Alerta: É possível descobrir dados de um cartão Visa em segundos
Os sistemas de pagamentos usados na Internet assentam na sua maioria em cartões de crédito, por serem aceites de forma global. A segurança destes é elevada e têm elementos que a garantem, conseguindo assim não ser comprometidos de forma simples.
Mas uma investigação feita por uma equipa da universidade de Newcastle vem deitar por terra esta segurança e garante que os dados de qualquer cartão Visa podem ser obtidos em apenas 6 segundos.
A investigação levada a cabo por esta equipa de segurança mostrou que, usando apenas os primeiros 6 dígitos de qualquer cartão de crédito da rede Visa, onde estão representados o código do banco e o tipo de cartão, é possível calcular os restantes dígitos, a validade e o CVV (Código de segurança do cartão).
Dos testes realizados foram apenas necessários 6 segundos para conseguir obter os dados de qualquer cartão e assim ficar capacitado de o usar sem qualquer limite. Basta que sejam dirigidos pedidos de pagamentos a vários sites de compras online até que estes devolvam uma resposta de pagamento efectuado
A falha usada para conseguir obter estes códigos está na rede de pagamentos da Visa e existe há já alguns anos. Esta rede não consegue detectar as várias tentativas feitas para adivinhar estes códigos e assim permite que o ataque continue. Para complicar ainda mais este cenário, não existe um padrão da informação pedida, com vários sites a pedirem informação diferente referente aos cartões.
Com um simples computador, um software criado para o efeito e uma ligação à Internet qualquer um pode conseguir obter os dados de qualquer cartão de crédito, usando apenas um ataque de Distributed Guessing Attack. A maioria dos sites protege-se contra estes ataques limitando as tentativas de pagamentos erradas a 10 ou 20, mas com a quantidade de sites de compras ou que aceitem pagamentos deste tipo, bastam 6 segundos para conseguir quebrar um cartão de crédito.
Os testes realizados pela equipa da universidade de Newcastle detectaram apenas esta vulnerabilidade na rede Visa, tendo a rede da MasterCard detectado prematuramente estas tentativas de descoberta e aplicado medidas para a bloquear.
Por agora não há uma forma de prevenir estes ataques e qualquer cartão da rede Visa estará exposto. A equipa que detectou a falha acredita que esta vulnerabilidade estará já a ser explorada e que terá sido já usada em ataques recentes, que resultaram na perda de vários milhões.
fonte: Newcastle University
Este artigo tem mais de um ano
“é possível calcular os restantes dígitos” fiquei preocupado com isto. Mas no texto original está descrito que a técnica na é de calculo mas sim de tentativa/erro, adivinhação.
Ao adivinhares esses numeros acabas por conseguir tê-los contigo, ou seja, acabaste por os calcular.
“A investigação levada a cabo por esta equipa de segurança mostrou que, usando apenas os primeiros 6 dígitos de qualquer cartão de crédito da rede Visa, onde estão representados o código do banco e o tipo de cartão, é possível calcular os restantes dígitos, a validade e o CVV (Código de segurança do cartão).”
Se estivesse escrito “obter” em vez “calcular” concordaria. E não é uma questão de semântica, mas sim uma questão de método em causa.
adivinhar não é cálculo.
true
“por calculá-los”
Acho um absurdo a seguraça dessas empresa de cartões. Hoje pra fazer uma compra online basta ter um foto da frente e verso do cartão. Na maioria das vezes basta uma foto do numero de cartão para poder fazer compra.
Acabaram de comprar no meu cartão. Estou indignado!! Não carrego dinheiro na carteira com medo de ser roubado, deixo em uma “conta virtual” me rouba clonando meus dados.
Compraram no meu cartão mercado pago uma compra internacional no valor de mais de mil reais. 700 rais e outros valores “picados”.
Tenho direto de ser ressarcido pela administradora?
Alguem aqui sabe se posso cotestar e ter meu dinheiro de volta? Nunca tive problema com a plataforma mercado pago. Sou cliente a 3 anos e essa semana pedi um cartão mal desbloquei ja fui roubado!!
O irritante é que a empresa não possui um sistema de sac 24 horas, pra cancelar o cartão tem que aguardar o prazo de atendimento que só funciona em horario comercial.
Não tem coisa pior de quer vc abri sua conta e ver seu saldo zero por uma fraude!
