Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Buscas no Site
Buscar
Em     
sexta-feira,
28 de novembro de 2014
Atualizado em: 22/10/2014
     
História e características dos Cartões de Crédito
Cartões com Chip e o padrão EMV




O desenvolvimento dos cartões de crédito com chip, ou "smart cards" pode ser considerado uma mudança fundamental na indústria mundial dos sistemas de pagamento.

Até hoje o principal sistema de armazenagem de dados nos cartões de crédito é a banda magnética, um sistema desenvolvido aproximadamente 30 anos atrás e ainda utilizado por todos os circuitos. Esta tecnologia, porém, não é mais adequada as necessidades de segurança e favorece a clonagem e o fenômeno das fraudes.

O principais limites da banda magnética são os seguintes:
  • Falta de segurança na armazenagem dos dados do proprietário do cartão. Não existe proteção por criptografia.
  • Capacidade de memória limitada, o que impede que o cartão possa ter mais de uma ou duas funções de pagamento (cartão bancário e de crédito, normalmente).
  • Fácil reprodução e clonagem das trilhas e dos relativos dados.
Por sua vez, os cartões que utilizam chip tem capacidade de armazenar dados de forma segura (criptografados), tem uma maior capacidade de memória e, graças à presença de um microprocessador interno, podem ser utilizados por múltiplas funções sendo que no mesmo cartão podem ser armazenados dados de vários serviços diferentes. Além disso, os cartões com chip não podem ser clonados, pelo menos não com meios simples.

Vale lembrar que o mercado francês, um dos pioneiros no desenvolvimentos de cartões com chip, conseguiu reduzir em 98% o número de fraudes com cartões de crédito depois da adoção generalizada e em nível nacional dos cartões com chip e dos relativos terminais de autenticação em todos os estabelecimentos comerciais.

Entre os cartões com chip se destaca o padrão EMV, criado a partir de 1993 pela colaboração dos principais sistemas de pagamento mundiais (Europay, Mastercard e Visa). O padrão EMV define uma série de regras a padrões pelo que diz respeito às modalidades de operação dos cartões de crédito com chip, às suas características físicas e elétricas, à estrutura dos cartões de um ponto de vista da segurança, à interoperabilidade dos cartões nos terminais a nível global etc...

O padrão EMV define também as regras de interação entre os cartões e os terminais de pagamento. Estas regras estão baseadas no padrão ISO 7816.

O padrão EMV define os requisitos mínimos de segurança, mas deixa os circuitos livre de estabelecer parâmetros adicionais de segurança. Isso levou ao desenvolvimento de diferentes sistemas. A Visa desenvolveu o VSDC (Visa Smart Debit Card), a Mastercard o M/Chip e a JCB o J/Chip. Todos estes sistemas são compatíveis com o padrão EMV, mas tem parâmetros adicionais de gestão do risco nas transações.


O padrão EMV define quatro elementos básicos de segurança nas aplicações financeiras dos cartões:
  • Autenticação do cartão off-line. Ou seja o terminal deve identificar o cartão como genuíno sem ter que se conectar com o sistema.
  • Parâmetros de gestão do risco. O cartão grava todas as transações e emite um alarme caso se verifiquem determinadas condições.
  • PIN off-line. Os cartões com Chip podem armazenar dados de forma segura e sigilosa, permitindo que a verificação do PIN (Número de Identificação Pessoal ou Senha do cartão) possa ser feita internamente sem necessidade de conexão com o sistema.
  • Autenticação on-line. Quando necessário ou de forma casual pode ser feita uma verificação on-line do cartão através de conexão junto ao sistema.
Os cartões com chip, diferentemente dos com banda magnética (que usam, para autenticação, o sistema CVV que só pode ser verificado on-line), utilizam diferentes técnicas que permitem a autenticação seja on-line que off-line:

SDA (Static Data Autentication). É a tecnologia mais simples e menos cara, neste processo o cartão é identificado e autenticado pelo terminal sempre através do uso dos mesmos dados (assinatura digital) contidos no chip.

DDA (Dynamic Data Autentication). Neste caso o sistema cria uma assinatura digital diferente para cada operação off-line. Esta tecnologia é mais segura mas tem um custo aproximadamente 25% maior que a SDA.

CDA (Combined Dynamic Data Autentication). O cartão gera um "Application Criptogram" e uma assinatura digital. O terminal, verificando a assinatura digital, tem condição de determinar se o Application Criptogram foi gerado por uma cartão genuíno.

