Os sistemas de pagamento sem fio são seguros?

“O total é de R$ 12.99” disse a caixa do supermercado do bairro. Peguei minha carteira para fazer o procedimento habitual no terminal, esperei um segundo, depois ouço um beep

“O total é de R$ 12.99” disse a caixa do supermercado do bairro. Peguei minha carteira para fazer o procedimento habitual no terminal, esperei um segundo, depois ouço um beep e – voilá! -transação concluída com sucesso!

Um sistema sem fio para cartão bancário é super conveniente. Não precisa passar o cartão, lembrar seu PIN e assinar a nota com uma caneta falhando. Nem revirar a carteira em busca de dinheiro ou de moedas perdidas para facilitar o troco. Basta somente usar seu cartão e está livre para sair com as compras.

nfc_fb

Os caixas também estão felizes com esse sistema. Ele torna o processo de compra mais rápido e diminui o “bandwidth”, gargalo tão comum no varejo.

No entanto, a simplicidade nos faz questionar sobre a segurança. Um criminoso poderia usar um leitor falso e roubar nosso dinheiro?

Com intuito de descobrir mais sobre este universo, estudei vários relatórios sobre ataques dos hackers e conversei com representantes dos bancos. O feedback geral foi positivo, mas existem pontos de atenção.

Alcance

Os sistemas de cartão de comunicação sem fio operam por NFC (tecnologia baseada em RFID). Um cartão possui um chip e uma espécie de antena que conecta ao terminal POS usando uma faixa de freqüência de 13,56 MHz. Diferentes sistemas de pagamento usam seus próprios padrões, como Visa payWave, MasterCard PayPass, American Express ExpressPay etc. Independente do nome, empregam a mesma abordagem e base tecnológica.

O alcance de transmissão NFC tende a ser pequeno, mais ou menos 2,5cm. Assim, o primeiro ponto de segurança é físico. Basicamente, o leitor deve ser colocado próximo ao cartão, o que dificilmente poderia ser feito ilegalmente.

No entanto, pode-se montar um leitor capaz de funcionar dentro de alcance mais longo. Por exemplo, pesquisadores da Universidade de Surrey desenvolveram um scanner compacto capaz de ler dados NFC em uma distância de até 80cm.

Este dispositivo pode ser capaz de solicitar transações no transporte público, em shoppings, aeroportos e outros locais públicos. Em muitos países, cartões com tecnologia NFC podem ser encontrados em cada esquina, assim locais superlotados possuem muitas vítimas potenciais para criminosos.

Outra questão é que se pode ir ainda mais longe com um scanner personalizado ou aproveitando da proximidade física. Um método elegante para “eliminar as distâncias” foi desenvolvido pelos hackers espanhóis Ricardo Rodrigues e José Villa e apresentado na conferência Hack in the Box.

A maioria dos smartphones são equipados com um módulo NFC. Grande parte das pessoas, carrega seu smartphone próximo a carteira dentro de bolsos, ou bolsa. Rodrigues e Villa desenvolveram o conceito de um Trojan Android, que transforma um smartphone em um transponder NFC.

Assim que um smartphone é comprometido e colocado perto de um cartão, ele sinaliza a possibilidade de realizar uma transação para os responsáveis pelo ataque. Depois, basta ativar um terminal POS e colocar um smartphone habilitado com NFC perto do terminal. Assim, um tipo de ligação de Internet é construída entre um cartão NFC e um terminal NFC, independentemente do alcance.

O Trojan pode ser distribuído através de métodos convencionais, envolvendo malware e um aplicativo pago hackeado. O único pré-requisito é que a versão do Android seja a 4.4 ou superior. Mesmo o acesso local não é necessário, embora seja uma opção desejável para o Trojan quando a tela do smartphone está bloqueada.

Criptografia 

Conseguir um cartão dentro do alcance do leitor hackeado como alvo é apenas metade da tarefa. A outra parte é mais complexa, a linha de defesa, a criptografia.

As transações de comunicação sem fio são protegidas pelo mesmo padrão EMV que protege cartões de plástico comuns equipados por um chip EMV. Considerando que uma tarja magnética pode ser facilmente clonada, um chip talvez dificulte que isso aconteça. Ao receber uma requisição de um terminal POS, o IC gera uma chave única. Essa chave pode ser interceptada, mas não seria válida para a próxima transação.

Muitas pesquisas destacam a fragilidade sobre a segurança EMV; no entanto, casos da vida real de hackear um cartão são ainda desconhecidos.

No entanto, há um detalhe importante. Em uma situação padrão, o conceito de segurança de cartões EMV é baseado na combinação de chaves criptografadas e um código PIN introduzido pelo usuário. No caso de operações de contato, o código PIN não é necessariamente solicitado, de modo que os meios de proteção, neste caso, estão limitados a chaves criptografadas geradas por uma placa e por um terminal.