Espero que eles não me deixer na mão dessa vez! Vou procurar meus direitos!
Fica dando bobeira irmão aqui eo Brasil ..
um dos problemas é não pedirem o Nome, se antes de fazer o teste jogasse o nome com o cartão e negasse ao não corresponder seria mais complicado.
Seja como for foi colocada a data de validade, já seria necessário saber alguns dados, quem obtém esses dados também obtinha o CCV sem aplicação.
Cumprimentos
O nome tem um problema: não funciona a nível global. Devido aos carácteres especiais de cada língua, não é possível de aplicar em sites internacionais. (Exemplo simples: No Inglês não existe acentuação enquanto que no Francês existem milhões de variações de nomes com acentos.)
Foi testado nos anos 90, só funcionava na América e Inglaterra.
É apenas um vídeo, não mostra tudo o que é possível. O estudo que eles fizeram dizem que conseguem os dados sabendo apenas o número do cartão.
Isso seria uma barreira de segurança bem imposta, tal como cruzar isso com o numero de tentativas, IP do dispositivo, possivelmente localização também. Há muita que se pode fazer já para dificultar a vida a quem quiser abusar destas falhas.
E que tal se usar-mos autenticacao 3D para o nosso cartao VISA ?
Mesmo que se tenha os dados TODOS do cartao, e independentemente de aonde se esta’ a tentar fazer uma compra online, e’ enviado um SMS para o NOSSO telemovel a pedir a confirmacao e indicando um codigo para tal que tem depois de ser introduzido no sitio onde estamos a fazer a compra.
Nem mais, tenho um cartão Visa que já usa autenticação 3-D Secure Visa , antes de finalizar pagamento tenho de mencionar uma password para que o pagamento seja validado.
Nem todos os sites fazem autenticação 3-D Secure Visa. Não sei o motivo, mas possuo Visa com o 3-D Secure activo e cada vez que faço compras online é tipo roleta russa, umas vezes tenho que inserir a password, outras vezes não.
O mesmo acontece com os Mastercard que enviam um código de autorização para o telemóvel.
MBNet é uma óptima solução – novamente, os portugueses na vanguarda – mas não esquecer que é nacional e que os universitários de Newcastle não a podem usar nas suas contas 🙂
Não me parece que o MBNet possa ser usado sem que a pessoa seja no mínimo possuidora dum cartão de débito real, ou seja, continua a poder sofrer este tipo de ataque, pois o MBNet não impede que se use os dados do cartão real.
Não precisa de ter cartão real.
Há uma diferença grande entre um cartão de débito (o nosso vulgo MB) com o MBnet e usar directamente um cartão de crédito!
Adivinhar os dados do cartão de débito não lhe serve de muito para o MBnet, pois precisa é do username e password que lhe permitam gerar cartões de crédito virtuais. Daria sim para ataques directos em terminais físicos (como clonagem de cartões, mas isso é muito mais arriscado para o criminoso do que roubar pela internet).
Já no segundo, enquanto tiver o cartão está permanentemente exposto para ser abusado online.
Os cartões de débito não sofrem deste problema porque não os consegues utilizar da mesma forma do crédito. Com 3-D Secure consegues fazer pagamentos mas acho que o exploit não abrange esta tecnologia.
Cada cartão MB Net só pode ser usado por um único comerciante, caso seja um cartão de utilização múltipla. Se for um cartão de utilização única ainda mais seguro fica.
O MBNet cria um cartão virtual com plafond bem definido (ex. 30€) e também podemos indicar se o cartão virtual é de utilização única. Se acederem ao cartão virtual já não funcionará.
Impede, pois os dados do cartão real nunca circulam na net, além de que cada cartão virtual Mbnet só pode ser utilizado numa compra.
JC, estás a extrapolar a vantagem de usar o MBNet nas transações online que realizas, como protecção total para o número do cartão físico em qualquer tipo uso, o que é falso, pois há inúmeras maneiras para se arranjar números de cartões – os cartões continuam a ser usados noutros sítios.
O que eles mostram é que com poucos dados do cartão conseguem obter os restantes necessários para validar uma compra online.
o que se passa
não é preciso o cartão circular na net para
bem… são muitos comentários! Parece que não entenderam que o que os investigadores fizeram não necessita de obter cartões usados em pagamentos online, podem ir buscar cartões a outros lados (hacks em bases de dados de lojas físicas, hacks em pontos de pagamento, etc). Em nenhuma parte do que disse fica implícito que se obtém o número real pelo MBNet.
