Pagos Afrika
Mucho ha salido de la conferencia Black Hat USA 2018 en Las Vegas durante estos últimos días. Una atención crítica que exige tal descubrimiento son las noticias de los investigadores de Positive Technologies, Leigh-Anne Galloway y Tim Yunusov, que se han presentado para arrojar luz sobre los crecientes ataques de métodos de pago de menor costo.
Según los dos investigadores, los piratas informáticos han encontrado una forma de robar información de tarjetas de crédito o manipular los montos de las transacciones para robar fondos de los usuarios. Han logrado desarrollar lectores de tarjetas para tarjetas de pago móviles baratas para llevar a cabo estas tácticas. A medida que las personas adoptan cada vez más este método de pago nuevo y sencillo, se convierten en los principales objetivos de los piratas informáticos que dominan el robo a través de este canal.
Los dos investigadores explicaron en particular que las vulnerabilidades de seguridad en los lectores de estos métodos de pago podrían permitir que alguien manipule lo que se muestra a los clientes en las pantallas de pago. Esto podría permitir a un pirata informático manipular el monto real de la transacción o permitir que la máquina muestre que el pago no se realizó correctamente la primera vez, lo que provocaría un segundo pago que podría ser robado. Los dos investigadores apoyaron estas afirmaciones al estudiar las fallas de seguridad en los lectores de cuatro empresas líderes en puntos de venta en los Estados Unidos y Europa: Square, PayPal, SumUp e iZettle.
Si un comerciante no anda con malas intenciones de esta manera, otra vulnerabilidad encontrada en los lectores podría permitir que un atacante remoto también robe dinero. Galloway y Yunusov descubrieron que la forma en que los lectores usaban Bluetooth para emparejarse no era un método seguro, ya que no había ninguna notificación de conexión ni entrada / recuperación de contraseña asociada. Esto significa que cualquier atacante aleatorio dentro del alcance puede lograr interceptar la comunicación de la conexión Bluetooth que mantiene el dispositivo con una aplicación móvil y el servidor de pagos para alterar el monto de la transacción.
Es importante señalar que los dos investigadores han explicado que aún no se han llevado a cabo exploits remotos de esta vulnerabilidad y que, a pesar de estas vulnerabilidades masivas, los exploits todavía no han cobrado impulso en general. Las empresas responsables de estos métodos de pago fueron notificadas en abril y parece que, de las cuatro, la empresa Square se ha dado cuenta rápidamente y ha decidido interrumpir el soporte para su vulnerable Miura M010 Reader.
Los investigadores advierten a los usuarios que eligen estas tarjetas baratas para el pago que pueden no ser apuestas seguras. Aconsejan que los usuarios usen chip y pin, chip y firma, o métodos sin contacto en lugar del deslizamiento de banda magnética. Además de esto, los usuarios en el lado de la venta deben invertir en tecnología mejor y más segura para garantizar la confiabilidad y seguridad de su negocio.
