Pagamento por aproximação é seguro?

Em Cartão de crédito e débito por André M. Coelho

Um cartão bancário sem contato é super conveniente. Você não precisa passar seu cartão, lembrar o PIN, colocar uma assinatura com uma caneta de baixa qualidade, e isso não exige os atos de tirar a carteira, procurar dinheiro ou pescar moedas no fundo do bolso. Apenas um toque e você está pronto para ir.

Os caixas também estão satisfeitos com os meios de pagamento sem contato: isso torna a compra muito mais rápida e aumenta a eficiência do caixa, o conhecido gargalo de todos os processos de varejo.

Para descobrir isso, estudei muitos relatórios de conferências de hackers e conversei com vários representantes de bancos. O feedback coletivo foi bastante positivo, mas não sem pequenos inconvenientes.

Alcance do pagamento por aproximação

Cartões sem contato operam por NFC (uma espécie de tecnologia baseada em RFID). Uma placa integra um chip e uma antena que respondem à solicitação do terminal POS usando uma faixa de freqüência de 13,56 MHz. Diferentes sistemas de pagamento usam seus próprios padrões chamados Visa payWave, MasterCard PayPass, American Express ExpressPay, etc. Mas todos eles ainda empregam a mesma abordagem e a mesma tecnologia principal.

O alcance da transmissão NFC é pequeno – abaixo de uma polegada. Então, a primeira linha de defesa é física. O leitor, em essência, deve ser colocado na proximidade imediata do cartão, o que dificilmente poderia ser feito clandestinamente.

Ao mesmo tempo, pode-se montar um leitor personalizado capaz de operar com maior alcance. Por exemplo, pesquisadores da Universidade de Surrey demonstraram um scanner compacto capaz de ler dados NFC a uma distância de 80 cm.

Esse dispositivo pode ser capaz de emitir solicitações para cartões sem contato em transporte público, em shoppings, aeroportos e outros locais “povoados”. Em muitos países, cartões compatíveis com NFC podem ser encontrados em todas as segundas carteiras, de modo que, em lugares superlotados, os criminosos encontrariam um grande número de vítimas.

Em última análise, pode-se ir ainda mais longe e lidar sem um scanner personalizado ou proximidade física. Um método elegante de “eliminar a distância” foi desenvolvido pelos hackers espanhóis Ricardo Rodrigues e Jose Villa e apresentado na conferência Hack in the Box.

A maioria dos smartphones de hoje está equipada com um módulo NFC. Aparentemente, os smartphones são freqüentemente localizados nas proximidades de uma carteira – digamos, em uma bolsa ou em um bolso. Rodrigues e Villa desenvolveram um conceito de um Trojan Android, que transforma um smartphone alvo em um transponder NFC.

Assim que um smartphone comprometido é colocado perto de um cartão sem contato, ele sinaliza a possibilidade de realizar uma transação para os invasores. Golpistas, em seguida, ativam um terminal POS normal e colocam seu smartphone com NFC próximo ao terminal. Assim, uma espécie de “ponte” na Internet é construída entre um cartão NFC e um terminal NFC, independentemente do alcance.

O Trojan pode ser distribuído por meio de métodos padrão, como o que envolve um pacote do malware e um aplicativo pago hackeado. O único pré-requisito a este respeito é o Android 4.4 e superior. Mesmo o acesso root não é necessário, embora seja uma opção desejável para o Trojan funcionar quando a tela do smartphone está bloqueada.

Pagamentos sem contato

Pague seus pagamentos com cartões sem contato com segurança e praticidade. (Foto: Mobile Payments Today)

Encriptação do pagamento sem contato

Colocar um cartão de destino ao alcance de um leitor desonesto é apenas metade da tarefa. Há outra linha de defesa mais séria – a criptografia. As transações sem contato são protegidas pelo mesmo padrão EMV, que protege os cartões plásticos comuns equipados com um chip EMV. Enquanto uma fita magnética pode ser facilmente clonada, um chip não permitiria que isso acontecesse. Ao receber uma solicitação de um terminal POS, seu IC gerou uma chave única. Essa chave pode ser interceptada, mas não será válida para a próxima transação.

Pesquisas numerosas expressaram suas preocupações sobre a segurança EMV; no entanto, casos reais de hackear um cartão EMV ainda são desconhecidos.

Há uma coisa, no entanto. Em uma implantação padrão, o conceito de segurança de cartão EMV é baseado na combinação de chaves de criptografia e um código PIN inserido por um usuário. No caso de transações sem contato, o código PIN não é solicitado, portanto, os meios de proteção, neste caso, estão limitados a chaves de criptografia geradas por um cartão e por um terminal.

