Carteiras digitais — como Apple Pay, Google Pay e PayPal — devem ser usadas por mais de 5,3 bilhões de pessoas até 2026. Embora essas carteiras promovam maior segurança em relação aos métodos de pagamento tradicionais, a dependência de métodos de autenticação desatualizados e a priorização da conveniência em relação à segurança deixam as carteiras digitais vulneráveis, de acordo com nova pesquisa liderado por engenheiros de computação da Universidade de Massachusetts Amherst.

“O que descobrimos é [that] esses carteiras digitais não são seguros”, diz Taqi Raza, professor assistente de engenharia elétrica e de computação e autor do artigo. “O principal motivo é que eles têm confiança incondicional entre o titular do cartão, a carteira e o banco.”

No ecossistema normal de carteira digital, os usuários começam inserindo o número do cartão de crédito ou débito, chamado de número de conta principal (PAN), na carteira digital. A identidade do usuário é autenticada como o titular legítimo do cartão com uma informação, como um código postal ou os últimos quatro dígitos do seu número social. segurança número.

Então, sempre que uma compra é feita, a carteira esconde o PAN e compartilha um “token” com o fornecedor. O fornecedor anexa o token à transação. Essas informações retornam pela rede de pagamento do banco, convertendo o token de volta para o PAN. O banco então liquida o pagamento com o fornecedor em nome do cliente sem nunca revelar o PAN ao fornecedor.

Infelizmente, há maneiras pelas quais atores mal-intencionados podem contornar esse sistema para fazer compras com cartões de crédito de outras pessoas. Os principais bancos e empresas de carteira digital dos EUA impactados por isso são descritos no artigo. Essas empresas foram informadas sobre as descobertas do estudo antes de sua publicação e tiveram tempo suficiente para fazer as melhorias de segurança necessárias. Os pesquisadores usaram seus próprios cartões para concluir seus testes e nenhuma atividade fraudulenta foi realizada nesses testes de segurança.

Primeiro, há a questão da autenticação inicial. “Qualquer ator malicioso que conheça o [physical] número do cartão pode fingir ser o titular do cartão”, diz Raza. “A carteira digital não tem mecanismo suficiente para autenticar se o usuário do cartão é o titular do cartão ou não.” Ele enfatiza que os métodos de autenticação existentes podem ser facilmente contornados.

Outro problema é que, uma vez que a vítima relata o roubo do cartão, os bancos bloqueiam apenas as transações de um cartão físico, não as feitas por meio de uma carteira digital. Os bancos presumem que seu sistema de autenticação tem segurança suficiente para impedir que invasores adicionem o cartão de outra pessoa à sua carteira, o que, como Raza aponta, não é o caso.

Uma vez que os números de cartão roubados são salvos em uma carteira digital, é virtualmente impossível para o titular do cartão desativá-los. “Mesmo que o titular do cartão solicite uma substituição do cartão, os bancos não reautenticam os cartões armazenados na carteira”, diz Raza. “O que eles fazem é simplesmente alterar o mapeamento do número virtual para o novo número do cartão físico.”

Aqui está um exemplo fictício: o número do cartão de crédito da vítima termina em 0123. Um invasor adiciona 0123 à sua carteira digital e começa a fazer compras. Novamente, as carteiras digitais funcionam enviando um número virtual para o fornecedor, então os fornecedores recebem o número virtual ABCD e levam esse número ao banco para obter o pagamento associado à conta 0123.

A vítima descobre os pagamentos fraudulentos e pede ao banco para emitir um novo cartão de crédito. O banco envia um novo cartão com o número 4567 e, no back-end, remapeia o número virtual: ABCD não vincula mais a 0123, agora vincula a 4567. A carteira começa a mostrar automaticamente o novo cartão ao seu usuário sem nenhuma verificação para que o novo cartão seja atualizado na carteira. Os vendedores então vão ao banco com ABCD, que agora foi vinculado a 4567, o número novo e ativo, e a compra é realizada.

Os pesquisadores também testaram essa brecha no lado da carteira digital da equação e encontraram vulnerabilidades semelhantes. “Queremos [the digital wallet companies] para assumir alguma responsabilidade também porque eles estão na vanguarda de como essas transações acontecem”, diz Raja Hasnain Anwar, um candidato a doutorado em engenharia elétrica e de computação e principal autor do estudo. “Queremos que eles tenham uma coordenação sólida. Esse é o ponto principal do artigo: não há. Há uma falta de coordenação.”

Ele destaca que muitos desses problemas decorrem de novos recursos oferecidos pelos bancos. “Por exemplo, você pode compartilhar seu cartão dentro de uma família — um cartão pode ser adicionado a vários celulares”, ele diz.

“Ou se você tem uma assinatura da Netflix, a empresa de cartão de crédito não quer que você perca essa assinatura, então eles continuarão cobrando seu cartão, mesmo que ele esteja bloqueado. Se os bancos estão tentando mover todas as suas plataformas de pagamento digitalmente, eles precisam se esforçar mais para tornar isso seguro. Eles não podem simplesmente confiar na tecnologia existente para cuidar disso.”

“É segurança versus conveniência”, acrescenta Raza. “E descobrimos que os bancos dão mais prioridade à conveniência do que à segurança. A segurança é tida como garantida porque eles acreditam que a verificação do dispositivo do usuário sendo usada é suficiente para a segurança da carteira. Não é.”

Embora esta lacuna específica tenha sido resolvida, os pesquisadores ainda recomendam seguir as normas de segurança melhores práticas: ative notificações por e-mail quando um cartão for adicionado/removido da carteira, ative alertas de transação para cartões de crédito, verifique regularmente os extratos do cartão de crédito e revise os dispositivos vinculados aos cartões de crédito por meio do portal da web do banco ou das configurações da conta do aplicativo móvel.