A pessoa usar o MBNet em compras online não impede que seja na mesma vítima deste tipo de ataque, pois a pessoa tem um cartão real e o MBNet não cria nenhuma protecção para que o cartão real da pessoa não possa ser usado noutras compras online. Dito doutro modo, pensar que se está protegido deste tipo de ataque por usar o MBNet é falso.
http://arstechnica.com/security/2016/12/thieves-can-guess-your-secret-visa-card-details-in-just-seconds/
João, os cartões de débito também podem ser usados em certas lojas para pagamentos online e também podem sofrer este ataque. Eles mencionam explicitamente cartões de débito no estudo em conjunto com cartões de crédito
Tenho conta bancária e há uns meses fiquei sem o cartão de débitopor 15 dias. Automaticameente removeram o acesso ao mbnet.
Errado. O MBNet é um< cartão virtual, e pode-se criar um sem sequer ter um cartão de crédito ou débito, e não está de forma alguma ligado a um cartão fisico, mas pode-se usar um cartão fisico num Multibanco para gerar um MBNet, no entanto, conforme ja afirmei, não está ligado a um cartão fisico. É um produto já com alguns anos, é muito seguro e fácil de usar.
GPinto, estás enganado!
Deixo-te parte do texto da Caixa Geral de Depósitos sobre como aderir ao MBNet.
“Na adesão terá de associar um cartão de débito ou de crédito e escolher um código secreto. Na confirmação da adesão receberá a sua identificação.”
Como já mencionaram, o MBNet com finalidade múltipla tem de ser usado no mesmo comerciante o que quer dizer, por exemplo, se usasses o cartão criado para comprar na Fnac já não podias usar na Worten. O millenniumbcp e outros têm um cartão físico para compras online e só colocas o valor que queres usar logo, se precisares de gastar €10 e colocares €11 para dar margem, mesmo que utilizem o teu cartão a quantidade será mínima e dá logo para detectares no sentido que, se for necessário podes cancelar e a perda será baixíssima. Este cartão também só pode ser carregado via homebanking o que ajuda a descartar este tipo de situações. Até hoje tive 0 problemas
taz0r26, será que não percebeste que o problema é com os cartões reais e que não é preciso que a pessoa faça compras online para que o seu cartão se possa tornar um alvo deste tipo de ataque?
@Guiomar aparentemente todos nós já percebemos isso. O que pelos vistos não percebes é que o cartão físico que menciono limita os valores que podem usar, levando a que a perda seja bem menor. Entre perderes 500-1000 euros e perderes 10, qual é o pior? Pois.
Isto hoje em dia quanto menos perda houver, melhor. Até porque neste momento, não nos conseguimos livrar a 100% destes males.
PS: O que eu e outros dizemos, é que existe formas de se evitar prejuízos altos.
taz0r26, tu falas dum cartão físico para compras online (pré-pago) e eu digo:
“não é preciso que a pessoa faça compras online para que o seu cartão se possa tornar um alvo”
Ou será que tens apenas, única e exclusivamente, o cartão pré-pago, usando para tudo incluindo compras nas lojas físicas? Não me parece!
Isso é demasiado caro, demasiado complicado e não pode funcionar em todo o mundo. Sabia que ao usar o seu cartão numa loja Americana quando cá são 8 da manhã, só mais de 12 horas depois o pagamento é activado? Apesar de o seu banco cativar o valor registado, o pagamento só transita na rede VISA quando o destinatário assim o confirmar. E é esse o ponto que lixa muitas dessas operações. Funcionam muito bem a nível local, são um desastre a nível internacional. Só se você não se importar de ir à América e pagar 3 euros por cada pagamento e pagar mais 2,5 euros por cada vez que precise de fazer um pagamento, para validar o cartão. Já viu a quantidade de dinheiro que iria gastar em comissões e pagamentos do telemóvel?
Nao pago nada por usar autenticacao 3D.
O servico e’ prestado pela UNICRE ca’ em Portugal, nao estou a receber nenhum SMS de fora de Portugal.
O comerciante e/ou a firma que trata dos pagamentos do comerciante nem teem a minima idea de qual e’ o meu numero de telemovel.
SEMPRE que tenho usado o VISA para compras online no estrangeiro, o sistema pede autenticacao 3D.