Os objetivos que as grandes redes de cartões de crédito pretendem alcançar com a introdução dos cartões de crédito com chip, são os seguintes:
  • Redução das fraudes, das falsificações e clonagens de cartões de crédito.
  • Possibilidade de gerir um maior número de transações. Os sistema de pagamento atuais precisam de uma conexão on-line (via telefone) para autenticação o que resulta em uma necessidade de maior tempo e maior custo por cada transação. As smart cards podem ser autenticadas sem conexão o que agiliza muito as operações de crédito e débito.
  • Maior interoperabilidade entre bancos e circuitos de pagamento seja em nível local que em nível internacional.
  • Definição de um único padrão para os cartões de crédito, eliminando, entre outros, a necessidade de diferentes terminais para diferentes bandeiras.
  • Possibilidade de desenvolvimento de aplicações seguras para o comércio e os pagamentos via internet.
Dois outros pontos importantes a serem observados e lembrados em relação ao uso dos cartões com chip:

1) Dispensam a assinatura (que fica somente como sistema de reserva para terminais ainda não habilitados ao uso do chip), sendo que todas as transações podem ser feitas com segurança utilizando simplesmente o PIN.

2) Nos países onde os cartões com chip iniciaram a serem introduzidos, é normalmente prevista a presença, nos cartões, também do sistema com banda magnética. Isso para garantir a compatibilidade com sistemas nacionais e internacionais ainda não habilitados ao uso do chip.


Segurança Real das Smart Cards.

No meio dos operadores de cartões, periodicamente, aparecem informações ou boatos de alguém que teria conseguido encontrar falhas de segurança ou quebrar o sistema criptográfico das smart cards no padrão dos cartões de crédito, ou seja de que seria aberto o caminho para um sistema simples de clonagem de cartões ou de aproveitamento de cartões com chip roubados (pois, através da quebra do sistema de criptografia, ou do aproveitamento de falhas na segurança, seria possível saber a senha do cartão e portanto utiliza-lo nos equipamentos com autenticação off-line tipo SDA).

Na realidade, no que diz respeito aos cartões de crédito, até hoje nada disso apareceu de forma comprovada em qualquer parte do mundo. Sabe-se que é possível quebrar a segurança dos smart cards através de equipamentos que penetram no hardware do chip e observam como está trabalhando e armazenando informações, mas tais equipamentos são muito caros (na casa dos 2 milhões de dólares), precisam de pessoas altamente especializadas para serem operados e os laboratórios equipados com eles são muito poucos (ao redor de 200 no mundo inteiro, sobretudo em universidades, grandes empresas e centros de pesquisas de governos).
Se conhece também um sistema chamado DPA (Differential Power Analysis), desenvolvido pela empresa americana Cryptography Research Inc. em meados dos anos 90, e que explora uma vulnerabilidade dos chips da época que permitia conseguir informações através da analise da atividade elétrica do próprio chip. A maioria dos cartões com chip em uso hoje já contém sistemas que impedem o aproveitamento desta técnica.
Outros tipos de cartões com chip, sobretudo os usados nos telefones GSM (chamados SIM cards), são comprovadamente muito mais fáceis de serem clonados (na Ásia existem até sistemas completos a venda pra fazer isso), mas também os sistemas de segurança e criptografia usados nas SIM cards são bem diferentes.

Os "carders" (tipo de criminosos especializado em fraudes com cartões) profissionais, cientes das grandes dificuldades em se conseguir um sistema "econômico" capaz de quebrar a criptografia das smart cards ou de aproveitar falhas de segurança, estão se concentrando em outros pontos do processo de autorização, mais fracos e mais facilmente aproveitáveis.
É consenso comum que as maiores falhas de segurança são devidas a descuidos dos usuários ou dos humanos em geral, e não ao sistema em si. Por esta razão os "carders" estão se concentrando em sistemas e técnicas que visam capturar as senhas no momento em que os usuários as digitam ou em sistemas onde estas possas estar armazenadas (desde celulares e agendas até arquivos de computadores). Depois disso, é só extraviar ou roubar o cartão para poder passar a usá-lo.
Uma nova tendência em aumento são as tentativas de interceptação da senha no momento em que esta é temporariamente transmitida ao sistema para verificação durante uma transação, mas para este caso também estão sendo desenvolvidas contramedidas de segurança.
Inicial  Anterior 


Login
Usuário:
Senha:
     
Patrocínios





NSC / LSI
Copyright © 1999-2014 - Todos os direitos reservados.   Design by D.Al. Eventos | "O Monitor" | Humor | Mapa do Site | Estatísticas | Contatos | Aviso Legal | Principal