INFORMATIVA SUI COOKIES
InterTraders utilizza cookies di profilazione di terze parti per mostrarti pubblicità in linea con le preferenze da te espresse nella navigazione in Rete.
Puoi proseguire e visitare il sito con un semplice click del mouse. Così facendo dichiari anche di consentire all'invio e uso dei ridetti cookies.
Qualora non acconsentissi all'uso dei cookies o desiderassi saperne di più, ti invitiamo a leggere la nostra informativa estesa
cliccando qui.
ATTENZIONE: I cookies del tuo browser risultano disattivati o stai navigando in modalità anonima. Ciò potrebbe limitare alcune funzionalità del sito.
Come usare una carta di credito rubata per fare acquisti
Lunedì 17 Gennaio 2011
autore: Redazione InterTraders
Negli ultimi anni in Europa, e recentemente sempre più in Italia, vi è stata
l'introduzione da parte delle banche di carte di credito più sicure, realizzate
secondo i principi e le regole dettati in ambito SEPA (Single Euro Payments Area / Area Unica dei Pagamenti
in Euro). Area di cui fa parte, tra i vari Stati europei, per l'appunto,
l'Italia.
Alla luce di quel che è stato deciso nella SEPA, le nuove carte emesse dai vari
istituti dovrebbero essere realizzate sempre più secondo la moderna e
più sicura tecnologia c.d. "chip & PIN" (basata sul protocollo EMV).
Uno standard che oltre a prevedere il classico chip (con memorizzati i dati del titolare e
quelli necessari per la transazione), richiede al momento dell'utilizzo della
carta (ad es. per pagare un acquisto in un negozio), la digitazione di
un codice PIN.
Il tutto con l'obiettivo primario di ridurre le frodi e l'utilizzo illecito di
carte di credito, sempre più facilitati dall'impiego della sola firma
rilasciata dal titolare su scontrino.
Sebbene quindi il 'chip & PIN' rappresenti lo standard promosso per le carte di
credito nell'UE, per paradosso, negli ultimi tempi, la garanzia di sicurezza che
tale standard dovrebbe offrire, sembrerebbe essere stata già gravemente
compromessa.
Alcuni esperti di sicurezza informatica, infatti, negli ultimi anni
avrebbero evidenziato le falle del protocollo EMV in modo abbastanza
semplice e spettacolare, spiegando come, con la semplice manipolazione
di un POS collocato in un certo esercizio commerciale, sia
possibile ugualmente interagire con i dati memorizzati sulla carta 'chip & PIN'
per compiere frodi ai danni del titolare.
L'esperimento, già nel 2007, diffuse un certo panico tra gli operatori del
settore, ma le lacune riscontrate nel protocollo vennero nei fatti
sminuite e sottovalutate per via delle difficoltà legate all'hardware e
al software necessari per realizzare il tutto.
Chi sperava che la vicenda restasse in qualche modo un semplice "esperimento" di
laboratorio, tuttavia, non aveva fatto i conti con la creatività e
l'audacia di chi opera nel campo della sicurezza informatica e delle
transazioni. E così, come prevedibile, dopo qualche anno, la temuta stangata è
arrivata.
A dare il colpo di grazia alla tecnologia 'chip & PIN', infatti, ci ha pensato
recentemente un giovane inglese, Omar S. Choudary, studente
dell'Università di Cambridge, presentando una tesi che documenta -con tanto di
video dimostrativo- come sia possibile, sfruttando la medesime falle del 'chip &
PIN', realizzare un dispositivo portatile per aggirare la tecnologia in
questione e usare, senza conoscerne il codice PIN, una carta di credito rubata
per fare acquisti.
Choudary avrebbe inventato un apparecchio (v. immagine a seguire), da lui
ribattezzato Smart Card Detective (SCD), da portare semplicemente
legato a un braccio e nascosto da un indumento, che permetterebbe di usare una
moderna carta di credito, digitando al posto dell'originale PIN, un codice
qualsiasi.
