No he visto la conversación, pero en base a la descripción y sus diapositivas , estoy bastante seguro de que estás combinando dos ataques separados.
... los ladrones de tarjetas de crédito pueden volver a escribir el código de banda magnética para que aparezca de nuevo como una tarjeta sin chip.
Los datos de la pista magnética en una credit card contienen (entre otra información) un código de servicio de tres dígitos. Un código de servicio que comienza con un 2 o un 6 indica que se trata de una tarjeta con chip, que es la forma en que el terminal sabe que le indica que inserte el chip si tiene uno. Al cambiar ese primer dígito a un 1 o un 5 (y al modificar adecuadamente el dígito de control), pueden engañar al terminal para que piense que es una tarjeta sin chip y permitir el deslizamiento.
Este ataque no funcionará en circunstancias normales, ya que todos los datos se envían al banco para verificarlos. Cambiar el código de servicio hará que los datos que recibe el banco sean incorrectos, y rechazará la transacción "en el back-end", como dice el artículo al que se vinculó:
"Si se modifican los datos de la banda magnética, se podría engañar a la terminal", dijo el director del Foro de Pagos de Estados Unidos, Randy Vanderhoof. Pero en el extremo posterior, el sistema "rechazará la transacción".
Sin embargo, los comerciantes tienen la capacidad de hacer "almacenar y enviar", también conocido como "modo fuera de línea". La diapositiva 24 señala que EMV no puede "Evitar el uso de la pista 2 modificada en modo fuera de línea", lo cual es muy cierto. Esto sucede cuando el TPV no puede conectarse realmente a las redes de tarjetas para obtener una autenticación del banco. En lugar de rechazar todas las transacciones (¡negocios perdidos!) O requerir llamar al banco para obtener un código de autenticación verbal (¡tiempo perdido! ¡Confusión del cliente!), El negocio simplemente decide almacenar todas las transacciones y reenviarlos más tarde, cuando las cosas vuelvan a estar en línea. Dado que no hay conectividad, no hay forma de saber si los datos son válidos, si la tarjeta está por encima de su límite o cualquiera de las otras comprobaciones de seguridad habituales. El comerciante acepta el riesgo de eso para continuar haciendo negocios.
Obviamente, en este modo, los datos de la pista modificados no se capturarán hasta que sea demasiado tarde, y la transacción no pueda reenviarse, omitiendo EMV por completo.
... debido a la forma en que muchos minoristas están actualizando sus máquinas de pago: no están cifrando la transacción.
Este es un problema aparte, donde el terminal del comerciante transmite los datos de la tarjeta al POS en texto sin formato. Incluso si el TPV lo cifra inmediatamente (ya sea para el almacenamiento de almacenamiento y reenvío o para transmitir activamente), aún estaba en claro en un tramo de la red, lo que brinda la oportunidad de comprometerse. La sección de las diapositivas que comienza en la página 13 aborda uno (de muchos) ataques a esta: redes de redes. Si puede colocar su dispositivo o código entre el terminal (POI) y la aplicación de pago que lo cifra, o entre la aplicación (no encriptada) y el software POS, entonces puede leer los datos a medida que pasan, indetectable.
El contador de este se encuentra en la página 41 y superior: cifrado punto a punto (P2PE). Con P2PE, el dispositivo encripta los datos en sí mismos, utilizando una clave precargada. Ahora, no importa dónde se interponga en el proceso, no puede recuperar los datos de la tarjeta, ya que están encriptados hasta la red de la puerta / procesador / tarjeta.
Esto todavía no te protege contra los skimmers (página 39) o los ataques al software del dispositivo (página 40 y anteriores), pero reduce la superficie de ataque.