Skip to main content

Carte di credito contactless e POS non sono sicuri come credete, vi spieghiamo perchè

(Image credit: Shutterstock)

Le carte di credito/debito dotate di microchip sono percepite come un ottimo modo di evitare frodi (skimming) e attacchi malware. Al contempo passare rapidamente la carta sul sensore, piuttosto che inserirla fisicamente nel POS, da una sensazione di praticità e sicurezza. Ciononostante il crescente numero di attacchi malware che si sta verificando negli Stati Uniti suggerisce che il rischio sia presente per chiunque utilizzi una carta di credito, indipendentemente dalla modalità scelta.

I cybercriminali stanno infatti sfruttando la tecnologia EMV integrata dai circuiti internazionali da cui prende il nome, ovvero Europay, Mastercard e Visa per sottrarre i dati da migliaia di carte di credito. Questo nonostante la crittografia utilizzata per lo standard EMV sia da tempo considerata tra le più efficaci, in particolare se paragonata a quella presente sulle classiche carte di credito a banda magnetica.  

Tuttavia, dato che non tutti i venditori hanno a disposizione dei lettori di carte e per ovviare ad eventuali malfunzionamenti momentanei che potrebbero impedire le transazioni, molte di queste conservano ancora la banda magnetica. Tale doppia funzionalità espone gli utenti ad attacchi ‘shimming’, che si verificano quando una serie di controlli incrociati vengono eseguiti durante le transazioni. Questi includono, ad esempio, la verifica del codice CVV (le tre cifre riportate sul retro della carta).

Anche se le carte di credito dotate di chip possono contenere la stessa quantità di dati di quelle con striscia magnetica, ci sono delle differenze sostanziali tra le due tecnologie. La principale consiste nel cosiddetto iCVV. Il CVV dinamico che si trova nelle carte di credito dotate di chip è differente rispetto al classico CVV presente sui modelli a banda magnetica, e ha la funzione di evitare che i dati in essa contenuti vengano usati per clonare la carta.  

Carte di credito a banda magnetica

Possono sorgere problemi di sicurezza anche nel caso in cui gli istituti finanziari non abbiano messo adeguatamente a punto i loro sistemi back-end.

I ricercatori di Cyber R&D Labs hanno recentemente pubblicato un report che illustra i risultati di test condotti su 11 carte con chip appartenenti a 10 differenti banche europee e statunitensi. I dati mostrano che le vulnerabilità di quattro di esse potrebbero consentire la creazione di un clone a banda magnetica utilizzabile per le transazioni.

Le indicazioni riportate suggeriscono infatti che i malware con i quali vengono infettati i POS consentano ai criminali di estrapolare i dati dalle transazioni effettuate su circuiti EMV. Una volta sottratti, questi vengono venduti sul Dark Web, permettendo a chi li acquista di produrre dei cloni a banda magnetica delle carte "rubate".

Visa ha recentemente diffuso un allerta per mettere in guardia i suoi utenti sui rischi collegati alla manomissione di alcuni POS che utilizzano lo standard EMV. Le varianti più utilizzate dei suddetti Malware includono Alina POS, Dexter POS e TinyLoader. L’azienda ha inoltre fornito una serie di consigli per i venditori che, se osservati, dovrebbero ridurre al massimo i rischi legati a questo nuovo tipo di attacchi. Se avete un’attività o fate frequente uso di pagamenti contactless state attenti, non siete al sicuro come credete.