Nao tenho ativado 3D no meu MasterCard e ja’ foi recusado no estrangeiro por isso.
Esses pagamentos de validação são apenas testes de comunicação entre as entidades financeiras, o valor fica cativo normalmente por um prazo de 24h, mas volta a ser restituido automáticamente. Existe muita confusºão sobre este tipo de transação, mas não passa de um teste para ver se o dinheiro sai do nosso lado e chega ao outro lado, se chegar a compra real é efectivada, senão o nosso banco mantém cativo o montante desse “teste” durante um determinado periodo (normalmente 24h), se durante esse periodo não houver uma aceitação (resposta) da instituição financeira destinatária esse montante é reposto na nossa conta. Esse periodo varia de Entidade para Entidade, indo normalmente de 24 a 72 horas.
Usar-mos só se for para mos usares.
Não se escreve “usar-mos”, mas sim “usarmos”.
Mas sim, isso é um dos métodos mais seguros, assim como o MBNet que ainda é mais seguro.
MBNET
A melhor forma de evitar estas fraudes é a utilização do MBnet. É um cartão virtual e que só permite uma única utilização.
Nem todos os pagamentos online aceitam MB Net
os mais rígidos e sofisticados rejeitam o cartão.
Usas o MB Net + Paypal.
Registas o MB Net como cartão no Paypal é isso?
Boa ideia 😉
Tkx mate
Sim vais criando um cartao basicamente para cada compra. Pelo menos é o que eu faço.
Sim mas depois és bloqueado pelo Paypal por suspeitas de fraude.
Uso este sistema de adicionar cartões virtuais gerados pelo mbnet.pt no paypal há anos e nunca fui bloqueado! De vez em quando convém remover os cartões já utilizados do histórico do paypal…
Depende da quantidade de compras que fazes…
Tentei usar esse sistema, para além de ter de andar sempre a gerar cartoes cada item comprado (o que é uma chatisse) era bloqueado ao fim de umas 20 compras.
Tendo em conta que facilmente tenho mais de 20 transaccoes em 2 dias…
Isto para além de que nunca consegues verificar a tua conta.
Por isso esquece lá o assunto.
Esses não são os mais sofisticados. Os sites que não permitem o pagamento com o MBNET são TODOS os que usam os seus dados para outras funções.
O cartão do MBNET é um cartão de crédito igual a qualquer um dos outros. A única coisa que não transmite é a sua informação detalhada, coisa que o cartão de crédito transmite (a sua morada, registo civil, identificação bancária e quantas contas tem anexas ao cartão).
Por isso, se faz pagamentos com o Mbnet e são recusados, não faça compras nesses sites, pois os seus dados estão a ser usados para outras coisas. (A maioria são estatisticas de consultoras financeiras para validarem estudos de mercado… sem gastarem 1 cêntimos e abusam dos dados pessoais.)
Já uso o MBNet há muitos anos, e nunca tive problemas de rejeição. A única excepção são os sites que requerem o cartão físico. Aconteceu-me isso com uma Rent-a-car, por exemplo.
Para além das vantagens do MBNet, que nunca revela os dados do teu cartão e está protegido de várias formas, impossibilitando estes acessos trial and guess. usando-o com um PayPal temos o melhor de dois mundos.
Eu já tive problemas com o MBNet mas no PayPal. Como alguém indica num comentário mais acima, deixei de comprar na loja/revendedor.
Pelo o que pude perceber isto não tem nada a ver com o que o dono do cartão VISA (de crédito ou débito) fez ou faz, dando a entender que até pessoas que nem façam compras online podem se tornar vítimas.
Desde que tenha um cartão de crédito, pode ser alvo deste esquema.
Quem usa os dados, não sabe o nome da pessoa… só sabe os dados do banco e balcão.
Isto veio a lume por causa de uma coisa que aconteceu na Inglaterra, onde uma empresa que fornece cartões de crédito a clientes de uma superfície comercial, viu uma quantidade massiva de cartões a ser usados numa madrugada. Foram mais de 60 milhões de libras que foram usadas para compras e só na manhã de segunda-feira os clientes verificaram que tinham feito compras sem terem usado o cartão em lado nenhum.
Com cartões de débito também é possível em muitos sítos, eles mencionam os cartões de débito no estudo.
