart\u00e3o de comunica\u00e7\u00e3o sem fio operam por NFC (tecnologia baseada em RFID). Um cart\u00e3o possui um chip e uma esp\u00e9cie de antena que conecta ao terminal POS usando uma faixa de freq\u00fc\u00eancia de 13,56 MHz. Diferentes sistemas de pagamento usam seus pr\u00f3prios padr\u00f5es, como Visa payWave, MasterCard PayPass, American Express ExpressPay etc. Independente do nome, empregam a mesma abordagem e base tecnol\u00f3gica.<\/p>\n<p>O alcance de transmiss\u00e3o NFC tende a ser pequeno, mais ou menos 2,5cm. Assim, o primeiro ponto de seguran\u00e7a \u00e9 f\u00edsico. Basicamente, o leitor deve ser colocado pr\u00f3ximo ao cart\u00e3o, o que dificilmente poderia ser feito ilegalmente.<\/p>\n<p>No entanto, pode-se montar um leitor capaz de funcionar dentro de alcance mais longo. Por exemplo, pesquisadores da Universidade de Surrey <a href=\"http:\/\/www.surrey.ac.uk\/mediacentre\/press\/2013\/114636_contactless_payment_cards_research_highlights_security_concerns.htm\" target=\"_blank\" rel=\"noopener nofollow\">desenvolveram<\/a> um scanner compacto capaz de ler dados NFC em\u00a0uma dist\u00e2ncia de at\u00e9 80cm.<\/p>\n<p>Este dispositivo pode ser capaz de solicitar transa\u00e7\u00f5es no transporte p\u00fablico, em shoppings, aeroportos e outros locais p\u00fablicos. Em muitos pa\u00edses, cart\u00f5es com tecnologia NFC podem ser encontrados em cada esquina, assim locais superlotados possuem muitas v\u00edtimas potenciais para criminosos.<\/p>\n<p>Outra quest\u00e3o \u00e9 que se pode ir ainda mais longe com um scanner personalizado ou aproveitando da proximidade f\u00edsica. Um m\u00e9todo elegante para \u201celiminar as dist\u00e2ncias\u201d foi desenvolvido pelos <a href=\"http:\/\/www.idigitaltimes.com\/new-android-nfc-attack-could-steal-money-credit-cards-anytime-your-phone-near-445497\" target=\"_blank\" rel=\"noopener nofollow\">hackers espanh\u00f3is<\/a> Ricardo Rodrigues e Jos\u00e9 Villa e apresentado na confer\u00eancia <em>Hack in the Box<\/em>.<\/p>\n<p>A maioria dos smartphones s\u00e3o equipados com um m\u00f3dulo NFC. Grande parte das pessoas, carrega seu smartphone pr\u00f3ximo a carteira dentro de bolsos, ou bolsa. Rodrigues e Villa <a href=\"https:\/\/conference.hitb.org\/hitbsecconf2015ams\/wp-content\/uploads\/2014\/12\/WHITEPAPER-Relay-Attacks-in-EMV-Contactless-Cards.pdf\" target=\"_blank\" rel=\"noopener nofollow\">desenvolveram o conceito de um Trojan Android,<\/a> que transforma um smartphone em um transponder NFC.<\/p>\n<p>Assim que um smartphone \u00e9 comprometido e colocado perto de um cart\u00e3o, ele sinaliza a possibilidade de realizar uma transa\u00e7\u00e3o para os respons\u00e1veis pelo ataque. Depois, basta ativar um terminal POS e colocar um smartphone habilitado com NFC perto do terminal. Assim, um tipo de liga\u00e7\u00e3o de Internet \u00e9 constru\u00edda entre um cart\u00e3o NFC e um terminal NFC, independentemente do alcance.<\/p>\n<p>O Trojan pode ser distribu\u00eddo atrav\u00e9s de m\u00e9todos convencionais, envolvendo malware e um aplicativo pago hackeado. O \u00fanico pr\u00e9-requisito \u00e9 que a vers\u00e3o do Android seja a 4.4 ou superior. Mesmo o acesso local n\u00e3o \u00e9 necess\u00e1rio, embora seja uma op\u00e7\u00e3o desej\u00e1vel para o Trojan quando a tela do smartphone est\u00e1 bloqueada.<\/p>\n<p><strong>Criptografia\u00a0<\/strong><\/p>\n<p>Conseguir um cart\u00e3o dentro do alcance do leitor hackeado como alvo \u00e9 apenas metade da tarefa. A outra parte \u00e9 mais complexa, a linha de defesa, a criptografia.<\/p>\n<p>As transa\u00e7\u00f5es de comunica\u00e7\u00e3o sem fio s\u00e3o protegidas pelo mesmo padr\u00e3o EMV que protege cart\u00f5es de pl\u00e1stico comuns equipados por um chip EMV. Considerando que uma tarja magn\u00e9tica pode ser facilmente clonada, um chip talvez dificulte que isso aconte\u00e7a. Ao receber uma requisi\u00e7\u00e3o de um terminal POS, o IC gera uma chave \u00fanica. Essa chave pode ser interceptada, mas n\u00e3o seria v\u00e1lida para a pr\u00f3xima transa\u00e7\u00e3o.<\/p>\n<p>Muitas pesquisas destacam a fragilidade sobre a seguran\u00e7a EMV; no entanto, casos da vida real de hackear um cart\u00e3o s\u00e3o ainda desconhecidos.