Kaspersky alerta para riscos de cartões «contactless»

Publicado em 14/09/2015 00:57 em Outras Tecnologias

A firma de segurança informática Kaspersky alertou para possíveis riscos do uso de cartões «contactless», que podem ser utilizados sem colocar em terminais e sem digitar um pin (código secreto).

A companhia russa salienta que o uso daqueles cartões, baseados em tecnologia NFC – Near Field Communication, com um microchip integrado e uma antena que comunica a curta distância com o terminal de pagamento automático, é muito cómodo para utilizadores e empresas, porque torna muito mais simples e rápido o pagamento e até evita tirar o cartão da carteira.

Destaca que em muitos países [é, aliás, o caso de Portugal] os cartões com tecnologia NFC já estão em quase todas as carteiras.

A Kaspersky afirma que a primeira defesa é física, porque teoricamente o cartão deve estar muito próximo do terminal, mas adverte que é possível montar leitores para funcionar com alcances mais longos, o que permitiria solicitar pagamentos a cartões «contactless» em ambientes públicos como centros comerciais, supermercados ou aeroportos, sem que o proprietário do cartão se apercebesse.

A companhia de segurança indica que os «hackers» espanhóis Ricardo Rodriguez e Jose Vila desenvolveram um sistema, que apresentaram na conferência «Hack in the box», que «elimina a distância» entre leitor e cartão.

A firma russa afirma que a primeira linha de defesa tecnológica tem de ser a encriptação e que as transacções «contacteless» estão protegidas pelo standard EMV, que protege os cartões baseados em chip e que gera uma chave de um só uso.

A Kaspersky diz que, pelo menos em teoria, é possível produzir um terminal que leia dados de um cartão NFC transportado no bolso de uma vítima, mas para isso é preciso obter chaves de encriptação de um banco e de um sistema de pagamentos.

Outra linha de defesa é a de que as transacções «contactless» são de baixo valor (em Portugal geralmente 20 euros) por transacção, mas é necessário um mecanismo de segurança adicional para prevenir transacções sucessivas de pequeno valor.

Aquele valor máximo tem uma limitação. Uma equipa de investigadores da universidade britânica de Newcastle descobriu há quase um ano que os cartões «contactless» da Visa no Reino Unido permitiam transacções acima do limite definido quando é seleccionada outra divisa que não a libra, indica a Kaspersky.

A firma de segurança informática acrescenta que se o terminal de pagamento estiver desligado da rede é, pelo menos teoricamente, possível superar o limite definido e chegar eventualmente a 1 milhão de euros.

Os responsáveis da Visa negam a viabilidade daqueles tipos de ataques.

A Kaspersky afirma que as lojas, para conseguirem transacções mais rápidas, por vezes sacrificam a segurança.

Entretanto, um estudo publicado há dias no World Retail Congress, indicava que no segundo trimestre de 2015 face a igual período de 2014 as transacções «contacteless» cresceram 170%, com as lojas de alimentação a representarem metade dessas transacções, os restaurantes, cafés e bares quase 15%, o pequeno comércio 10% e as estações de combustíveis 6,4%.

No mesmo período, o número de comerciantes que aceita pagamentos «contactless» com cartões Mastercard aumentou 64%.

A Mastercard indicou também que os utilizadores com smartphones que suportam NFC e que disponham de soluções de pagamento com aquela tecnologia poderão a partir de 2017 efectuar pagamentos móveis de valores mais elevados, superiores a 25 euros, em todos os pontos de venda com terminais «contactless».

Ainda sem comentários