Afrika de pagamentos
Muito saiu da conferência Black Hat USA 2018 em Las Vegas nos últimos dias. Uma atenção crítica que exige tal descoberta são as notícias vindas dos pesquisadores da Positive Technologies, Leigh-Anne Galloway e Tim Yunusov, que se apresentaram para lançar luz sobre os crescentes ataques a métodos de pagamento de baixo custo.
De acordo com os dois pesquisadores, os hackers encontraram uma maneira de roubar informações de cartão de crédito ou manipular os valores das transações para roubar fundos dos usuários. Eles conseguiram desenvolver leitores de cartão para cartões de pagamento móvel baratos para realizar essas táticas. À medida que as pessoas estão adotando cada vez mais esse novo e simples método de pagamento, elas se tornam os principais alvos de hackers que controlam o roubo por meio deste canal.
Os dois pesquisadores explicaram particularmente que as vulnerabilidades de segurança nos leitores desses métodos de pagamento podem permitir que alguém manipule o que os clientes são mostrados nas telas de pagamento. Isso pode permitir que um hacker manipule o valor real da transação ou que a máquina exiba que o pagamento não foi bem-sucedido na primeira vez, solicitando um segundo pagamento que pode ser roubado. Os dois pesquisadores apoiaram essas afirmações estudando as falhas de segurança em leitores de quatro empresas líderes de ponto de venda nos Estados Unidos e na Europa: Square, PayPal, SumUp e iZettle.
Se um comerciante não anda por aí com más intenções dessa forma, outra vulnerabilidade encontrada nos leitores pode permitir que um invasor remoto roube dinheiro também. Galloway e Yunusov descobriram que a maneira como os leitores usavam o Bluetooth para emparelhar não era um método seguro, pois não havia notificação de conexão ou entrada / recuperação de senha associada a ele. Isso significa que qualquer atacante aleatório ao alcance pode conseguir interceptar a comunicação da conexão Bluetooth que o dispositivo mantém com um aplicativo móvel e o servidor de pagamento para alterar o valor da transação.
É importante observar que os dois pesquisadores explicaram que explorações remotas dessa vulnerabilidade ainda não foram realizadas e que, apesar dessas vulnerabilidades massivas, as explorações ainda não ganharam impulso em geral. As empresas responsáveis por esses métodos de pagamento foram notificadas em abril e parece que das quatro, a empresa Square percebeu rapidamente e decidiu descontinuar o suporte para seu vulnerável Miura M010 Reader.
Os pesquisadores alertam os usuários que escolhem esses cartões baratos para pagamento de que podem não ser apostas seguras. Eles aconselham que os usuários usem chip e pin, chip e assinatura ou métodos sem contato em vez de passar a fita magnética. Além disso, os usuários do setor de vendas devem investir em tecnologias melhores e mais seguras para garantir a confiabilidade e a segurança de seus negócios.
