Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Entendendo ataques de duplicação de dados públicos e replay

A reportagem “Quadrilha usa bluetooth para clonar cartões de chip e movimenta milhões”, veiculada no Fantástico, alega que cartões com chip foram clonados. Esta apresentação explica o problema.
by

paySmart - EMV as a Service

on 18 November 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Entendendo ataques de duplicação de dados públicos e replay

Ataques de duplicação
de cartões e transações

O que são e o que fazer para mitigá-los
Daniel F. Nunes de Oliveira
Dir. Desenvolvimento de Negócios
paySmart
www.paySmart.com.br

Duplicação de
dados de cartões
clonagem
Não existe uma maneira simples (mesmo com hardware específico) de recuperar as credenciais dos cartões
Não há evidências
de clonagem de cartões com chip no Brasil.
Em teoria, um oponente poderia copiar todos os dados do chip, incluindo todas as chaves
Na prática, a clonagem é um processo extremamente difícil e extremamante caro.

duplicação grosseira
Há evidências
de ataques de duplicação grosseira no Brasil, mas o cartão fraudulento só é aceito quando instituições não implementam corretamente todas as validações
Um oponente copia os dados públicos e gera um novo cartão semelhante (mas não idêntico) ao cartão original
Ataques de
replay
O atacante copia todos os dados de uma transação que estão sendo transmitidos à instituição
O atacante envia dados da transação anterior para tentar legitimar uma transação fraudulenta
Quadrilha usa bluetooth para clonar cartões de chip e movimenta milhões
Fantástico, 16/11/2014
Grupo adulterava máquinas de restaurantes de luxo e transferia dados entre aparelhos. Golpe inédito garantia gastos com boates, carros e imóveis de luxo.
Chip do cartão de crédito ou débito foi violado pela primeira vez
Bandidos quebram barreira de segurança de cartões com chip
http://g1.globo.com/fantastico/noticia/2014/11/bandidos-quebram-barreira-de-seguranca-de-cartoes-com-chip.html
Portal G1. 16/11/2014
http://g1.globo.com/fantastico/noticia/2014/11/quadrilha-usa-bluetooth-para-clonar-cartoes-de-chip-e-movimenta-milhoes.html
OS FATOS
A TEORIA
Duplicação grosseira e exploração de falhas
A reportagem
não comprova
que houve clonagem
de cartões com chip
A "quadrilha dos gêmeos" comprometeu terminais e instalou dispositivos de captura dos dados públicos do chip
Uma das páginas do laudo pericial é exibida na reportagem aos 02'35''
A "quadrilha dos gêmeos" aparentemente realizou cópia dos dados públicos do chip
E utilizou estes cartões em operações fraudulentas, explorando instituições que ainda não haviam implementado todas as medidas de segurança
provavelmente combinando
técnicas de duplicação
e replay
A NOTÍCIA
Recomendações
O QUE FAZER?
Validar o criptograma de
todas as transações com
chip
Validar o contador de transações para evitar transações duplicadas (replay)

Validar que os dados do chip (bit 55) "batem" com os dados da transação
Full transcript