La carta da usare verrebbe, infatti, infilata in uno slot posizionato su un circuito
stampato dotato di display e collegato, tramite un cavetto, ad un altro
circuito stampato, ma della stessa forma e spessore di una comune carta di
credito. Un microcontroller presente sul primo dei due
circuiti farebbe il grosso del lavoro, intervenendo sui dati scambiati tra POS e
carta di credito e sfruttando le vulnerabilità del protocollo EMV, secondo uno
schema informatico simile a quello del "man in
the middle" (tecnica di attacco usata nell'hacking).
Il video girato dallo studente fa riflettere (v. filmato a seguire):
Nelle immagini si vede Choudary entrare in un centro commerciale per fare
acquisti e digitare, al momento del pagamento, un codice PIN casuale
('00000'). La transazione va a buon fine e, senza che
l'esercente noti alcuna stranezza o il terminale segnali una qualche
irregolarità, lo studente esce dal negozio con tanto di scontrino che
gli documenta l'avvenuta transazione e la correttezza del PIN digitato.
Di fronte alle potenziali critiche sugli impieghi illeciti di un tale
apparecchio, l'inventore ha precisato che l'obiettivo primario del
dispositivo è quello di evitare frodi ai danni dei titolari delle
carte di credito (auspicati destinatari dello Smart Card Detective).
Tant'è che l'SCD avrebbe varie funzionalità, e il display presente su uno dei
due circuiti visualizzerebbe in tempo reale alcune informazioni sulla
transazione, permettendo al titolare della carta di controllare
che la somma visualizzata sul POS di un dato esercizio commerciale sia
effettivamente quella addebitatagli e che il terminale non sia stato di fatto
alterato.
Quest'ultima spiegazione, probabilmente voluta dall'inventore anche per ragioni
di "convenienza" personale di fronte alla legge, non avrebbe ugualmente convinto
la UK Cards Association (associazione del Regno Unito che raggruppa i
rappresentanti dei principali circuiti e delle emittenti di carte di credito),
che avrebbe chiesto allo
studente di rimuovere immediatamente dal Web e rendere inaccessibile al
pubblico, il materiale che illustra come realizzare lo Smart Card
Detective.
Una richiesta prontamente respinta dall'interessato e dal suo docente, Ross
Anderson, e che, c'è da scommetterci, visto l'alto rischio di
emulazione che l'esperimento comporta (la realizzazione
dell'apparecchio ha un costo stimato di sole 100 sterline, circa 118 euro)
e il pericolo che rappresenta per il sistema internazionale dei
pagamenti, potrebbe portare presto ad un contenzioso giudiziario tra
gli interessati.
A parte tutto, se l'SCD ha già sollevato un polverone nel Regno Unito è anche
vero che la sua concreta utilizzabilità in nazioni come l'Italia, non
appare convincente. Nella maggior parte degli esercizi commerciali del
bel Paese, infatti, è il negoziante (o il cassiere) a inserire la carta di
credito del cliente nel POS, per giunta solo dopo aver digitato un apposito
codice, lasciando al titolare della carta la sola digitazione del PIN, ma mai
l'intera procedura di pagamento. Come richiederebbe, invece, il dispositivo di
Choudary.
Ai lettori ogni riflessione. Intanto, chi lo desiderasse, può consultare e
scaricare la documentazione incriminata con tutte le informazioni tecniche sullo
Smart Card Detective al seguente link:
"Ragazzi anche io ho avuto a che fare con il
presunto chirurgo, con me era una donna,
Manuela Garcia, chirurgo a Granada con la
famigliola felice al seguito..."
"NON ABBIATE A CHE FARE CON
martinakurts33@gmail.com
E l agenzia con il quale vi mette in
contatto.
Purtroppo ha molti annunci online e non
saprei come den..."