Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Entendendo ataques de duplicação de dados públicos e replay

A reportagem “Quadrilha usa bluetooth para clonar cartões de chip e movimenta milhões”, veiculada no Fantástico, alega que cartões com chip foram clonados. Esta apresentação explica o problema.
by

paySmart - EMV as a Service

on 13 March 2018

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Entendendo ataques de duplicação de dados públicos e replay

Ataques de duplicação
de cartões e transações

O que são e o que fazer para mitigá-los?
Daniel F. Nunes de Oliveira
CEO
paySmart
www.paysmart.com.br

https://paysmart.com.br/clone

Duplicação de
dados de cartões
clonagem
Não existe uma maneira simples (mesmo com hardware específico) de recuperar as credenciais dos cartões
Não há evidências
de clonagem de cartões com chip no Brasil.
Em teoria, um oponente poderia copiar todos os dados do chip, incluindo todas as chaves
Na prática, a clonagem é um processo extremamente difícil e extremamante caro.

duplicação grosseira
Há evidências
de ataques de duplicação grosseira no Brasil, mas o cartão fraudulento só é aceito quando instituições não implementam corretamente todas as validações
Um oponente copia os dados públicos e gera um novo cartão semelhante (mas não idêntico) ao cartão original
Ataques de
replay
O atacante copia todos os dados de uma transação que estão sendo transmitidos à instituição
O atacante envia dados da transação anterior para tentar legitimar uma transação fraudulenta
Quadrilha usa bluetooth para clonar cartões de chip e movimenta milhões
( Fantástico, 16/11/2014 )
Grupo adulterava máquinas de restaurantes de luxo e transferia dados entre aparelhos. Golpe inédito garantia gastos com boates, carros e imóveis de luxo.
Chip do cartão de crédito ou débito foi violado pela primeira vez
Bandidos quebram barreira de segurança de cartões com chip
http://g1.globo.com/fantastico/noticia/2014/11/bandidos-quebram-barreira-de-seguranca-de-cartoes-com-chip.html
( Portal G1. 16/11/2014 )
http://g1.globo.com/fantastico/noticia/2014/11/quadrilha-usa-bluetooth-para-clonar-cartoes-de-chip-e-movimenta-milhoes.html
OS FATOS
A TEORIA
Duplicação grosseira e exploração de falhas
A reportagem
não comprova
que houve clonagem
de cartões com chip
Ataques manipulam terminais e capturam dados públicos do chip e outros dados de transação
Dados públicos do chip vão para outro cartão
"em branco"
Estes cartões são utilizados em operações fraudulentas, explorando instituições que ainda não implementam todas as medidas de segurança
provavelmente combinando
técnicas de duplicação
e replay
Recomendações
O QUE FAZER?
Validar o criptograma de
todas as transações com
chip
Validar o contador de transações para evitar transações duplicadas (replay)

Validar que os dados do chip (bit 55) "batem" com os dados da transação
Análise de raios-X revela ataque engenhoso a cartões com chip”
X-rays expose an ingenious chip-and-PIN hack
https://www.wired.com/2015/10/x-ray-scans-expose-an-ingenious-chip-and-pin-card-hack/#slide-3
( Wired. 19/10/2015 )
https://paysmart.com.br/clonagem-fantastico
https://paysmart.com.br/clonagem-fantastico
https://paysmart.com.br/xray
https://www.kaspersky.com.br/blog/chip-n-pin-cloning/10137/
cibercriminosos brasileiros desenvolveram uma maneira de roubar dados e clonar cartões de chip
Cibercrime brasileiro cria método para clonar cartões com chip
( Kaspersky lab daily. 08/03/2018 )
Full transcript