Les cybercriminels pourraient voler des données de cartes de paiement avec des puces EMV et les utiliser pour créer des cartes à bande magnétique qu’ils peuvent utiliser pour les transactions avec carte-présent, a rapporté jeudi la société de cybersécurité Gemini Advisory.

La technologie EMV crypte les informations stockées sur une carte et utilise une clé de cryptage unique qui est générée pour chaque transaction présente sur la carte afin d’empêcher les acteurs malveillants d’effectuer d’autres transactions même si les informations stockées sur la puce sont compromises.

Cela a rendu impossible pour les fraudeurs de créer des clones de cartes EMV, comme ils l’ont fait avec des cartes à bande magnétique, à partir desquelles des données peuvent être facilement obtenues et encodées sur une carte vierge.

De nombreuses entreprises n’ont toujours pas entièrement mis en œuvre les lecteurs de cartes EMV, ce qui a obligé les émetteurs de cartes à encoder les données nécessaires pour effectuer des paiements à la fois sur la bande magnétique et sur la puce EMV. La principale différence est que la bande magnétique contient un code de sécurité de carte, ou valeur de vérification de carte (CVV), tandis que la puce stocke un code différent appelé valeur de vérification de carte à circuit intégré (iCVV).

Le problème est que certaines banques ne vérifient pas que le CVV est fourni lorsque la bande magnétique est utilisée et que l’iCVV est fourni lorsque la puce est utilisée pour une transaction.

Cela permet aux cybercriminels qui peuvent voler les données de la carte EMV d’encoder ces données sur une bande magnétique, en insérant l’iCVV au lieu du CVV qui devrait se trouver sur la bande magnétique.

Des chercheurs du Cyber ​​R&D Lab ont récemment mené une expérience en utilisant des cartes Visa et MasterCard émises par 11 banques aux États-Unis, au Royaume-Uni et dans certains pays de l’UE, et ont constaté que quatre d’entre elles n’étaient pas correctement vérifiées par les banques, permettant aux fraudeurs d’effectuer des transactions par cartes à bande générées avec des données obtenues à partir de puces EMV.

Cette technique de clonage par contournement EMV peut déjà être utilisée par des fraudeurs dans la nature, avec Gemini …

Infos WEB:  Des dizaines d'entreprises américaines ciblées par le rançongiciel WastedLocker

Voir la source de cette publication