Ter um cartão bancário contactless é muito útil. Não temos que passar o cartão por um leitor ao fazer o pagamento no estabelecimento, memorizar o PIN (quando os pagamentos forem inferiores a 20 euros, aproximadamente), assinar o talão da máquina ou sequer tirar o cartão da carteira para pagar a conta. Um só gesto e a operação está operação feita.
Maior alcance
Estes cartões funcionam com a tecnologia NFC. Os cartões têm um microchip integrado e uma antena que responde às ordens do terminal de pagamento através uma gama de frequência de 13.56 MHz. O alcance na transmissão NFC é muito curto, pelo que a primeira linha de defesa é física. O leitor deve estar sempre, teoricamente, mesmo ao lado do cartão, pelo que o pagamento dificilmente pode ser feito de forma clandestina. Por outro lado, é possível montar um leitor personalizado para funcionar em longo alcance. Um dispositivo deste género teria a capacidade de solicitar pagamentos de cartões contactless em ambientes públicos, como centros comerciais, aeroportos e outros lugares concorridos, sem que o proprietário do cartão se apercebesse. Em muitos países, os cartões compatíveis com NFC já estão em todas as carteiras, pelo que os locais públicos e movimentados podem ser palco para muitos ataques.
Mas hoje em dia já nem é necessária uma proximidade física ou um leitor personalizado para realizar um ataque. Os hackers espanhóis Ricardo Rodriguez e José Vila desenvolveram um sistema que “elimina a distância” entre leitor e cartão, tendo-o apresentado oficialmente na conferência Hack in the Box.
Encriptação
A primeira linha de defesa tem que ser a encriptação. As transações contactless estão protegidas pelo mesmo standard EMV que protege os cartões de pagamento tradicionais que estão equipados com um chip EMV. As bandas magnéticas são fáceis de clonar, ao contrário dos chips. Ao receber um pedido de um TPV, o seu chip interno gera uma chave de um só uso. Esta chave pode ser intercetada, mas não seria válida para a transação seguinte.
Os analistas de segurança já manifestaram por várias vezes a sua preocupação com o sistema EMV; no entanto, na vida real, ainda não se ouviu falar de casos de ataque a estes cartões. Numa implementação standard, o conceito de segurança do cartão EMV baseia-se na combinação de chaves de encriptação e um código PIN introduzido pelo utilizador. No caso das transações contactless, nem sempre é necessário o código PIN, pelo que os sistemas de proteção estão limitados a chaves de encriptação geradas por um cartão e um terminal.
Em teoria, é possível produzir um terminal que leia dados de um cartão NFC no bolso de uma vítima incauta. No entanto, este terminal personalizado deve usar chaves de encriptação obtidas a partir de um banco e de um sistema de pagamento. As chaves são emitidas pela entidade bancária, pelo que se torna muito fácil investigar e identificar uma burla do género.
O valor da transação
Outra linha de defesa é a limitação do valor das transações de pagamentos contactless. Este limite é codificado nos parâmetros do TPV, de forma a que seja adequado ao banco, baseado em recomendações obtidas pelos sistemas de pagamento. Em Portugal, a quantia máxima é normalmente de 20 euros.
No caso de se exceder esse limite, a transação é recusada ou exigida uma prova de validade adicional, por exemplo um código PIN ou uma assinatura, dependendo dos parâmetros aplicados pelo banco emissor. Para prevenir tentativas contínuas de cobrança de pequenas quantias é necessário um mecanismo de segurança adicional.
No entanto, este sistema tem um inconveniente. Há quase um ano, outra equipa de investigadores da Universidade de Newcastle (Reino Unido), informou acerca da existência de uma vulnerabilidade no sistema de segurança dos cartões contactless da Visa. Ao selecionar outra divisa que não a libra, era possível superar o limite pré-definido. Se o TPV está desconectado da red, o valor máximo da transação pode também ser alterado, podendo chegar a 1 milhão de euros. Os representantes da Visa negaram a viabilidade deste ataque na vida real, declarando que uma transação de tal magnitude seria recusada pelos sistemas de segurança dos bancos.
O resultado final
Embora a tecnologia de pagamento contactless pressuponha várias camadas de proteção, isto não significa que o dinheiro esteja 100% seguro. Muitos elementos dos cartões bancários baseiam-se em tecnologias obsoletas, como as bandas magnéticas, permitindo ainda realizar pagamentos online sem uma autenticação adicional, etc., como alerta a Kaspersky Lab.
Em muitos aspetos, a segurança depende dos parâmetros definidos pelas instituições financeiras e pelas lojas online. Estas, para permitir uma compra rápida, preferem sacrificar a segurança do pagamento em prol de mais receitas.
É por isso que as recomendações de segurança básicas continuam a estar na ordem do dia, mesmo no caso dos pagamentos contactless:
- O objetivo é evitar que outras pessoas vejam o seu código PIN ou a informação do seu cartão. Para tal, nunca se deve mostrar o cartão, e deve ter-se o máximo cuidado ao descarregar determinadas aplicações no smartphone.
- A melhor solução passa sempre por instalar um antivírus, ativar as notificações dos movimentos bancários por mensagem de texto e avisar o banco quando se observe alguma atividade suspeita.
A Kaspersky Lab é a maior empresa privada de soluções de segurança endpoint do mundo. A companhia está entre os 4 maiores fabricantes de soluções de segurança endpoint do mundo.
