ENS_CEA
Os cinco cidadãos franceses atuaram entre 2011 e 2012 e exploraram uma vulnerabilidade conhecida do sistema chip-and-pin, ou seja, onde o utilizador tem de colocar o cartão num terminal para ser lido o chip e ainda tem de inserir o seu código PIN. Com a exploração desta falha, os criminosos conseguiram roubar mais de 600 mil euros.
Os atacantes criaram uma espécie de ataque de man-in-the-middle para tirar partido da forma como o sistema valida o código PIN. Um chip fraudulento consegue “ouvir” as tentativas de ler o código e responder que sim, qualquer que seja o código inserido pelo atacante. Desta forma, a transação é sempre autorizada, deixando o criminoso gastar o montante que estiver disponível.
Investigadores da Écóle Normale Supérieure e da CEA usaram vários tipos de análises microscópicas e até de raios-X para provar como o esquema estaria a ser praticado na Europa. A EMVCo, consórcio responsável pelo standard chip-and-PIN, não respondeu à Wired sobre este tema.
Os atacantes franceses conseguiram miniaturizar todo um kit capaz de executar um ataque para caber num chip FUNcard, um tipo de cartão usado por fãs do DIY. Os criminosos conseguiram soldar o chip de um cartão roubado a um FUNcard e colar o chip com o malware num só cartão.
«Seria mais difícil encaixar este cartão num terminal, mas nada que levantasse muitas dúvidas. É uma forma bastante inteligente, bastante difícil de detetar e durante algum tempo conseguiram evitar ser apanhados», explica um dos investigadores.
Sabe-se que esta equipa criou 40 cartões capazes de roubar dinheiro e usou-os em mais de sete mil transações, atingindo os 600 mil euros. O grupo foi apanhado depois de se ter notado haver um padrão de compras, sempre nos mesmos locais.