Em teoria, é plausível produzir um terminal que possa ler os dados NFC do cartão do bolso. No entanto, esse terminal personalizado deve empregar chaves de criptografia obtidas de um banco adquirente e de um sistema de pagamento. As chaves são emitidas pelo banco adquirente, o que significa que a fraude seria muito fácil de rastrear e investigar.

Valor da transação do pagamento contactless

Há ainda outra linha de defesa: a limitação do valor da transação para pagamentos sem contato. Esse limite é codificado nas configurações de um terminal PDV, conforme considerado adequado por um banco adquirente com base nas recomendações obtidas dos sistemas de pagamento. Os limites variam em diferentes países e até bancos. Se o valor exceder esse limite, a transação será rejeitada ou exigirá um comprovante de validade adicional, por exemplo, um código PIN ou uma assinatura, dependendo das configurações fornecidas pelo banco emissor. Para evitar tentativas de cobrar somas menores, consequentemente, um mecanismo de segurança adicional seria invocado.

No entanto, pode haver um problema um problema. Já foi relatada uma vulnerabilidade no sistema de segurança dos cartões sem contato Visa certa vez. Depois de optar por efetuar o pagamento em moeda estrangeira e não em certas moedas, você pode ignorar os limites. Se um terminal POS estiver offline, o valor máximo da transação pode chegar a 1 milhão de euros. No entanto, os representantes da Visa recusaram a viabilidade de tal ataque na vida real, afirmando que a transação tão grande seria rejeitada pelos sistemas de segurança de um banco. Um terminal POS controla o valor máximo da transação, independentemente da moeda.

Segurança do pagamento sem contato

Então, tudo se resume à improbabilidade prática de um banco de falha de um sistema de pagamento em impedir transações sem contato desonestas? A resposta provável é sim, desde que os golpistas não trabalhem para o banco em questão.

Ao mesmo tempo, há outra descoberta desagradável. O NFC pode facilitar o roubo de credenciais de cartões de pagamento, se a transação em si não puder ser sequestrada.

O padrão EMV pressupõe que alguns dados sejam armazenados sem criptografia na memória dos chips. Esses dados podem incluir o número do cartão, as últimas transações, etc., dependendo das políticas do banco emissor ou do sistema de pagamento. Os dados podem ser lidos por meio de um smartphone habilitado para NFC com um aplicativo legítimo (como NFC do leitor de cartão bancário) – você pode verificar isso por conta própria.

Até agora, as informações em questão eram consideradas abertas e não eram suficientes para comprometer a segurança do cartão. No entanto, um importante meio de consumo britânico, que surpreendentemente, eliminou o antigo mito.

O problema? Especialistas testaram um punhado de diferentes cartões sem contato emitidos. Com a ajuda de um leitor NFC acessível e software gratuito, eles conseguiram decodificar o número do cartão e a data de validade de todos os cartões participantes.

Enquanto a própria tecnologia dos pagamentos sem contato pressupõe várias camadas de proteção, isso não significa que seu dinheiro esteja 100% seguro. Muitos elementos de cartões bancários são baseados em tecnologias obsoletas, como tarja magnética, possibilidade de pagamento online sem autenticação adicional, etc.

Em muitos aspectos, a segurança depende das configurações usadas por instituições financeiras e varejistas. Os últimos, em busca de compras mais rápidas e menos “carrinhos abandonados”, às vezes preferem sacrificar a segurança de pagamento a um dinheirinho maior.

É por isso que as recomendações básicas de segurança ainda estão atualizadas, mesmo no caso de pagamentos sem contato. Evite que pessoas de fora supervisionem o seu PIN de informações do cartão, não o façam, tenha cuidado ao baixar um aplicativo para o smartphone, instale um antivírus, ative notificações de SMS no seu banco e alerte seu banco assim que detectar atividades suspeitas.

Se você quiser ter certeza de que ninguém leria seu cartão NFC, considere comprar uma carteira que proteja seus cartões, fisicamente, contra leitores.

Ficou alguma dúvida? Deixem nos comentários suas perguntas!

Sobre o autor

Autor André M. Coelho

Crédito ou débito? Esta é uma pergunta quase sempre feita ao se pagar com cartão mas é uma questão também comum na vida de muitos brasileiros. Com mais de 300 horas em cursos de finanças, empreendedorismo, entre outros, André formou-se em pedagogia e se especializou em educação financeira. Dá também consultorias financeiras e empresariais quando seus clientes precisam de ajuda e compartilha conhecimentos aqui neste site.

Aviso legal

O conteúdo apresentado no site é apenas informativo com o objetivo de ensinar sobre o funcionamento do mundo financeiro e apresentar ao leitor informações que o ensine a pensar sobre dinheiro. O site Crédito ou Débito não faz recomendações de investimentos e em nenhuma hipótese pode ser responsabilizado por qualquer tipo de resultado financeiro devido a práticas realizadas por seus leitores.

Deixe um comentário