<\/p>\n<p>No entanto, h\u00e1 um detalhe importante. Em uma situa\u00e7\u00e3o padr\u00e3o, o conceito de seguran\u00e7a de cart\u00f5es EMV \u00e9 baseado na combina\u00e7\u00e3o de chaves criptografadas e um c\u00f3digo PIN introduzido pelo usu\u00e1rio. No caso de opera\u00e7\u00f5es de contato, o c\u00f3digo PIN n\u00e3o \u00e9 necessariamente solicitado, de modo que os meios de prote\u00e7\u00e3o, neste caso, est\u00e3o limitados a chaves criptografadas geradas por uma placa e por um terminal.<\/p>\n<p>\u201cTeoricamente, \u00e9 poss\u00edvel criar um terminal que realizaria a leitura de dados NFC do cart\u00e3o \u201cdo bolso\u201d\u201d. No entanto, este terminal personalizado deve empregar as chaves criptografadas obtidas a partir de um banco e de um sistema de pagamento. \u201cAs chaves s\u00e3o emitidas pelo pr\u00f3prio banco o que significa que o golpe seria muito f\u00e1cil de ser rastreado e investigado\u201d, explica Alexander Taratorin, diretor de suporte de aplica\u00e7\u00e3o no Reiffeisenbank.<\/p>\n<p><strong>Valor da transa\u00e7\u00e3o<\/strong><\/p>\n<p>Existe ainda outra linha de prote\u00e7\u00e3o: a limita\u00e7\u00e3o do valor da transa\u00e7\u00e3o para pagamentos de comunica\u00e7\u00e3o sem fio. Este limite \u00e9 estipulado para as configura\u00e7\u00f5es de um terminal POS, dependo do banco e sistema de pagamento. Na R\u00fassia, o valor m\u00e1ximo para este tipo de transa\u00e7\u00e3o \u00e9 1000 RUB, nos EUA, US$ 25, e no Reino Unido, 20 libras (em breve ser\u00e1 de 30 GBP).<\/p>\n<p>Se o valor exceder o limite, a transa\u00e7\u00e3o \u00e9 rejeitada ou exige uma comprova\u00e7\u00e3o adicional de validade, por exemplo, um c\u00f3digo PIN ou uma assinatura, variando de acordo com as normas do banco emissor. Para evitar tentativas de v\u00e1rias transa\u00e7\u00f5es de valores inferiores, outro mecanismo de seguran\u00e7a adicional seria acionado.<\/p>\n<p>No entanto, existe uma dificuldade. Quase um ano atr\u00e1s, outra equipe de pesquisadores da Universidade de Newcastle (Reino Unido) detectou a vulnerabilidade do sistema de cart\u00f5es Visa de comunica\u00e7\u00e3o sem fio. Uma vez que voc\u00ea opta por realizar o pagamento em moeda estrangeira e n\u00e3o em libras esterlinas, o limite da transa\u00e7\u00e3o pode ser ignorado. Se um terminal POS est\u00e1 offline, o valor m\u00e1ximo de transa\u00e7\u00e3o pode atingir at\u00e9 1 milh\u00e3o de euros.<\/p>\n<p>No entanto, a empresa Visa afirma que ataques por repeti\u00e7\u00e3o na vida real n\u00e3o s\u00e3o t\u00e3o vi\u00e1veis, pois os sistemas de seguran\u00e7a do banco bloqueariam as opera\u00e7\u00f5es.<\/p>\n<p>De acordo com o Reiffeisen, um terminal POS controla o valor m\u00e1ximo da transa\u00e7\u00e3o, independentemente da moeda.<\/p>\n<p><strong>Vamos escolher uma forma diferente<\/strong><\/p>\n<p>Ent\u00e3o, vamos deixar tudo ao acaso, acreditando na improbabilidade pr\u00e1tica de um sistema de pagamento de banco n\u00e3o falhar, evitando assim transa\u00e7\u00f5es criminosas? A resposta provavelmente \u00e9 sim, desde que os golpistas n\u00e3o trabalhem para o seu banco.<\/p>\n<p>Ao mesmo tempo, h\u00e1 outra descoberta desagrad\u00e1vel. A tecnologia NFC pode facilitar o roubo de credenciais de cart\u00f5es de pagamento, se a pr\u00f3pria transa\u00e7\u00e3o n\u00e3o for hackeada.<\/p>\n<p>O padr\u00e3o EMV pressup\u00f5e que alguns dados s\u00e3o armazenados sem criptografia na mem\u00f3ria do chip. Esses dados podem incluir o n\u00famero do cart\u00e3o, \u00faltimas transa\u00e7\u00f5es etc., dependendo da pol\u00edtica de cada banco ou o sistema de pagamento. Os dados podem ser lidos por meio de um smartphone com NFC habilitado e um aplicativo leg\u00edtimo (como <a href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.github.devnied.emvnfccard\" target=\"_blank\" rel=\"noopener nofollow\">leitor de cart\u00e3o Banking NFC<\/a>) \u2013 voc\u00ea pode verificar, fazendo o teste.<\/p>\n<p>At\u00e9 agora, a informa\u00e7\u00e3o sobre causa \u00e9 desconhecida e n\u00e3o \u00e9 considerada suficiente para comprometer a seguran\u00e7a do cart\u00e3o. No entanto, o proeminente <em>Which?<\/em> <a href=\"http:\/\/www.dailymail.co.uk\/news\/article-3171431\/Thieves-use-scanners-steal-account-details-contactless-card-wallet.html\" target=\"_blank\" rel=\"noopener nofollow\">retomou o velho mito.<\/a><\/p>\n<p>Os especialistas do <em>Which?<\/em> Testaram v\u00e1rios cart\u00f5es diferentes emitidos pelos bancos do Reino Unido. Com a ajuda de um leitor NFC e um software livre, eles conseguiram decodificar o n\u00famero do cart\u00e3o e a data de validade de todos os cart\u00f5es testados.