227 meneos
5636 clics
¿Tarjetas que aceptan cualquier PIN? Así se hackeaba tu dinero de plástico
Un estudio de reciente aparición describe cómo un grupo de hackers franceses usó 40 tarjetas de crédito para malversar dinero consiguiendo que aceptasen cualquier PIN
|
comentarios cerrados
blog.trendmicro.com/trendlabs-security-intelligence/hacking-rfid-payme
transaction authorization on successful cardholder verification"
O sea que validar el Pin depende de que el terminal lo comprueba. ¿Quien diseño esto?
Y si me toca un pelotas, me parece innecesario.
Este vídeo de dave jones muestra como se hace.
www.youtube.com/watch?v=HxQUKAjq-7w
Yo tengo una tarjeta con un programa propio de la entidad bancaria que solo pide el PIN online en determinados TPV (en otros requiere firma), y si meto mal el PIN no se verifica en la tarjeta, sino que se verifica online. De hecho probablemente sólo me pida el PIN online (que en España, con los datáfonos con SIM ya es casi siempre), ya que de primeras nunca me pedí el PIN y le pedí al banco por teléfono que me lo activara.
Pero de hecho, parece que no puedes obligar a un TPV a pedir el PIN, por eso al chip no le parece raro emitir el pago sin que le mandaran un PIN para verificar. Por ejemplo, los TPVs de El Corte Inglés suelen pedir firma en lugar de PIN.
Saludos.
No creo que los cajeros puedan funcionar offline, y si lo hacen, no creo que sea la norma general (ya que verificar los PIN a posteriori no tiene sentido), pero antes los comercios preferían guardar unos cuantos pagos antes de que el cacharro llamara al banco para procesarlos.
Ahora los TPV suelen estar permanentemente conectados y los pagos se suelen hacer online salvo por problemas temporales y, muy a menudo, en los pagos internacionales, en los que los bancos no tienen la capacidad de conectarse tan a menudo entre sí (en este caso el banco del comercio procesa el pago online con el comercio, y lo procesa offline con tu banco). Por esto cuando viajas al extranjero te recomiendan llevar una tarjeta de crédito además de la de débito (ya que las de débito sí suelen poner muchas pegas para procesar pagos offline, como es normal, y esa conexión no es siempre posible, aunque cada vez más).
Pero la retrocompatibilidad en las tarjetas es increíble. Una tarjeta de crédito normal puede procesar pagos de tres formas... con el chip, con la banda magnética (que en realidad son tres bandas juntas, la tercera está vacía y solo con leer una de las otras dos se puede procesar el pago) y con los datos en relieve (de los que suelen carecer muchas tarjetas de débito, ya que este método es, evidentemente, siempre offline).
¡Y se siguen utilizando! Este año en un viaje al extranjero, tras comer en un restaurante tenían la TPV fuera de servicio, sacaron una bacaladera y ¡me plancharon la tarjeta!. Tardó en aparecerme el cargo como un mes, y como 3 meses en ser efectivo...
Luego leyendo por ahí, vi que la bacaladera también tenía su parte online... había unas guías con numeraciones de tarjetas no válidas que había que comprobar antes de aceptar el pago, y en todo caso, si el pago era medianamente alto o el cliente tenía ciertas características, el comerciante tenía que llamar al banco para confirmar el pago.
Ahora, no todos los métodos de validación tienen las mismas coberturas en caso de fraude.
Por nuestra parte en SetPay (getsetpay.com), forzamos siempre a validar el PIN, aunque la tarjeta no lo tenga por defecto. Es li mejor para todos.
Es decir, la tarjeta sí controla que es lo que quiere hacer, y luego ya depende de como esté configurada.
Y decir también que este artículo me parece exageradamente alarmista, pero en fin...