Carte di credito contactless e POS non sono sicuri come credete, vi spieghiamo perchè

(Immagine:: Shutterstock)

Le carte di credito/debito dotate di microchip sono percepite come un ottimo modo di evitare frodi (skimming) e attacchi malware. Al contempo passare rapidamente la carta sul sensore, piuttosto che inserirla fisicamente nel POS, da una sensazione di praticità e sicurezza. Ciononostante il crescente numero di attacchi malware che si sta verificando negli Stati Uniti suggerisce che il rischio sia presente per chiunque utilizzi una carta di credito, indipendentemente dalla modalità scelta.

I cybercriminali stanno infatti sfruttando la tecnologia EMV integrata dai circuiti internazionali da cui prende il nome, ovvero Europay, Mastercard e Visa per sottrarre i dati da migliaia di carte di credito. Questo nonostante la crittografia utilizzata per lo standard EMV sia da tempo considerata tra le più efficaci, in particolare se paragonata a quella presente sulle classiche carte di credito a banda magnetica.  

Tuttavia, dato che non tutti i venditori hanno a disposizione dei lettori di carte e per ovviare ad eventuali malfunzionamenti momentanei che potrebbero impedire le transazioni, molte di queste conservano ancora la banda magnetica. Tale doppia funzionalità espone gli utenti ad attacchi ‘shimming’, che si verificano quando una serie di controlli incrociati vengono eseguiti durante le transazioni. Questi includono, ad esempio, la verifica del codice CVV (le tre cifre riportate sul retro della carta).

Anche se le carte di credito dotate di chip possono contenere la stessa quantità di dati di quelle con striscia magnetica, ci sono delle differenze sostanziali tra le due tecnologie. La principale consiste nel cosiddetto iCVV. Il CVV dinamico che si trova nelle carte di credito dotate di chip è differente rispetto al classico CVV presente sui modelli a banda magnetica, e ha la funzione di evitare che i dati in essa contenuti vengano usati per clonare la carta.  

Carte di credito a banda magnetica

Possono sorgere problemi di sicurezza anche nel caso in cui gli istituti finanziari non abbiano messo adeguatamente a punto i loro sistemi back-end.

I ricercatori di Cyber R&D Labs hanno recentemente pubblicato un report che illustra i risultati di test condotti su 11 carte con chip appartenenti a 10 differenti banche europee e statunitensi. I dati mostrano che le vulnerabilità di quattro di esse potrebbero consentire la creazione di un clone a banda magnetica utilizzabile per le transazioni.

Le indicazioni riportate suggeriscono infatti che i malware con i quali vengono infettati i POS consentano ai criminali di estrapolare i dati dalle transazioni effettuate su circuiti EMV. Una volta sottratti, questi vengono venduti sul Dark Web, permettendo a chi li acquista di produrre dei cloni a banda magnetica delle carte "rubate".

Visa ha recentemente diffuso un allerta per mettere in guardia i suoi utenti sui rischi collegati alla manomissione di alcuni POS che utilizzano lo standard EMV. Le varianti più utilizzate dei suddetti Malware includono Alina POS, Dexter POS e TinyLoader. L’azienda ha inoltre fornito una serie di consigli per i venditori che, se osservati, dovrebbero ridurre al massimo i rischi legati a questo nuovo tipo di attacchi. Se avete un’attività o fate frequente uso di pagamenti contactless state attenti, non siete al sicuro come credete.

Rob Clymo

Rob Clymo has been a tech journalist for more years than he can actually remember, having started out in the wacky world of print magazines before discovering the power of the internet. Since he's been all-digital he has run the Innovation channel during a few years at Microsoft as well as turning out regular news, reviews, features and other content for the likes of TechRadar, TechRadar Pro, Tom's Guide, Fit&Well, Gizmodo, Shortlist, Automotive Interiors World, Automotive Testing Technology International, Future of Transportation and Electric & Hybrid Vehicle Technology International. In the rare moments he's not working he's usually out and about on one of numerous e-bikes in his collection.