¿Cómo podrían los delincuentes usar tarjetas de crédito EMV robadas en 2011?

Navega tus respuestas
1

Me gustaría recordar un fraude ocurrió en Francia en 2011 para el cual se publicó un documento (también vinculado desde Ars). Llegué a esto siguiendo el debate sobre la seguridad de la tarjeta EMV y su introducción obligatoria en los EE. UU. Yo vivo en Europa de todos modos.

Esta pregunta está directamente relacionada con el fraude específico y se debe contextualizar en el año 2011, ya que esta técnica se mitiga. Esto significa que la pregunta no es real .

Resumen

Al adoptar una sofisticada técnica MITM, al implantar físicamente un chip proxy en el chip de una tarjeta robada real, los delincuentes pudieron deshabilitar completamente la autenticación del usuario a través del código PIN y realizar transacciones usando tarjetas de crédito robadas.

Después de que se descubrió el fraude y se analizó el cifrado, se implementó una serie de mejoras en la prevención del fraude en el sistema de POS y el protocolo de la tarjeta para derrotar esta técnica.

Cita interesante del artículo

  

La razón por la que comenzamos nuestra investigación fue que las personas acudían a nosotros una y otra vez alegando que sus tarjetas habían sido robadas y utilizadas en las transacciones de la tienda que los bancos juraron demostraron que habían sido negligentes con sus PIN, mientras que los clientes estaban seguros no podrían haber sido ".

Mi pregunta

¿Cómo fue posible que una tarjeta robada fuera utilizable durante meses?

Desde la introducción de las tarjetas EMV (un largo tiempo para nosotros, los europeos), todos los bancos que obtienen informes sobre tarjetas robadas primero deshabilitarán la tarjeta en sí mismo y en tiempo real. Las tarjetas de crédito podrían ser robadas físicamente (como el fraude de 2011), o su PIN comprometido, a saber, ser coaccionado.

En ambos casos, una máquina POS desde el año 2011, mientras acepta una tarjeta que pasó la verificación del PIN, obtendría un claro rechazo del procesador de pagos, ya que se supone que la tarjeta debe aparecer en las tarjetas de la lista negra, o no en la lista de tarjetas habilitadas .

¿Cómo fue posible que esas transacciones fueran aceptadas y procesadas? El artículo habla claramente sobre tarjetas robadas, y no creo que todas las 40 tarjetas se hayan robado sin que el titular lo sepa. Y tampoco estoy hablando de una tarjeta robada y usada tan rápido como sea posible antes de que el titular de la tarjeta llame al banco para bloquear la tarjeta.

Todos nuestros bancos desde antes de 2011 ofrecieron un número de teléfono gratuito para reportar la tarjeta robada. La tarjeta se bloquea inmediatamente (los cajeros automáticos también pueden negarse a devolver la tarjeta al presentador) y el banco emitirá una nueva tarjeta EMV con un nuevo PAN y un nuevo PIN. Tuve que bloquear mi tarjeta EMV robada una vez, así que tengo experiencia directa con esto. Nunca lo usó quien lo obtuvo, ya que estaba protegido con PIN, pero de todos modos me bloquearon mi tarjeta anterior con una llamada telefónica, y después de algunas semanas se emitió una nueva tarjeta con un nuevo número y código para yo.

He leído todo el artículo que vinculé y no pude entender cómo ese esquema de fraude podría ser efectivo contra los bancos de procesamiento de pagos. A menos que en ese momento el procesador de pagos no verificara que la tarjeta estuviera activa , confiando en su fecha de caducidad anunciada (almacenada en el chip) y el resultado de la autenticación del PIN.

El sentido de esta pregunta es que, en teoría, una tarjeta EMV con PIN comprometido y reportada como robada podría ser utilizada (o podría haber sido utilizada en el momento) más! Sé de un pequeño número de casos de coerción de PIN en mi país.

    
pregunta usr-local-ΕΨΗΕΛΩΝ 04.09.2017 - 14:30
fuente

1 respuesta

1

Una de las características de EMV es que una transacción puede ser aprobada fuera de línea por el chip, si ni el chip ni el terminal lo marcan para conectarse. El terminal simplemente almacena la respuesta del chip y lo envía al procesador como parte de la liquidación al final del día. Algunos terminales ni siquiera son capaces de aprobarse en línea, aunque no sé qué tan común es.

Esto es una ventaja para el comerciante, ya que pueden procesar transacciones más rápido y / o sin tener que marcar un procesador para aprobarlo en línea. La única ventaja para el titular de la tarjeta es la velocidad. Supongo que los bancos emisores tienen alguna ventaja, pero no estoy seguro de qué es. Si asume que las tarjetas EMV no pueden ser copiadas o utilizadas por otra persona en caso de robo, es tan seguro como aprobar en línea.

Todo esto es para decir que, si estuvieran usando las tarjetas robadas por montos por debajo del límite de piso configurado en el terminal, es muy posible que no estuvieran autorizados en línea y, por lo tanto, no estuvieran marcados como robados en ese momento. Solo al final del día, el comerciante descubrirá que se trata de una transacción fraudulenta.

En los últimos años, las conexiones con el procesador han mejorado en Europa, de todas formas se están procesando más transacciones en línea. Sé que Visa recientemente ordenó que el límite mínimo para tarjetas de visa se redujera a cero, lo que obliga a que cada transacción de visa sea autorizada en línea si es posible.

    
respondido por el Bobson 04.09.2017 - 18:32
fuente

Lea otras preguntas en las etiquetas

Sistema de inicio de sesión seguro sin SSL a través de Google OAuth Acerca de la seguridad de la aplicación web: archivos adjuntos del usuario [cerrado]