<\/p>\n<p>E pensamos que n\u00e3o precis\u00e1vamos nos preocupar. N\u00e3o \u00e9 preciso o n\u00famero do CVV para fazer compras online?<\/p>\n<p>A triste verdade \u00e9 que muitos sites online n\u00e3o exigem o n\u00famero do CVV. Os especialistas do <em>Which? <\/em>conseguiram encomendar uma TV de 3 mil libras em uma das maiores lojas de varejo online.<\/p>\n<p><strong>As letras mi\u00fadas<\/strong><\/p>\n<p>Considerando que a tecnologia de pagamentos de comunica\u00e7\u00e3o sem fio pressup\u00f5e diversas camadas de prote\u00e7\u00e3o, isso n\u00e3o significa que o seu dinheiro est\u00e1 100% seguro. Muitos elementos de cart\u00f5es banc\u00e1rios s\u00e3o baseados em tecnologias obsoletas como fita magn\u00e9tica, possibilidade de pagar online sem autentica\u00e7\u00e3o adicional etc.<\/p>\n<p>Em muitos aspectos, a seguran\u00e7a depende das defini\u00e7\u00f5es utilizadas pelas institui\u00e7\u00f5es financeiras e varejistas. Este \u00faltimo setor, em sua busca de facilitar as compras, buscado menos \u201ccarrinho abandonados\u201d, \u00e0s vezes prefere sacrificar a seguran\u00e7a das transa\u00e7\u00f5es de pagamento para faturar.<\/p>\n<p>\u00c9 por isso que as <a href=\"https:\/\/www.kaspersky.com.br\/blog\/skimmers-parte-dois\/4729\/\" target=\"_blank\" rel=\"noopener\">recomenda\u00e7\u00f5es b\u00e1sicas de seguran\u00e7a<\/a> continuam valendo mesmo no caso da tecnologia pagamentos sem contato. Nunca deixe estranhos observarem quando voc\u00ea digita sua senha do cart\u00e3o, tenha cuidado ao fazer download de um aplicativo para o seu smartphone, <a href=\"https:\/\/kas.pr\/KISABr\" target=\"_blank\" rel=\"noopener\">instale um antiv\u00edrus<\/a>, habilite notifica\u00e7\u00f5es por SMS e alertas dispon\u00edveis do seu banco, para ser notificado de qualquer transa\u00e7\u00e3o suspeita.<\/p>\n<p>Se voc\u00ea quer ter certeza que ningu\u00e9m usar\u00e1 um leitor NFC, compre uma carteira refletora. Afinal, as leis da f\u00edsica ainda s\u00e3o universais.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u201cO total \u00e9 de R$ 12.99\u201d disse a caixa do supermercado do bairro. Peguei minha carteira para fazer o procedimento habitual no terminal, esperei um segundo, depois ou\u00e7o um beep<\/p>\n","protected":false},"author":521,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14,15],"tags":[],"class_list":{"0":"post-5564","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-threats","7":"category-news","8":"category-products"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/contactless-payments-security\/5564\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/contactless-payments-security\/5705\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/contactless-payments-security\/6040\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/contactless-payments-security\/5848\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/contactless-payments-security\/6506\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/contactless-payments-security\/6381\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/contactless-payments-security\/8608\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/contactless-payments-security\/9422\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/contactless-payments-security\/4730\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/contactless-payments-security\/8391\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/contactless-payments-security\/8608\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/contactless-payments-security\/9422\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/contactless-payments-security\/9422\/"}],"acf":[],"banners":"","maintag":[],"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5564","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/521"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=5564"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5564\/revisions"}],"predecessor-version":[{"id":7967,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5564\/revisions\/7967"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=5564"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=5564"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=5564"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}