Tarjetas de pago momentáneamente sin cifrar

Navega tus respuestas
0

Tarjetas de pago momentáneamente sin cifrar

Leí sobre los ataques cibernéticos relacionados con los datos de procesamiento de pagos sin cifrar momentáneamente en el punto de dispositivos de ventas. Técnicamente, ¿cómo es posible?

¿Es cuando el titular de la tarjeta ingresa en una tarjeta de pago EMV (CHIP-and-PIN) para realizar un pago, durante la entrada del PIN, los datos permanecen sin cifrar y se verifican? Si no, ¿qué otra cosa podría suceder en un entorno de "encriptación de extremo a extremo"? ¿O esto no ocurre en las tarjetas EMV y solo se aplica a las tarjetas con banda magnética?

De cualquier manera, creo que la utilidad de esos datos es limitada solo para transacciones en línea, como para el retiro de efectivo o para usar la tarjeta clonada, el pirata informático también necesitaría un PIN.

    
pregunta max 03.03.2016 - 14:38
fuente

1 respuesta

1

Sin una referencia, es difícil responder cómo es posible el ataque con respecto al artículo que has leído. Sin embargo, he visto varios ataques similares relacionados con las bandas magnéticas y los terminales.

Los datos de la tarjeta de crédito en la banda magnética no están cifrados. El TPV aplica el cifrado cuando se comunica con el banco. Los datos dentro del POS, que incluyen los datos de seguimiento y el pin para tarjetas de débito, a menudo no están cifrados. Por lo tanto, si compromete el terminal POS, puede extraer los datos del swipe de la tarjeta de crédito e incluso el número de PIN de las tarjetas de débito.

La intercepción podría ocurrir con firmware, software o dispositivos físicos comprometidos (skimmers y amigos). Por ejemplo, infracciones, consulte enlace . Krebs tiene muchas otras infracciones registradas.

Sin embargo, estos ataques no funcionan (teóricamente) en tarjetas EMV. Estas tarjetas tienen tarjeta para encriptación bancaria, IE de extremo a extremo. La autenticación pasa por el chip (consulte ¿Por qué son los chips más seguros? que las bandas magneticas? ). Todo lo que el atacante obtiene al comprometer el terminal es el pin.

    
respondido por el AstroDan 03.03.2016 - 20:44
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo asegurar el estado de un iPhone comprometido para evidencia de mal antes de restablecerlo? ¿Es seguro usar una aplicación de monitoreo de servidor de Android para iniciar sesión en un servidor con SSH?