ATTENZIONE: I cookies del tuo browser risultano disattivati o stai navigando in modalità anonima. Ciò potrebbe limitare alcune funzionalità del sito.
International Traders - L'altro volto dell'e-commerce
Venerdì 24 Novembre 2017
Focus

Come usare una carta di credito rubata per fare acquisti

Lunedì 17 Gennaio 2011
autore: Redazione InterTraders
Negli ultimi anni in Europa, e recentemente sempre più in Italia, vi è stata l'introduzione da parte delle banche di carte di credito più sicure, realizzate secondo i principi e le regole dettati in ambito SEPA (Single Euro Payments Area / Area Unica dei Pagamenti in Euro). Area di cui fa parte, tra i vari Stati europei, per l'appunto, l'Italia.

Alla luce di quel che è stato deciso nella SEPA, le nuove carte emesse dai vari istituti dovrebbero essere realizzate sempre più secondo la moderna e più sicura tecnologia c.d. "chip & PIN" (basata sul protocollo EMV). Uno standard che oltre a prevedere il classico chip (con memorizzati i dati del titolare e quelli necessari per la transazione), richiede al momento dell'utilizzo della carta (ad es. per pagare un acquisto in un negozio), la digitazione di un codice PIN.
Il tutto con l'obiettivo primario di ridurre le frodi e l'utilizzo illecito di carte di credito, sempre più facilitati dall'impiego della sola firma rilasciata dal titolare su scontrino.

Sebbene quindi il 'chip & PIN' rappresenti lo standard promosso per le carte di credito nell'UE, per paradosso, negli ultimi tempi, la garanzia di sicurezza che tale standard dovrebbe offrire, sembrerebbe essere stata già gravemente compromessa.
Alcuni esperti di sicurezza informatica, infatti, negli ultimi anni avrebbero evidenziato le falle del protocollo EMV in modo abbastanza semplice e spettacolare, spiegando come, con la semplice manipolazione di un POS collocato in un certo esercizio commerciale, sia possibile ugualmente interagire con i dati memorizzati sulla carta 'chip & PIN' per compiere frodi ai danni del titolare.

L'esperimento, già nel 2007, diffuse un certo panico tra gli operatori del settore, ma le lacune riscontrate nel protocollo vennero nei fatti sminuite e sottovalutate per via delle difficoltà legate all'hardware e al software necessari per realizzare il tutto.
Chi sperava che la vicenda restasse in qualche modo un semplice "esperimento" di laboratorio, tuttavia, non aveva fatto i conti con la creatività e l'audacia di chi opera nel campo della sicurezza informatica e delle transazioni. E così, come prevedibile, dopo qualche anno, la temuta stangata è arrivata.

A dare il colpo di grazia alla tecnologia 'chip & PIN', infatti, ci ha pensato recentemente un giovane inglese, Omar S. Choudary, studente dell'Università di Cambridge, presentando una tesi che documenta -con tanto di video dimostrativo- come sia possibile, sfruttando la medesime falle del 'chip & PIN', realizzare un dispositivo portatile per aggirare la tecnologia in questione e usare, senza conoscerne il codice PIN, una carta di credito rubata per fare acquisti.

Choudary avrebbe inventato un apparecchio (v. immagine a seguire), da lui ribattezzato Smart Card Detective (SCD), da portare semplicemente legato a un braccio e nascosto da un indumento, che permetterebbe di usare una moderna carta di credito, digitando al posto dell'originale PIN, un codice qualsiasi.

Falla chip&PIN

La carta da usare verrebbe, infatti, infilata in uno slot posizionato su un circuito stampato dotato di display e collegato, tramite un cavetto, ad un altro circuito stampato, ma della stessa forma e spessore di una comune carta di credito. Un microcontroller presente sul primo dei due circuiti farebbe il grosso del lavoro, intervenendo sui dati scambiati tra POS e carta di credito e sfruttando le vulnerabilità del protocollo EMV, secondo uno schema informatico simile a quello del "man in the middle" (tecnica di attacco usata nell'hacking).

Il video girato dallo studente fa riflettere (v. filmato a seguire):


Nelle immagini si vede Choudary entrare in un centro commerciale per fare acquisti e digitare, al momento del pagamento, un codice PIN casuale ('00000'). La transazione va a buon fine e, senza che l'esercente noti alcuna stranezza o il terminale segnali una qualche irregolarità, lo studente esce dal negozio con tanto di scontrino che gli documenta l'avvenuta transazione e la correttezza del PIN digitato.

Di fronte alle potenziali critiche sugli impieghi illeciti di un tale apparecchio, l'inventore ha precisato che l'obiettivo primario del dispositivo è quello di evitare frodi ai danni dei titolari delle carte di credito (auspicati destinatari dello Smart Card Detective). Tant'è che l'SCD avrebbe varie funzionalità, e il display presente su uno dei due circuiti visualizzerebbe in tempo reale alcune informazioni sulla transazione, permettendo al titolare della carta di controllare che la somma visualizzata sul POS di un dato esercizio commerciale sia effettivamente quella addebitatagli e che il terminale non sia stato di fatto alterato.

