Il Disinformatico: bancomat

Visualizzazione post con etichetta bancomat. Mostra tutti i post

2021/06/25

Brutta notizia: Bancomat violabili usando semplicemente uno smartphone. Buona notizia: l’ha scoperto uno dei buoni

C’è una celeberrima scena di Terminator 2 (1991) nella quale il giovane John Connor riesce a farsi dare soldi da un Bancomat semplicemente collegandogli un cavetto e un mini-computer portatile (un Atari Portfolio). È fantascienza, direte voi: finzione cinematografica. Non può essere così facile “hackerare” un Bancomat.

In realtà sì, perlomeno secondo quanto riferisce Wired.com. Alcuni Bancomat dotati di componenti NFC (quelli che consentono di appoggiare la carta di credito invece di inserirla) hanno un difetto che consente un attacco ancora più elegante di quello mostrato al cinema dal regista James Cameron in Terminator 2: basta avvicinare al terminale uno smartphone Android contenente un’app appositamente programmata e diventa possibile mandare in tilt il Bancomat, modificarne il funzionamento in modo che raccolga e trasmetta dati delle carte di credito, alterare il valore delle transazioni e, in almeno un modello, fare quello che in gergo si chiama jackpotting, ossia far erogare al dispositivo una pioggia di banconote.

Ma niente panico: lo ha scoperto uno dei “buoni”, il consulente informatico spagnolo Josep Rodriguez, che per mestiere verifica la sicurezza dei sistemi informatici bancari per conto delle aziende produttrici, che sono già state allertate oltre sette mesi fa. Il problema è stato corretto, anche se alcuni Bancomat possono continuare a manifestarlo se non sono stati aggiornati.

Un attacco così semplice da sembrare finzione scenica è in realtà possibile per via di un difetto elementare e classico: il software che gestisce molti lettori contactless (NFC) non fa alcuna validazione delle dimensioni del pacchetto di dati mandato dalla carta quando viene avvicinata al sensore.

Il software si aspetta che si tratti di una carta di pagamento, che si comporta secondo gli standard, e si fida di quello che la carta gli manda. L’app di Rodriguez, però, manda un pacchetto di dati centinaia di volte più grande del normale e questo genera un classico buffer overflow che permette di prendere il controllo del Bancomat o terminale di pagamento.

Per noi utenti, comunque, il rischio è minimo: le falle scoperte da Rodriguez non consentono di leggere il PIN e o i dati presenti nel chip integrato nella carta e riguardano soltanto le vecchie carte senza chip integrato, raramente usate in Europa. Il disagio è soprattutto per le banche, che devono aggiornare centinaia di migliaia di terminali in tutto il mondo.

2020/02/28

Una truffa Bancomat da conoscere per evitarla

Credit: yatsenkoalexey / VectorStock.

Ho ricevuto da un lettore, Filippo (che ringrazio), la segnalazione di una truffa riguardante i Bancomat che credo sia importante conoscere per evitare di esserne colpiti, perché è talmente sofisticata da poter ingannare anche utenti particolarmente attenti. La riassumo qui con il suo permesso.

Filippo ha ricevuto ieri una chiamata sul suo cellulare da un numero che corrisponde al numero verde dell’assistenza clienti della sua banca.

Una voce maschile distinta e gentilissima gli ha detto che stava chiamando dalla banca per un problema relativo al rinnovo del bancomat di Filippo in scadenza. Ha spiegato che per errore il bancomat nuovo era stato spedito ad un indirizzo sbagliato ed era ritornato in banca.

La voce ha quindi chiesto conferma dei dati di Filippo, elencando vari dati personali, compresi nome, cognome, numero di conto corrente, città di residenza, via e numero civico. Era tutto giusto, tranne una cifra del numero civico, che Filippo gli ha corretto.

Dopodiché, sempre con toni gentilissimi e amichevoli, l’uomo al telefono ha spiegato che a Filippo sarebbe arrivato un PIN nuovo via SMS e gli ha chiesto di rispondere, per sicurezza e autenticazione, mandando il PIN vecchio, sempre via SMS. L’uomo ha precisato che se Filippo non si fidava non c’era alcun problema: la procedura telefonica sarebbe stata bloccata e Filippo, presentandosi in banca, avrebbe ricevuto un’altra tessera.

