Cartões de Pagamento Contactless são Seguros?

Os cartões de pagamento contactless funcionam com a tecnologia NFC (Near Field Communication). Os cartões têm um microchip integrado e uma antena que responde às ordens do terminal de pagamento através uma gama de frequência de 13,56 MHz.

O alcance na transmissão NFC é muito curto, pelo que a primeira linha de defesa é física. O leitor deve estar sempre, teoricamente, mesmo ao lado do cartão, pelo que o pagamento dificilmente pode ser feito de forma clandestina.

Por outro lado, é possível montar um leitor personalizado para funcionar em longo alcance. Um dispositivo deste género teria a capacidade de solicitar pagamentos de cartões contactless em ambientes públicos, como centros comerciais, aeroportos e outros lugares concorridos, sem que o proprietário do cartão se apercebesse. Em muitos países, os cartões compatíveis com NFC já estão em todas as carteiras, pelo que os locais públicos e movimentados podem ser alvos de ataques maliciosos.

Mas hoje em dia já nem é necessária uma proximidade física ou um leitor personalizado para realizar um ataque. Os hackers espanhóis Ricardo Rodriguez e José Vila desenvolveram um sistema que “elimina a distância” entre leitor e cartão, tendo-o apresentado oficialmente na conferência Hack in the Box.

A primeira linha de defesa tem que ser a encriptação. As transações contactless estão protegidas pelo mesmo standard EMV (Europay, MasterCard, Visa) que protege os cartões de pagamento tradicionais que estão equipados com um chip EMV. As bandas magnéticas são fáceis de clonar, ao contrário dos chips. Ao receber um pedido de um TPV (Terminal Ponto de Venda), o chip interno gera uma chave de um só uso. Esta chave pode ser intercetada, mas não seria válida para a transação seguinte.

Os analistas de segurança já manifestaram por várias vezes a sua preocupação com o sistema EMV; no entanto, na vida real, ainda não se ouviu falar de casos de ataque a estes cartões. Numa implementação standard, o conceito de segurança do cartão EMV baseia-se na combinação de chaves de encriptação e um código PIN introduzido pelo utilizador. No caso das transações contactless, nem sempre é necessário o código PIN, pelo que os sistemas de proteção estão limitados a chaves de encriptação geradas por um cartão e um terminal.

Outra linha de defesa é a limitação do valor das transações de pagamentos contactless. Este limite é codificado nos parâmetros do TPV, de forma a que seja adequado ao banco, baseado em recomendações obtidas pelos sistemas de pagamento. Em Portugal, a quantia máxima é normalmente de 20 euros.

No caso de se exceder esse limite, a transação é recusada ou exigida uma prova de validade adicional, por exemplo um código PIN ou uma assinatura, dependendo dos parâmetros aplicados pelo banco emissor. Para prevenir tentativas contínuas de cobrança de pequenas quantias é necessário um mecanismo de segurança adicional. Embora a tecnologia de pagamento contactless pressuponha várias camadas de proteção, isto não significa que o dinheiro esteja 100% seguro.

A Kaspersky Lab alerta que muitos elementos dos cartões bancários baseiam-se em tecnologias obsoletas, como as bandas magnéticas, permitindo ainda realizar pagamentos online sem uma autenticação adicional. Em muitos aspetos, a segurança depende dos parâmetros definidos pelas instituições financeiras e pelas lojas online.

 

Fonte: PCGuia

Compartilhar Esse Post