Para visualizar el sitio de manera óptima actualice el navegador. ×

NFC Payments: The Art of Relay and Replay Attacks

En los últimos años, los métodos de pago digital han tenido una increíble tasa de adopción en dispositivos de consumo en todo el mundo. Muchas compañías, no solo bancarias, están agregando soporte NFC (Near Field Communication) a todo tipo de dispositivos y aplicaciones para permitir que los consumidores realicen transacciones monetarias. Algunas de estas compañías se están protegiendo implementando tokenización como parte de la tecnologías digital. Sin embargo, está bien documentado, que es posible evadir estas restricciones utilizando mecanismos simples para realizar transacciones fraudulentas. Con todos estos cambios en el ecosistema bancario y de NFC, las áreas de seguridad no están preparadas para protegerse contra el aumento de nuevos ataques en esta área. Los ataques de retransmisión y repetición son cada vez más comunes en la industria de pagos. Cada día más complejos y sofisticados. No solo estamos viendo simples técnicas de skimming, sino también vectores complejos de ataque que son una combinación de tecnologías e implementaciones que incluyen SDR, NFC, APDUs, diseño de emulación de hardware, software especializado, protocolos de tokenización e ingeniería social. En esta charla, discutiremos cuáles son estos ataques, o qué tipo de hardware o software podría implementarse. Añadiendo que mostraremos escenarios reales donde estas tecnologías combinadas con la emulación RFID podrían explotar cualquier tipo de transacción NFC. Pero lo que es peor, cómo los mismos métodos de ataque podrían explotar nuevas implementaciones de NFC en los próximos años. En esta charla se usará hardware de explotación con demostraciones; la presentación incluirá comunicación SDR, emulación RFID, comunicación APDU, extracción de datos de tarjetas físicas y digitales.

Sobre Salvador Mendoza

Salvador Mendoza es un investigador de seguridad enfocado en procesos de tokenización, información de bandas magnéticas, sistemas de pagos y prototipos especializados. Salvador ha presentado sus investigaciones relacionadas con fallas de seguridad en sistemas de pagos y procesos de tokenización en conferencias internacionales como lo son Black Hat USA, DEF CON 24/25, DerbyCon, Ekoparty, BugCON, 8dot8, OWASP y Troopers 17/18. Agregando que Salvador ha diseñado diferentes herramientas para buscar fallas en sistemas de pagos físicos y digitales, en los cuales se incluyen MagSpoofPI, JamSpay, TokenGet, SamyKam y últimamente BlueSpoof.