Há lojas online que não verificam/pedem o nome da pessoa para validar o uso do cartão, e outras pedem apenas mais um dado para além do número do cartão
http://arstechnica.com/security/2016/12/thieves-can-guess-your-secret-visa-card-details-in-just-seconds/
Tenho um cartão “carregável”, isto é, está sempre em branco. Quando pretendo fazer uma conta na Net, como sei o calor do produto faço um carregamento. A seguir, faço o pagamento normal. O cartão volta a ficar a zero. Por isso, podem cloná-lo à vontade: não há dinheiro para ninguém.
Algo parecido ao cartão Free do Millennium, certo? Até hoje também 0 problemas aqui deste lado.
Como já foi referido acima o MBNet resolve este problema, permite definir um valor limite, pode ser limitado a uma única utilização e caduca ao fim de um mês caso não seja utilizado. Para além disso como é possivel emitir vários MBNet por dia, pode-se criar um com o valor exato da compra.
Essa é a boa opção. O problema é que isto aplica-se a qualquer cartão de crédito da rede Visa que esteja activo. No caso do MBNET a situação funciona para proteger quem tem cartão de débito… se for de crédito, está sujeito ao mesmo problema.
Débito e crédito. O MBNet protege os dois, porque é virtual e tem dados diferentes, que não permitem obter os do cartão físico associado. Agora, sendo um número válido na rede Visa, pode sempre ser alvo de um ataque destes, mas com muito poucas possibilidades de sucesso. Já o físico, está sempre sujeito, mesmo que nunca seja usado.
Não é só com compras online que alguém obtém o número do teu cartão real.
Será que esta gente não percebe que a vulnerabilidade não tem nada ver com compras online mas sim com o facto de ter um cartão visa? …
O ataque é feito em lojas online, por isso tem tudo a ver com compras online. O cartão “calculado” pelos atacantes pode ser na realidade qualquer visa, real ou virtual, mas o virtual tem outras protecções associadas.
Eu fui alvo de uma burla com um cartão visa. Alguém comprou um jogo num site de uma conhecida marca americana de consolas usando os dados do meu cartão. Quando denunciei a situação fiquei a perceber várias coisas. 1) o interesse do comerciante americano é vender. É meter os dados do cartão e já está. Menos verificações ou burocracias, melhor. Não há sms ou 3d secure… Quando acusei que era uma compra fraudulenta nunca senti neles vontade de anular a venda nem a conta criada pelo (ou do) jogador burlão. 2). A emissora do cartão, perante a resposta do vendedor, considerou-me responsável pela operação. 3). O departamento de investigação e ação penal encerrou o caso apesar eu de ter facultado toda a informação que me foram pedindo (só faltou dar a identificação do criminoso, que, obviamente, não tenho…). 4) todos os intervenientes do processo foram pedindo mais e mais documentação e procedimentos, diligências que fui sempre fazendo… Para nada. Fico com a sensação que era para ver se eu desistia da queixa. E no fim fiquei a ver navios…. Estão a ver aquelas publicidades a compras seguras e seguros do cartão…. Tudo treta. Alguém fez uma compra online usando os dados do meu cartão e eu fiquei na situação de ter que provar que não tinha sido eu, não que alguém tenha provado que tenha sido eu. Nem tiveram que o fazer…. Hoje em dia uso muito menos o cartão e faço muito menos compras online. Quando corre mal o vendedor não quer perder a venda, o banco quer é receber a comissão e a vítima é que fica a arder…
Há uma prova irrefutável: a morada da entrega. Se for a que está associada ao cartão, e que deveria ser obrigatoriamente verificada, assim como o nome e outros dados do cartão, dificilmente podemos provar que foi outrém. Mas se tiver sido enviada para outro lado qualquer, não deveria ser difícil desmontar essas acusações contrárias! De qualquer forma, eu uso o PayPal sempre que possível, pois nesse estamos mais protegidos.
@ Pedro Coelho: realmente é uma situação assustadora e no mínimo desmotivante, uma pessoa é roubada, perde o dinheiro e ainda por cima leva em cima com a atitude de “repartição” em cima… e ainda de queixam que a carneirada não colabora, porque será… Bem, adiante, se follow the money é uma possibilidade o follow the IP devería ser ainda melhor, pois, se foi alguém na “conchichina” a fazer a encomenda então deveria ser +- fácil, para o dono do cartão, provar que não foi ele e que se calhar no dia e na hora a que foi feita a encomenda estava a trabalha, numa reunião, no supermercado ou simplesmente numa repartição a tratar de mai uma chatice . Pois, é isto de ser tudo informatizado,facturação controlada tem destas coisas, fica tudo registado para o bem e para o mal…
Uso cartão de crédito porque tem que ser!