“Teoricamente, é possível criar um terminal que realizaria a leitura de dados NFC do cartão “do bolso””. No entanto, este terminal personalizado deve empregar as chaves criptografadas obtidas a partir de um banco e de um sistema de pagamento. “As chaves são emitidas pelo próprio banco o que significa que o golpe seria muito fácil de ser rastreado e investigado”, explica Alexander Taratorin, diretor de suporte de aplicação no Reiffeisenbank.

Valor da transação

Existe ainda outra linha de proteção: a limitação do valor da transação para pagamentos de comunicação sem fio. Este limite é estipulado para as configurações de um terminal POS, dependo do banco e sistema de pagamento. Na Rússia, o valor máximo para este tipo de transação é 1000 RUB, nos EUA, US$ 25, e no Reino Unido, 20 libras (em breve será de 30 GBP).

Se o valor exceder o limite, a transação é rejeitada ou exige uma comprovação adicional de validade, por exemplo, um código PIN ou uma assinatura, variando de acordo com as normas do banco emissor. Para evitar tentativas de várias transações de valores inferiores, outro mecanismo de segurança adicional seria acionado.

No entanto, existe uma dificuldade. Quase um ano atrás, outra equipe de pesquisadores da Universidade de Newcastle (Reino Unido) detectou a vulnerabilidade do sistema de cartões Visa de comunicação sem fio. Uma vez que você opta por realizar o pagamento em moeda estrangeira e não em libras esterlinas, o limite da transação pode ser ignorado. Se um terminal POS está offline, o valor máximo de transação pode atingir até 1 milhão de euros.

No entanto, a empresa Visa afirma que ataques por repetição na vida real não são tão viáveis, pois os sistemas de segurança do banco bloqueariam as operações.

De acordo com o Reiffeisen, um terminal POS controla o valor máximo da transação, independentemente da moeda.

Vamos escolher uma forma diferente

Então, vamos deixar tudo ao acaso, acreditando na improbabilidade prática de um sistema de pagamento de banco não falhar, evitando assim transações criminosas? A resposta provavelmente é sim, desde que os golpistas não trabalhem para o seu banco.

Ao mesmo tempo, há outra descoberta desagradável. A tecnologia NFC pode facilitar o roubo de credenciais de cartões de pagamento, se a própria transação não for hackeada.

O padrão EMV pressupõe que alguns dados são armazenados sem criptografia na memória do chip. Esses dados podem incluir o número do cartão, últimas transações etc., dependendo da política de cada banco ou o sistema de pagamento. Os dados podem ser lidos por meio de um smartphone com NFC habilitado e um aplicativo legítimo (como leitor de cartão Banking NFC) – você pode verificar, fazendo o teste.

Até agora, a informação sobre causa é desconhecida e não é considerada suficiente para comprometer a segurança do cartão. No entanto, o proeminente Which? retomou o velho mito.

Os especialistas do Which? Testaram vários cartões diferentes emitidos pelos bancos do Reino Unido. Com a ajuda de um leitor NFC e um software livre, eles conseguiram decodificar o número do cartão e a data de validade de todos os cartões testados.

E pensamos que não precisávamos nos preocupar. Não é preciso o número do CVV para fazer compras online?

A triste verdade é que muitos sites online não exigem o número do CVV. Os especialistas do Which? conseguiram encomendar uma TV de 3 mil libras em uma das maiores lojas de varejo online.

As letras miúdas

Considerando que a tecnologia de pagamentos de comunicação sem fio pressupõe diversas camadas de proteção, isso não significa que o seu dinheiro está 100% seguro. Muitos elementos de cartões bancários são baseados em tecnologias obsoletas como fita magnética, possibilidade de pagar online sem autenticação adicional etc.

Em muitos aspectos, a segurança depende das definições utilizadas pelas instituições financeiras e varejistas. Este último setor, em sua busca de facilitar as compras, buscado menos “carrinho abandonados”, às vezes prefere sacrificar a segurança das transações de pagamento para faturar.

É por isso que as recomendações básicas de segurança continuam valendo mesmo no caso da tecnologia pagamentos sem contato. Nunca deixe estranhos observarem quando você digita sua senha do cartão, tenha cuidado ao fazer download de um aplicativo para o seu smartphone, instale um antivírus, habilite notificações por SMS e alertas disponíveis do seu banco, para ser notificado de qualquer transação suspeita.

Se você quer ter certeza que ninguém usará um leitor NFC, compre uma carteira refletora. Afinal, as leis da física ainda são universais.

Dicas