Uma pesquisadora de segurança britânica comprovou na semana passada que ainda é possível em 2020 criar cartões de tarja magnética, de geração mais antiga, usando detalhes encontrados nos modernos cartões com chip e PIN (especificação EMV – Europay, Mastercard e Visa) e contactless (sem contato), e depois usar os cartões clonados para transações fraudulentas.
Em um documento técnico intitulado “Leva apenas um minuto para clonar um cartão de crédito, graças a um problema de 50 anos”, Leigh-Anne Galloway, chefe de pesquisa de segurança comercial do Cyber R&D Lab, testou as modernas tecnologias de cartão de 11 bancos dos EUA, Reino Unido e União Europeia.
Leigh-Anne descobriu que quatro dos 11 bancos ainda emitiam cartões EMV poderiam ser clonados em plástico de tarja magnética e ser usado para transações fraudulentas. Sob circunstâncias normais, isso não deve ser possível. Os cartões EMV foram projetados para serem difíceis de clonar, principalmente devido ao chip seguro incluído em cada um.
No entanto, o white paper de Leigh-Anne explica em um guia passo a passo como obter dados de um cartão EMV e criar um clone de tarja magnética de geração mais antiga. Essa técnica — de clonar uma versão de tarja magnética de um cartão EMV — não é nova e foi documentada em 2007.
Veja isso
Clonagem de cartões: Veja-como é
Dispositivo descobre ‘chupa-cabra’ em caixa eletrônico
“Eu demonstrei a clonagem de dados de chip para tarja magnética, mas os bancos disseram que os cartões emitidos após 2008 não seriam vulneráveis e os dados do chip seriam ‘inúteis para o fraudador’. Esta nova pesquisa mostra que o problema ainda não foi resolvido, 12 anos depois”, disse a pesquisadora ao site ZDNet.
Os bandidos usam skimmer ou shimmer (dispositivos caseiros conectados a um caixa eletrônico, capazes de roubar informações de cartões de tarja magnéticas e PIN) para coletar dados em cartões EMV, criam um clone de tarja magnética e, em seguida, usam esse clone para fazer transações fraudulentas nos terminais de ponto de venda (PoS) ou sacar dinheiro de caixas eletrônicos em países onde cartões de tarja magnética ainda são aceitos.
Códigos de segurança: ponto crítico
Em seu white paper, Leigh-Anne explica por que isso ainda é possível. “Primeiro, o ponto em comum entre os cartões de tarja magnética e EMV com chip inserido e sem contato é que é possível pesquisar informações válidas do portador do cartão de determinada tecnologia e usá-las em outro”, diz. “Em segundo lugar, a tarja magnética ainda é uma tecnologia de pagamento suportada, provavelmente porque a adoção de cartões com chip tem sido lenta em algumas regiões do mundo”, completa ela.
A pesquisadora observa ainda que, embora a tarja magnética seja uma tecnologia obsoleta em muitos dos países, os dados clonados ainda são eficazes, porque é possível fazer com que o terminal e o cartão retornem uma transação de tarja magnética. “Os códigos de segurança, um ponto crítico de verificação do cartão, não são verificados no momento da transação por todos os emissores.”
Este último ponto é a questão mais significativa. Em conversa com a reportagem da ZDNet, Leigh-Anne explica que os códigos de segurança do cartão (valores CSC, CVV ou CVC impressos no plástico) devem ser únicos por tecnologia e devem ser sempre validados. “O código de segurança do cartão (CVV, etc.) deve ser realmente exclusivo do método: chip, contactless ou tarja magnética.
O ponto principal é que os emissores não validam corretamente os dados da transação, como resultado skimmers e fraudes ainda são um grande negócio”, afirma. Leigh-Anne ressalta que, embora os bancos não tenham controle total de quais tecnologias de cartão/pagamento são suportadas em outros países, e ainda precisarão suportar tecnologias mais antigas para fins legados, eles têm condições de verificar as transações corretamente.