Introducing 

Prezi AI.

Your new presentation assistant.

Refine, enhance, and tailor your content, source relevant images, and edit visuals quicker than ever before.

Loading…
Transcript

Ataques de duplicação

de cartões e transações

O que são e o que fazer para mitigá-los?

Daniel F. Nunes de Oliveira

CEO

paySmart

www.paysmart.com.br

https://paysmart.com.br/clone

OS FATOS

A TEORIA

Duplicação grosseira e exploração de falhas

Ataques de

replay

Quadrilha usa bluetooth para clonar cartões de chip e movimenta milhões

Duplicação de

dados de cartões

Grupo adulterava máquinas de restaurantes de luxo e transferia dados entre aparelhos. Golpe inédito garantia gastos com boates, carros e imóveis de luxo.

( Fantástico, 16/11/2014 )

clonagem

http://g1.globo.com/fantastico/noticia/2014/11/quadrilha-usa-bluetooth-para-clonar-cartoes-de-chip-e-movimenta-milhoes.html

https://paysmart.com.br/clonagem-fantastico

Dados públicos do chip vão para outro cartão

"em branco"

Ataques manipulam terminais e capturam dados públicos do chip e outros dados de transação

Bandidos quebram barreira de segurança de cartões com chip

Chip do cartão de crédito ou débito foi violado pela primeira vez

( Portal G1. 16/11/2014 )

http://g1.globo.com/fantastico/noticia/2014/11/bandidos-quebram-barreira-de-seguranca-de-cartoes-com-chip.html

https://paysmart.com.br/clonagem-fantastico

X-rays expose an ingenious chip-and-PIN hack

duplicação grosseira

Análise de raios-X revela ataque engenhoso a cartões com chip”

( Wired. 19/10/2015 )

https://www.wired.com/2015/10/x-ray-scans-expose-an-ingenious-chip-and-pin-card-hack/#slide-3

Um oponente copia os dados públicos e gera um novo cartão semelhante (mas não idêntico) ao cartão original

https://paysmart.com.br/xray

Cibercrime brasileiro cria método para clonar cartões com chip

A reportagem

não comprova

que houve clonagem

de cartões com chip

cibercriminosos brasileiros desenvolveram uma maneira de roubar dados e clonar cartões de chip

Estes cartões são utilizados em operações fraudulentas, explorando instituições que ainda não implementam todas as medidas de segurança

( Kaspersky lab daily. 08/03/2018 )

https://www.kaspersky.com.br/blog/chip-n-pin-cloning/10137/

provavelmente combinando

técnicas de duplicação

e replay

O QUE FAZER?

Recomendações

Validar o criptograma de

todas as transações com chip

Validar o contador de transações para evitar transações duplicadas (replay)

Validar que os dados do chip (bit 55) "batem" com os dados da transação

Em teoria, um oponente poderia copiar todos os dados do chip, incluindo todas as chaves

Na prática, a clonagem é um processo extremamente difícil e extremamante caro.

Não existe uma maneira simples (mesmo com hardware específico) de recuperar as credenciais dos cartões

Não há evidências de clonagem de cartões com chip no Brasil.

O atacante envia dados da transação anterior para tentar legitimar uma transação fraudulenta

O atacante copia todos os dados de uma transação que estão sendo transmitidos à instituição

Há evidências de ataques de duplicação grosseira no Brasil, mas o cartão fraudulento só é aceito quando instituições não implementam corretamente todas as validações

Learn more about creating dynamic, engaging presentations with Prezi