Según investigadores de seguridad académicos, las billeteras digitales como Apple Pay, Google Pay y PayPal se pueden utilizar para realizar transacciones utilizando tarjetas de pago robadas o canceladas.
Estas fallas (algunas de las cuales se han solucionado desde la Divulgación responsable del año pasado) permiten que un atacante con información personal limitada recupere un número de tarjeta de pago robado válido, incluso si la tarjeta se cancela y reemplaza posteriormente. Podrá agregarla a su cuenta. billetera digital y realizar compras.
Un grupo de expertos en seguridad de la información, el Sr. Raja Hasnain Anwar (Universidad de Massachusetts Amherst), el Sr. Syed Rafiul Hussain (Universidad Estatal de Pensilvania) y el Sr. Muhammad Taqi Raza (Universidad de Massachusetts Amherst), publicaron la semana pasada Usenix Security. Nuestros hallazgos en un artículo publicado en 2024.
El documento, titulado “Confíe en su billetera: eludiendo la seguridad de los pagos de la billetera digital para realizar compras gratuitas”, identificó “fallas graves en los mecanismos de autenticación, autorización y control de acceso de las principales aplicaciones de billetera digital y de los bancos estadounidenses”. e ingeniería informática y autor principal, dijo a The Register.
“Demostramos cómo los atacantes pueden aprovechar estas debilidades para agregar tarjetas robadas a billeteras digitales y realizar transacciones fraudulentas”.
“Un posible escenario de ataque sería el siguiente: un atacante roba una tarjeta de crédito de un individuo. El atacante utiliza el nombre del titular de la tarjeta (impreso en la tarjeta) para buscar a la víctima en una base de datos en línea e identificar la dirección de la persona.
“Luego, los atacantes intentan agregar la tarjeta a varias billeteras digitales. Cada billetera tiene diferentes métodos de autenticación, por lo que las billeteras que requieren una dirección o código postal para la autenticación son buenas candidatas para futuros ataques.
“Una vez que un atacante ha agregado una tarjeta a su billetera, el titular de la tarjeta puede bloquearla o pedirle a su banco que envíe una tarjeta de reemplazo. Esto no afecta la billetera del atacante y seguirá afectando su acceso y transacciones.
Este escenario supone que el atacante ha robado una tarjeta de crédito o ha obtenido el número de cuenta principal (PAN) de la tarjeta robada y que el propietario de la tarjeta aún no la ha cancelado.
El atacante (llamémosla Eve) primero debe agregar el número de la tarjeta a su billetera digital. Esto requiere degradar el proceso de autenticación entre el banco emisor y la billetera digital. Para hacer esto, debe elegir métodos de autenticación basada en conocimiento (KBA) en lugar de métodos de autenticación multifactor (MFA) más seguros, como contraseñas de un solo uso enviadas por SMS, correo electrónico o teléfono. Los bancos suelen permitir esto porque es conveniente.
“El usuario final, no el banco, decide el método de autenticación”, explica el documento. “Por ejemplo, si se exige MFA, un atacante podría obligar al banco a recurrir a KBA, lo que se hace mediante una opción de autenticación 'basada en llamadas'. El atacante llama a la línea de ayuda automatizada del banco para agregar la tarjeta a la billetera. La línea de ayuda solicita al atacante que ingrese información relacionada con KBA, incluida la fecha de nacimiento y los últimos cuatro dígitos del SSN (Número de Seguro Social) asociado con la tarjeta de la víctima. “
Algunos esquemas KBA no requieren ambos puntos de datos. A veces solo necesitamos uno de varios valores, como el código postal de facturación, la dirección de facturación, la fecha de nacimiento o los últimos cuatro dígitos de su número de seguro social.
Los autores reconocen que obtener dicha información personal normalmente “no es trivial”. Pero argumentan que a menudo se puede acceder a esa información en línea a través de servicios de búsqueda de personas, registros públicos y volcados de datos.
“La reciente violación del número de seguridad social muestra lo fácil que es obtener información de KBA para verificar dichas bases de información personal”, explicó Anwar, y agregó que “las víctimas de tales ataques conozco a alguien que lo ha hecho, y eso es lo que me llevó a hacer esta investigación”. “.
Una vez que la tarjeta robada se agrega a la billetera de Eve, ella puede realizar compras con ella. Cancelar la tarjeta no ayudará. Porque una vez verificada la tarjeta, el banco emite un token autorizando la compra, que se almacena en la billetera digital. Luego, cuando el banco vuelve a emitir la tarjeta, ese token en la billetera del atacante se vuelve a asociar con la tarjeta de reemplazo.
“Cuando un usuario reporta la pérdida de una tarjeta, el banco bloquea la tarjeta perdida y emite al usuario una nueva tarjeta (con un nuevo número de cuenta personal)”, explica el documento. “Sin embargo, el token asociado no se actualizará; en cambio, el token antiguo se vinculará al nuevo PAN”.
Básicamente, el banco no verifica que la billetera que recibe los tokens actualizados sea propiedad del titular de la tarjeta.
Para complicar aún más la situación, los bancos no exigen a los titulares de tarjetas que verifiquen su identidad en las terminales POS de las tiendas. Basta con verificar la identidad del propietario del dispositivo.
Los investigadores también descubrieron que las transacciones recurrentes, como las facturas mensuales, se manejaban de maneras que potencialmente podrían explotarse. Los comerciantes deciden qué transacciones son recurrentes, pero los atacantes pueden engañar a los comerciantes para que etiqueten las transacciones como “recurrentes”. La transacción se procesará incluso si la tarjeta de pago asociada está bloqueada.
Este artículo describe posibles escenarios.
Según los investigadores, esto también se aplica a otros sitios web como Apple.com, que informa de usuarios que utilizaron tarjetas bloqueadas para “comprar con éxito una tarjeta de regalo de Apple de 25 dólares y unos AirPods de 179 dólares”. Los bancos permiten pagos recurrentes con tarjetas bloqueadas para cumplir con el contrato entre usuarios y comerciantes, y el servicio de suscripción continúa y no hay eventos crediticios negativos debido a pagos de suscripción atrasados. Sin embargo, se puede abusar de este tratamiento especial de los pagos recurrentes.
Los investigadores explicaron que revelaron sus hallazgos a los bancos afiliados y proveedores de billeteras digitales en los Estados Unidos en abril de 2023. Según se informa, Chase Bank, Citi Bank y Google respondieron.
“En el momento de escribir este artículo, Google está trabajando con los bancos para abordar los problemas reportados con Google Pay”, señala el documento. “Sin embargo, los bancos nos han informado que los ataques anunciados públicamente ya no son posibles. Aún no hemos recibido respuesta de AMEX, BoA (Bank of America), US Bank, Apple o PayPal”.
Apple, Google y PayPal no respondieron de inmediato a las solicitudes de comentarios de The Register.
Los autores recomiendan que los bancos adopten notificaciones automáticas (Bank App, Duo Mobile, Microsoft Authenticator) o códigos de acceso (Google Authenticator) en lugar de contraseñas tradicionales de un solo uso, utilicen autenticación continua con gestión de tokens y recomiendan varias medidas de mitigación, incluida la realización de transacciones regulares. Se revisan para asegurarse de que estén etiquetados correctamente. ®
https://packetstormsecurity.com/news/view/36234/Digital-Wallets-Can-Allow-Purchases-With-Stolen-Credit-Cards.html
