Cuidado, os leitores dos cartões multibanco podem ser enganados
Os sistemas de pagamento são alvos preferenciais para ataques e para tentativas de fraude. Sempre que conseguem, os atacantes procuram roubar não apenas os dados mas também dinheiro das suas vítimas.
Uma nova descoberta, vinda do conhecido Samy Kamkar, provou que qualquer cartão magnético pode ser reproduzido por ondas electromagnéticas e assim enganar qualquer terminal de pagamento.
O novo dispositivo que Samy Kamkar criou permite enganar qualquer terminal de pagamento, simulando o processo de passagem desses cartões de banda magnética.
Com um tamanho diminuto, pouco maior que uma moeda de 20 cêntimos, o MagSpoof foi criado para armazenar toda a informação constante dos cartões de crédito ou que tenham uma banda magnética.
Para além de armazenar essa informação, o MagSpoof consegue também reproduzi-la e simular os cartões na presença de um terminal de pagamento.
Para criar este pequeno dispositivo, Samy Kamkar usou apenas um microcontrolador Atmel ATtiny85, um L293D H-bridge para para guiar o electroíman, uma bobine de fio de cobre, uma pequena bateria de 100mAh 3.7V e alguns LEDs, resistências e switches.
O funcionamento do MagSpoof é simples e o próprio Samy Kamkar descreve-a no seu site, onde pode também ser encontrada informação variada para todos os que queiram montar um.
MagSpoof emulates a magnetic stripe by quickly changing the polarization of an electromagnet, producing a magnetic field similar to that of a normal magnetic stripe as if it’s being swiped. What’s incredible is that the magstripe reader requires no form of wireless receiver, NFC, or RFID — MagSpoof works wirelessly, even with standard magstripe readers. The stronger the electromagnet, the further away you can use it (a few inches in its current iteration).
Todo o processo é explicado num vídeo em que Samy Kamkar revela o processo de criação do MegaSpoof e a sua utilidade.
Mas onde entra a segurança?
Para obter a informação dos cartões de crédito, que está residente na banda magnética, Samy Kamkar descobriu uma falha no processo de criação destes cartões.
Explorando esta falha é possível ao MagSpoof descobrir o números de qualquer cartão, baseado num cartão cancelado. Também a nova data de vida deste cartão pode ser obtida através da data de cancelamento.
Com o MagSpoof é ainda possível enganar os terminais de pagamento para aceitar pagamentos de cartões que têm chips com criptografia avançada e preparada para detectar e evitar fraudes.
Samy Kamkar não incluiu esta funcionalidade no MagSpoof e apresentou a vulnerabilidade às empresas que tratam de emitir esses cartões.
Este artigo tem mais de um ano
Titulo sensacionalista…
E que tal mencionaram o porque de o autor ter criado o aparelho???
explica-te.
basicamente clonar cartões com emuladores existe desde 1992 pelo menos…
O que aconteceu é que este senhor descobriu o algoritmo para criar os numeros da banda magnetica, e alterouos para que a maquina (não multimbanco) pense que o cartão não tenha chip e pin (que só agora os EUA comesaram a usar) e ele não gosta
Eu concordo em certa parte ctng.
Isto sempre ouve, é como pedir para ter cuidado pq há virus e malware à solta. Em termos práticos do dia a dia ninguem vai propria abrir os terminais de loja para ver se tem la isto ou não.. mas é sempre bom saber mais
Mas isto só funciona se o comerciante não pedir o cartão.
esta realidade não se aplica na vertente nacional, Portugal tem a rede multibanco mais avançada do mundo com sistemas de segurança físicos e lógicos sempre em evolução constante, por esse motivo não temos ouvido falar nos últimos tempos de fraudes a nível de clonagem de cartões apenas temos ouvido falar de fraudes a nível de phishing que basicamente são os utilizadores que fornecem os dados do cartão e esses dados são utilizados para efetuar compras online onde só é necessário o código CVV para autorizar a transação
isto acontece mesmo em portugal, não intereça o aparelho, a questão é que a noticia falsamente indica o proposito do aparelho.
Falta esclarecer aí uns pormenores muito importantes.
O algoritmo é apenas para os cartões AMEX.
O algoritmo não foi publicado.
Em Portugal o bit que indica o tipo de segurança é ignorado, ou seja, não podemos ir lá alterar a informação e dizer ao cartão para não pedir o PIN, não funciona.
O projecto é um simples emulador como tantos outros, mas vindo do Samy tem mais visibilidade/credibilidade, além dos extras que ele mencionou e não publicou.
Basicamente podem pegar num leitor de cartões, ler as 3 pistas e colocar essa informação no ATTiny para depois emular junto de um leitor.
Não adiciona nenhum risco que não existisse já. Aliás, nem é preciso emulador, em 5 minutos arranja-se um leitor/gravador de banda magnética no Ebay, grava-se a informação desejada num cartão já expirado e experimentam numa loja, divirtam-se. Não levanta tantas suspeitas como andar com um emulador no bolso 🙂 🙂
Para forçar a leitura da banda magnética, queima-se o chip.
Tendo em conta que usam os vossos próprios dados não há nenhuma ilegalidade.