Quest'ultima spiegazione, probabilmente voluta dall'inventore anche per ragioni di "convenienza" personale di fronte alla legge, non avrebbe ugualmente convinto la UK Cards Association (associazione del Regno Unito che raggruppa i rappresentanti dei principali circuiti e delle emittenti di carte di credito), che avrebbe chiesto allo studente di rimuovere immediatamente dal Web e rendere inaccessibile al pubblico, il materiale che illustra come realizzare lo Smart Card Detective.
Una richiesta prontamente respinta dall'interessato e dal suo docente, Ross Anderson, e che, c'è da scommetterci, visto l'alto rischio di emulazione che l'esperimento comporta (la realizzazione dell'apparecchio ha un costo stimato di sole 100 sterline, circa 118 euro) e il pericolo che rappresenta per il sistema internazionale dei pagamenti, potrebbe portare presto ad un contenzioso giudiziario tra gli interessati.

A parte tutto, se l'SCD ha già sollevato un polverone nel Regno Unito è anche vero che la sua concreta utilizzabilità in nazioni come l'Italia, non appare convincente. Nella maggior parte degli esercizi commerciali del bel Paese, infatti, è il negoziante (o il cassiere) a inserire la carta di credito del cliente nel POS, per giunta solo dopo aver digitato un apposito codice, lasciando al titolare della carta la sola digitazione del PIN, ma mai l'intera procedura di pagamento. Come richiederebbe, invece, il dispositivo di Choudary.

Ai lettori ogni riflessione. Intanto, chi lo desiderasse, può consultare e scaricare la documentazione incriminata con tutte le informazioni tecniche sullo Smart Card Detective al seguente link:

http://www.cl.cam.ac.uk/~osc22/docs/mphil_acs_osc22.pdf

Redazione InterTraders


Hai bisogno di assistenza legale specifica su questa tematica o su argomenti simili legati a Internet?

Se sì, ti invitiamo a consultare le seguenti sezioni direttamente sul sito dello Studio Legale Massa:

In alternativa, puoi contattare direttamente lo Studio ai recapiti indicati nell'apposita sezione "CONTATTACI" (l'assistenza prestata non è gratuita).


Segnala
Stampa
Scroll Up
Home
Ultimi commenti inseriti...
Scritto da giusy il 28/04/2011 alle ore: 10:49
Sono senza parole. Chi distribuisce le carte in italia sa di questo video?
Scritto da Fabio il 29/01/2011 alle ore: 19:10
Anche all'Auchan, stanno le casse dove i clienti passano direttamente i prodotti e infilano la carta
Scritto da roby80 il 17/01/2011 alle ore: 20:56
interessante, comunque da noi ci sono pagamenti che li fa solo il possessore della carta come l'autostrada
Inserisci un commento...
Commento:
Scegli il tuo avatar:


Nome:
Indirizzo e-mail: (non obbligatorio)
(Digita il tuo indirizzo e-mail solo se desideri ricevere notifiche sugli altri commenti a questo approfondimento. E' sufficiente digitare l'indirizzo una sola volta. Con il suo inserimento dichiari di aver letto l'informativa a seguire e di aver espresso il tuo consenso.)
DAMMI UNA NUOVA IDENTITA'
Codice di verifica antispam:
*dcbe

Riscrivi nel box sovrastante la parola in rosso che vedi alla sua sinistra, sostituendo l'asterisco * con la lettera a - (Per es. se la parola è ab*dh digita abadh)

InterTraders CommentSys v.2.0
| Ultimi commenti |
Valentina in Escrow truffaldini, come riconoscerli ed evitarli....
"Ragazzi anche io ho avuto a che fare con il presunto chirurgo, con me era una donna, Manuela Garcia, chirurgo a Granada con la famigliola felice al seguito..."

sara in Escrow truffaldini, come riconoscerli ed evitarli....
"manuela1966garcia@gmail.com questa è la nuova email di questo fantomatico chirurgo ma sta volta è una donna e si chiama manuela Garcia per un appartamento..."

Ciro in Il corriere non consegna la merce: chi ci deve risarcire?...
"salve, ho utilizzato piu volte il servizio di spedizioni "spedirecomodo.it" mi sono sempre trovato bene, fino a quando mi e successa una cosa inusuale, eff..."

Marta in La truffa dei cuccioli sbarca nel Bel Paese, le puppy scams anche in I...
"NON ABBIATE A CHE FARE CON martinakurts33@gmail.com E l agenzia con il quale vi mette in contatto. Purtroppo ha molti annunci online e non saprei come den..."
Le più lette
InterTraders è un sito curato dallo Studio Legale Massa © 2007-2017 All Rights Reserved
InterTraders Core v6.0 - Link Informativa estesa sui cookies