Carteiras digitais como Apple Pay, Google Pay e PayPal podem ser usadas para realizar transações usando cartões de pagamento roubados e cancelados, de acordo com pesquisadores acadêmicos de segurança.
Essas falhas — algumas das quais foram corrigidas desde a divulgação responsável no ano passado — permitem que um invasor armado com informações pessoais limitadas adicione um número de cartão de pagamento roubado ativo a uma carteira digital e faça compras, mesmo que o cartão seja posteriormente cancelado e substituído.
Um grupo de especialistas em segurança da informação – Raja Hasnain Anwar (UMass Amherst), Syed Rafiul Hussain (Penn State) e Muhammad Taqi Raza (UMass Amherst) – descreveu suas descobertas em um artigo apresentado na semana passada no Usenix Security 2024.
O papelintitulado “In Wallet We Trust: Bypassing the Digital Wallets Payment Security for Free Shopping” (Confiamos na carteira: ignorando a segurança de pagamento de carteiras digitais para compras gratuitas), explora “falhas críticas nos mecanismos de autenticação, autorização e controle de acesso dos principais aplicativos de carteira digital e bancos dos EUA”, disse Anwar, um candidato a doutorado em engenharia elétrica e de computação e autor principal. O Registro.
“Demonstramos como os invasores podem explorar essas fraquezas para adicionar cartões roubados às suas carteiras digitais e fazer transações não autorizadas.”
“Um cenário de ataque plausível é assim: Um invasor rouba um cartão de crédito de uma pessoa. Usando o nome do titular do cartão (que está impresso no cartão), o invasor determina o endereço da vítima usando bancos de dados online.
“Agora, o invasor tenta adicionar o cartão a diferentes carteiras digitais. Como carteiras diferentes têm métodos de autenticação diferentes, qualquer carteira que exija um endereço ou código postal para autenticação é adequada para o ataque prosseguir.
“Uma vez que o invasor adiciona o cartão à carteira, o portador do cartão pode bloquear o cartão ou pedir ao banco para enviar um substituto. Isso não terá efeito na carteira do invasor, que continuará a ter acesso ao cartão para transações.”
O cenário pressupõe que o invasor roubou um cartão de crédito ou obteve o número da conta principal (PAN) do cartão roubado e que o proprietário do cartão ainda não o cancelou.
O invasor – vamos usar o nome Eve – deve primeiro adicionar um número de cartão à sua carteira digital. Para fazer isso, ele precisa rebaixar o processo de autenticação entre o banco emissor e a carteira digital. Fazer isso envolve escolher um esquema de autenticação baseada em conhecimento (KBA) em vez de um esquema de autenticação multifator (MFA) mais seguro – como uma senha única enviada por SMS, e-mail ou chamada telefônica. Os bancos geralmente permitem isso porque é conveniente.
“O usuário final, mas não o banco, decide o método de autenticação a ser usado”, explica o artigo. “Por exemplo, um invasor pode fazer o banco voltar para o KBA quando o MFA é obrigatório. Eles fazem isso usando a opção de autenticação ‘baseada em chamadas’. O invasor disca para a linha de ajuda automatizada do banco para adicionar o cartão à carteira. A linha de ajuda solicita que o invasor forneça as informações relacionadas ao KBA: data de nascimento e os últimos quatro dígitos do SSN [social security number] associado ao cartão da vítima.”
Alguns esquemas KBA não exigem ambos os pontos de dados. Pode ser apenas um de vários valores possíveis: o código postal de cobrança, endereço de rua de cobrança, data de nascimento e/ou os últimos quatro dígitos do número do seguro social.
Os autores reconhecem que obter tais informações pessoais geralmente é “não trivial”. No entanto, eles argumentam que tais informações geralmente são acessíveis online, graças a serviços de busca de pessoas, registros públicos e despejos de dados.
“O recente Vazamento de SSN mostra como é fácil adquirir informações do KBA para essa verificação baseada em PII”, explicou Anwar, que acrescentou: “Conheço alguém que foi vítima de tal ataque, o que realmente inspirou este estudo de pesquisa”.
Depois que o cartão roubado é adicionado à carteira de Eve, ela está livre para usá-lo para fazer compras. Cancelar o cartão não ajuda – porque quando o cartão é autenticado, o banco emite um token que autoriza as compras e é armazenado na carteira digital. E esse token na carteira do invasor é reassociado ao cartão de substituição quando o banco o reemite.
“Quando o usuário relata a perda do cartão, o banco bloqueia o cartão perdido e emite um novo cartão (com um novo número de conta pessoal) para o usuário”, explica o artigo. “No entanto, ele não atualiza o token associado; em vez disso, ele vincula o token antigo ao novo PAN.”
Basicamente, o banco não verifica se a carteira que recebe o token atualizado é de propriedade do titular do cartão.
Para agravar a situação, os bancos não exigem que os terminais de ponto de venda nas lojas verifiquem a identidade do titular do cartão – verificar a identidade do titular do dispositivo é suficiente.
Os pesquisadores também descobriram que transações recorrentes – como cobranças mensais – são tratadas de uma forma que permite abusos. Os comerciantes ditam quais transações são recorrentes, mas um invasor pode enganar o comerciante para rotular uma transação como “recorrente” – e, como tal, ela será processada mesmo que o cartão de pagamento relevante tenha sido bloqueado.
O artigo explica um cenário possível:
Isso se aplica a outros sites, como Apple.com, de acordo com os pesquisadores, que relataram “nós compramos com sucesso um vale-presente da Apple de US$ 25 e AirPods de US$ 179” usando um cartão bloqueado. Os bancos permitem pagamentos recorrentes em cartões bloqueados para honrar o contrato entre o usuário e o comerciante, para que os serviços de assinatura continuem e eventos de crédito negativos para pagamentos de assinatura perdidos não ocorram. Mas esse tratamento especial de pagamentos recorrentes pode ser abusado.
Os pesquisadores explicaram que divulgaram suas descobertas a bancos e provedores de carteiras digitais relevantes dos EUA em abril de 2023. Chase, Citi e Google teriam respondido.
“No momento em que este artigo foi escrito, o Google estava trabalhando com os bancos de sua parte para resolver os problemas relatados no Google Pay”, observa o artigo. “Os bancos, no entanto, nos relataram que os ataques divulgados não são mais possíveis… Ainda não recebemos respostas da AMEX, BoA [Bank of America]US Bank, Apple e PayPal.”
A Apple, o Google e o PayPal não responderam imediatamente O Registrosolicitações de comentários da .
Os autores recomendaram várias medidas de mitigação: adotar notificações push (Bank App, Duo Mobile, Microsoft Authenticator) ou códigos de acesso (Google Authenticator) em vez de senhas tradicionais de uso único; usar autenticação contínua no gerenciamento de tokens; e fazer com que os bancos verifiquem transações recorrentes para garantir que estejam rotuladas corretamente. ®
