Criptografia teria evitado vazamento de dados da Target
26 de maio de 2015A Criptografia ponta a ponta teria evitado vazamento de dados da Target, diz especialista.
José Diaz, vice-presidente da Thales e-Security, e outros executivos apontam principais ciberameaças e soluções em segurança de pagamentos durante debate em São Paulo.
O aumento nas tentativas de ataques e a constante evolução dos métodos utilizados por cibercriminosos têm representado um grande desafio para a TI das empresas, que precisam endurecer suas proteções e criar planos cada vez mais elaborados para mitigar riscos e danos. Essas tendências evolutivas do cibercrime, prevenções contra ataques a pontos de venda e a tendência do ApplePay foram pontos discutidos durante a 7ª edição do Thales Hardware Security Module Fórum, evento realizado pela First Tech, em São Paulo.
Um dos ataques mais comentados dos últimos tempos foi o realizado contra a varejista Target, nos EUA, e que resultou em mais de US$ 250 milhões em multas, pelos danos a clientes, bandeiras e emissores de cartão. De acordo com José Diaz, vice-presidente da Thales e-Security e autor da apresentação “tendências do mercado de pagamentos”, embora já exista tecnologia de defesa, esses problemas continuam a ocorrer.
No caso da Target, Diaz explicou que tudo começa com um malware nos computadores conectados aos leitores de cartão (POS). “O terminal de pagamentos não criptografava os dados, que eram passados de forma aberta ao computador. Se houvesse criptografia de ponta a ponta, desde o leitor de cartão até a transação chegar à processadora, resolveria”, resumiu.
Pagamentos móveis
Em relação a pagamentos móveis, Diaz distinguiu duas situações: em que o celular é usado para captura do pagamento (por exemplo, em táxis ou vendas a domicílio), ou como meio de pagamento. “Com a conexão wireless, é ainda mais importante a criptografia no ponto de captura”, enfatizou.
Quando o celular é utilizado como forma de pagamento ou como alternativa ao cartão de plástico, surgem outros riscos, que implicam abordagens mais inovadoras de segurança. “Antes, lidávamos com um grupo fechado de adquirentes – que captura a transação no POS, dos emissores – que colocam o chip no cartão, e das bandeiras – que certificam esse ambiente. Agora coloca-se o aplicativo de pagamentos em um dispositivo sem segurança”, comparou Diaz.
No ano passado, marcado pelo lançamento do ApplePay e outros serviços de pagamentos móveis, o mercado consolidou a abordagem de “tokenização” para mitigar riscos em pagamentos móveis.
Na prática, o token é um código criado a partir de operações matemáticas com o número real do cartão e, devido à complexidade do algoritmo, só a bandeira consegue identificar a correlação. Diaz explica que “o token é associado ao dispositivo e só pode ser usado por determinado aparelho. Portanto, se um hacker intercepta o token, não consegue utilizar em outro contexto. Caso o portador perca o celular, é só comunicar, que se invalida o token, sem a necessidade de substituir o cartão”.
Alessandro Rabelo, diretor de produtos da Visa, observou que a técnica de tokenização e restrição de domínio, que amarra o pagamento a determinado contexto, não se limita aos serviços móveis. “Se o número do meu cartão for comprometido, mas tenho uma viagem marcada e não posso aguardar para receber outro plástico, o emissor pode restringir o uso a transações presenciais, com leitura do chip, de forma que o fraudador não consiga utilizar o número em compras online”, exemplificou.
Na palestra “Contribuições da Visa no mercado de pagamentos, ApplePay e SamsungPay”, Rabelo explicou como a bandeira trabalhou com os provedores de plataformas móveis, como Apple, Google e Samsung, e descreveu como os emissores podem se beneficiar da plataforma de tokenização para habilitar meios alternativos de pagamentos. O executivo ressaltou que a Visa já trabalha há mais de 10 anos nessa linha de desenvolvimento. “Em 2005, o Google abriu o emulador de NFC (pagamento por aproximação) no smartphone. Nos últimos dois anos vimos vários lançamentos, como o ApplePay e, mais recentemente, o SamsungPay”, lembrou.
Para os provedores de meios de pagamento, a tokenização viabiliza a oferta de “carteira digital”, em que, além de suportar múltiplos instrumentos, como cartão de débito, crédito e pré-pagos, em um só dispositivo, usa o conceito de “restrição de domínio” para implementação de políticas de controle de risco e segurança.
“No Google Wallet o mesmo cartão de crédito pode ter dois tokens: um para NFC e outro para compras online”, explicou Rabelo.
A tokenização não se aplica apenas a m-Commerce ou e-Commerce. Um estabelecimento que tenha que armazenar dados de pagamento, como uma editora que salva o número de cartão para renovação automática de assinaturas de revista, não precisaria gravar informações de alto risco. “Se um fraudador invade a base de dados, basta bloquear os tokens. Os consumidores não são atingidos e o emissor não tem custo para substituir os cartões”, esclareceu Rabelo.
O executivo da Visa afirmou que o Brasil tem hoje uma das maiores bases de POSs habilitados para NFC. “Ainda há pouca emissão de cartões contactless. Temos muitos cartões com chip que levarão um tempo para serem substituídos e o custo do contactless é maior. Mas o celular com NFC embutido vai ajudar muito a disseminação”, avaliou.
O submundo da web
Mesmo sem qualquer conhecimento técnico, os fraudadores contam hoje com verdadeiros mercados de armas cibernéticas. “Há venda de páginas falsas para phishing, ‘serviços’ de DDoS (derrubada de sites) e um cibercriminoso brasileiro já fez um aplicativo de venda de números de cartão”, mencionou Edmar Siqueira, gerente de segurança da informação da First Tech.
Os ataques a usuários de internet banking e mobile banking continuam a se proliferar, como é o caso de aplicativos falsos dos grandes bancos do governo no Google Play. “As lojas também viraram alvo. Antes eram vítimas de ataques de skiming. Hoje os ladrões usam malware específico para atacar os POSs”, disse Siqueira.
Outro tipo de ataque que torna-se mais comum é o ransonware, em que o hacker bloqueia o acesso do usuário a seu próprio dispositivo e cobra um “resgate” para liberar os arquivos bloqueados.
Siqueira acrescentou que a internet das coisas (IoT, na sigla em inglês) abre mais brechas. “No ano passado, acelerou-se a proliferação de botnets, em que um dos elos pode ser a geladeira conectada. Alguns pesquisadores descobriram que não é difícil tomar o controle de um carro automatizado. Isso ocorre porque quem desenvolve essas aplicações não conta com um guia de segurança”, justificou Siqueira.
Fonte: IT Forum 365
Publicado em 25 de Maio de 2015 às 15h56