Tenho conta paypal, mas nem todos os sites/comerciantes o aceitam.
O mbnet, posso estar enganado, mas no meu caso só tem plafond de 500€.
É uma VERGONHA, que na era da tecnologia, o meio de pagamento mais aceite mundialmente seja o cartão de crédito. A segurança é ridícula. Não há um pin, um código de segurança, um sms, nada…
É frequente pedirem-nos no check-in nos hoteis por exemplo. Basta uma rápida foto com o telemóvel e já está, todos os dados necessários ficam nas mãos do vigarista. Nos restaurantes, nas portagens, etc, etc, etc.
A quem é que isto interessa? De certeza que a muita gente, pois caso contrário a coisa já tinha evoluído.
Se associares o MBNET ao cartão de crédito, o plafond daquele é igual ao plafond deste se assim o definires. Quanto ao resto, só tens de impedir que o cartão saia da tua vista.
“É frequente pedirem-nos no check-in nos hoteis por exemplo” Podes explicar melhor o que queres dizer com isto? Referes-te à identificação?
É um procedimento normal nos hotéis, para poderem debitar serviços extraordinários como consumos do mini-bar, refeições no hotel/quarto, etc. É, de facto, um risco…
Como já comentei anteriormente no artigo “Portugal: Atenção aos Cartões clonados” https://pplware.sapo.pt/informacao/portugal-ateno-aos-cartes-clonados/
este problema seria fácil de acabar de vez… este de adivinharem os números, o de clonarem os cartões físicos, de tirarem fotografia aos dados do cartão… a minha solução não previne contudo o furto/ roubo do cartão físico se também souberem o código… mas pela falta do cartão físico já quase toda a gente dá e pode actuar rapidamente! Também não previne a coação, embora fosse fácil colocar um código de coação que ao ser introduzido serviria como sinalização para as autoridades policiais actuarem… teria de ser legislado por causa dos abusos.
O resumo: cartão que é basicamente um ecrã táctil do tamanho de um cartão de crédito, a pessoa insere o dito dispositivo no terminal (pode ser da loja, do smartphone, do tablet, do computador…) aparece a operação a ser autenticada (com os dados da loja e montante envolvido, na moeda local e convertido na moeda habitual da pessoa… obtido de alguma maneira segura online ou previamente), a pessoa eventualmente escolhe o banco e conta a utilizar para aquela operação, coloca um código e o dispositivo assina digitalmente aquela operação autorizando-a assim.
A chave digital nunca sai do dispositivo, logo não há nada para “apanhar no ar” ou “extrair”. Assim não há fotografias, furto dos dados de autenticação, adivinhação dos números, clonagem.
A única coisa a ter cuidado é confirmar a posse do cartão físico, tomar as medidas necessárias para que não vejam o código introduzido (na minha ideia até a posição do código iria sempre variar e o ecrã era feito de maneira a só ser possível ver num determinado ângulo para limitar a captura de imagem por parte de câmaras ocultas/ visíveis) e ABSOLUTAMENTE CONFIRMAR o montante da operação assim como que o nome da loja é mesmo aquele que é exibido no ecrã.
O cartão seria alimentado pelo próprio dispositivo, para assim se evitar o problema das baterias que iriam tornar o tamanho do dispositivo provavelmente incomportável para utilizar numa carteira.
Teria ainda uma vantagem adicional: higiene, se for somente a própria pessoa a mexer no cartão existirá menos possibilidades para viroses se espalharem pelos terminais, desde que os terminais estejam concebidos de forma correcta, claro.
Isso parece-me demasiado elaborado, mas pode funcionar. Outra alternativa seria a utilização de um segundo factor de autenticação, como os que se usam para autenticação online. Os terminais modernos já “falam” NFC, por isso seria bastante fácil impor a obrigatoriedade de utilização de tokens como os gerados por uma yubikey (pen USB e/ou NFC que gera tokens de segurança). Outra alternativa menos sofisticada, que não requer NFC, seria a simples utilização de códigos TOTP com uma app, como o Google Authenticator. Soluções como as que indiquei há muitas…
PayPal?!
Alguém me ajuda a descobrir pfvr