Pagaments Afrika
Durant els darrers dies ha sortit molt de la conferència de Black Hat USA 2018 a Las Vegas. Una atenció crítica que exigeix aquest descobriment és la notícia dels investigadors Leigh-Anne Galloway i Tim Yunusov de Positive Technologies, que s’han presentat per donar llum sobre els atacs creixents de mètodes de pagament de menor cost.
Segons els dos investigadors, els pirates informàtics han trobat una manera de robar informació de la targeta de crèdit o manipular els imports de les transaccions per robar fons als usuaris. Han aconseguit desenvolupar lectors de targetes per a targetes de pagament mòbils econòmiques per dur a terme aquestes tàctiques. A mesura que la gent adopta cada vegada més aquest nou i senzill mètode de pagament, s’està convertint en objectius principals per als pirates informàtics que han dominat el robatori a través d’aquest canal.
Els dos investigadors van explicar especialment que les vulnerabilitats de seguretat dels lectors d’aquest mètode de pagament podrien permetre a algú manipular el que es mostra als clients a les pantalles de pagament. Això podria permetre a un pirata informàtic manipular l'import real de la transacció o permetre que la màquina mostri que el pagament no va tenir èxit la primera vegada, cosa que provocaria un segon pagament que es podria robar. Els dos investigadors van donar suport a aquestes afirmacions estudiant defectes de seguretat en els lectors de quatre empreses líders en el punt de venda als Estats Units i Europa: Square, PayPal, SumUp i iZettle.
Si un comerciant no camina amb aquesta intenció malintencionada, una altra vulnerabilitat trobada en els lectors podria permetre que un atacant remot també robi diners. Galloway i Yunusov van descobrir que la manera com els lectors feien servir Bluetooth per emparellar-se no era un mètode segur ja que no hi havia associada cap notificació de connexió ni entrada / recuperació de contrasenya. Això vol dir que qualsevol atacant aleatori al seu abast pot interceptar la comunicació de la connexió Bluetooth que el dispositiu manté amb una aplicació mòbil i el servidor de pagament per modificar l'import de la transacció.
És important tenir en compte que els dos investigadors han explicat que encara no s’han dut a terme explotacions remotes d’aquesta vulnerabilitat i que, malgrat aquestes vulnerabilitats massives, les explotacions encara no han agafat impuls en general. Les empreses responsables d’aquests mètodes de pagament es van notificar a l’abril i sembla que de les quatre, la companyia Square s’ha adonat ràpidament i ha decidit deixar d’assistir al seu vulnerable Miura M010 Reader.
Els investigadors adverteixen els usuaris que trien aquestes targetes econòmiques per al pagament que poden no ser apostes segures. Aconsellen que els usuaris utilitzin mètodes de xip i pin, xip i signatura o mètodes sense contacte en lloc del lliscament de banda magnètica. A més, els usuaris que es dediquen a la venda de coses haurien d’invertir en una tecnologia millor i més segura per garantir la fiabilitat i la seguretat del seu negoci.
