Seu cartão de crédito Chip & Pin não é tão seguro; Os hackers podem ter uma nova arma MagSpoof

Crédito: ABCNews.go.com

Lembro-me de que foi cerca de um ano atrás, quando meu banco (banco local do Quênia) enviou e-mails alarmantes e exibiu anúncios dizendo aos clientes para optar por um novo cartão de débito ou crédito Chip & Pin. O motivo foi que os antigos cartões de crédito / débito eram menos seguros e os bancos estão adotando a última geração de cartões equipados com salvaguardas da Chip & Pin para nos proteger melhor contra hackers e ladrões de identidade.

Daqui a um ano, parece que os hackers podem ter uma solução alternativa às chamadas salvaguardas Chip & Pin e agora podem continuar tendo o dia de campo se deixar ou usar seu cartão de maneira insegura. Antes de você começar a se preocupar, essa conquista foi realizada na forma de hackers de chapéu branco; em que um especialista em segurança procura explorações de segurança em um sistema de segurança.

Samy Kamkar é um desses hackers de chapéu branco e, de acordo com Softpedia, ele é um inventor renomado de inúmeras ferramentas de hackers. Sua mais recente invenção, a MagSpoof é um dispositivo muito letal, caso caia nas mãos erradas. Diz-se que este dispositivo tem a capacidade de ler com precisão e prever números de cartão de crédito e ignorar as salvaguardas de Chip e Pin incorporadas na última geração de cartões.



Um possível hacker pode analisar o campo magnético produzido a partir da tira magnética do cartão e armazenar as informações obtidas no MagSpoof. Dadas faixas magnéticas são usadas para validar transações com cartão, e o número do cartão, entre outros detalhes, é codificado na faixa magnética.

Extrair dados da tira magnética é aparentemente a parte mais fácil, pois um hacker pode simplesmente usar um leitor de tarja magnética. Eles também podem usar os olhos borrifando poeira de metal na tira magnética e praticamente qualquer um pode ler o código de barras.

Depois de extrair o número do cartão, eles o alimentam com o MagSpoof inventado por Kamkar. O MagSpoof pode ser simplesmente colocado próximo a um leitor de pagamento PoS que lê tarjas magnéticas dos cartões de crédito / débito para concluir uma transação.

No entanto, para executar a transação, o MagSpoof precisará reproduzir um campo magnético semelhante à faixa magnética do cartão roubado. O MagSpoof pode fazer isso usando os dados da faixa magnética que foram alimentados e imitará o campo magnético do cartão, embora com uma intensidade mais alta. O alto campo magnético intenso gerado permitirá ao hacker acionar o pagamento mesmo sem chegar perto o suficiente do leitor de tarja magnética na máquina PoS. Em outras palavras, os hackers nem precisam roubar um cartão, eles podem fazer o furto remotamente e sem fio.

Kamkar diz ainda que o MagSpoof pode armazenar dados de tarja magnética de vários cartões simultaneamente. O dispositivo também pode desativar as proteções Chip & Pin no cartão. Os requisitos de PIN são incorporados um pouco à tarja magnética de um cartão e usados ​​para solicitar aos leitores que solicitem um PIN. O MagSpoof pode ignorar essa medida de segurança informando ao leitor que o cartão não tem suporte para Chip e Pin.

Se o proprietário do cartão de crédito / débito relatar o cartão como ausente e solicitar uma substituição. Kamkar diz que criou um algoritmo que permite ao MagSpoof prever o próximo número de cartão de crédito emitido para o usuário.

O MagSpoof pode prever o próximo número de cartão com um alto nível de precisão devido à previsibilidade do sistema usado para gerar cartões de crédito / débito substitutos pelos emissores. Simplificando, mesmo que seu cartão perdido / roubado tenha sido cancelado, os hackers podem ajustar a tarja magnética no MagSpoof usando o algoritmo de Kamkar e prever o número do seu novo cartão com um alto nível de precisão.

Se você se perdeu em algum lugar ao longo da explicação acima, a seguir está um vídeo explicando como o dispositivo MagSpoof funciona, do próprio Sammy Kamkar.

Agora, esta é a parte que deve deixá-lo preocupado. O dispositivo MagSpoof pode ser montado ao custo de cerca de US $ 10; significando que praticamente qualquer um pode pagar. O código fonte do dispositivo também pode ser encontrado no GitHub. Mas o inventor / programador Kamkar excluiu um código importante que o tornará uma arma carregada nas mãos dos hackers de chapéu preto, que provavelmente vão querer cometer fraude com o dispositivo. Kamkar fez algum teste bem-sucedido no dispositivo usando os cartões emitidos pela American Express.