Filippo ha accettato, dopo qualche esitazione. Gli è arrivato un SMS, stavolta da un numero non verde, ha risposto inviando il suo PIN e poi gli è arrivato il nuovo PIN. La telefonata si è chiusa cordialmente con l'assicurazione che il bancomat gli sarebbe arrivato entro due giorni lavorativi.

Filippo ha avuto la sensazione di qualcosa di storto e così ha chiamato il servizio clienti della banca (allo stesso numero verde dal quale aveva ricevuto la chiamata). La banca gli ha confermato che era stato vittima di una truffa e ha bloccato la carta prima di qualunque addebito. Filippo ha poi sporto denuncia in polizia.

Non è finita: nel primo pomeriggio gli è arrivata una nuova chiamata, da un numero non verde, da una persona che ha detto di essere un agente di polizia postale che stava seguendo la pratica del suo tentativo di truffa. Filippo ha riattaccato.

Parlando con la banca (quella vera) e con gli agenti (quelli veri), a Filippo risulta che la truffa probabilmente si è svolta in questo modo:

i truffatori sono entrati in possesso della busta con il suo bancomat nuovo, che viaggia con posta ordinaria e ha lo stesso PIN della tessera vecchia;
con un po’ di ricerche online sono riusciti a trovare informazioni aggiuntive su di lui;
hanno chiamato Filippo camuffando il numero del chiamante in modo da far sembrare che fosse quello della banca (non è difficile);
visto il blocco immediato della carta, hanno riprovato spacciandosi per la polizia.

Come vedete, il livello di sofisticazione di queste truffe è molto alto: sono stati usati tutti i trucchi tecnici e di social engineering per conquistare la fiducia della vittima. Non è facile resistere, ma bisogna ricordarsi la regola fondamentale: mai dare il proprio PIN a nessuno, per nessun motivo, anche se si presenta con tutte le credenziali in ordine. Nessun operatore umano, neanche quello della vostra banca, è tenuto a conoscere il vostro PIN.

“La sensazione che si prova quando si capisce di essere stati truffati è disarmante”, mi scrive Filippo. “A me è andata bene, ma vorrei che quello che mi è successo avesse la maggior diffusione possibile per aiutare e per informare tutti.” Prudenza.

2018/02/16

Bancomat russi violabili premendo Shift cinque volte

Quando si pensa a violazioni informatiche di bancomat o sportelli bancari automatici in generale, ci si immagina di solito chissà quali abilità e diavolerie tecniche. Ma a volte queste cose sono incredibilmente facili, soprattutto quando chi realizza questi dispositivi non pensa a fondo alla sicurezza.

Prendete per esempio la banca russa Sberbank: i suoi bancomat usano ancora Windows XP. Funziona, che bisogno c’è di aggiornarlo? Windows XP ha sedici anni e ormai non è più supportato da Microsoft, a parte gli aggiornamenti che coprono gravi emergenze, e Microsoft consiglia di usare Windows 10 per ATM per queste applicazioni delicate, ma fa niente.

Secondo quanto raccontato da Techworm.net (che cita il blog russo Habrahabr), questi sportelli bancari automatici erano violabili semplicemente premendo il tasto Shift sulla tastiera, come mostra questo video.

Il Windows XP installato su questi bancomat, infatti, aveva abilitata l’opzione Sticky Keys (Tasti permanenti nella versione italiana), che fa parte degli ausilii per chi ha problemi di accessibilità: quando il sistema chiede di premere due tasti contemporaneamente (per esempio per digitare una lettera maiuscola o comporre un carattere speciale), con quest’opzione si possono premere i due o più tasti in sequenza, quindi anche con una mano sola.

Per richiamare questa funzione basta premere il tasto Shift cinque volte in rapida successione. A questo punto compare la Taskbar e il menu Start, e questo significa che su un bancomat con schermo tattile come quelli di Sberbank è possibile accedere a Windows e prenderne il controllo.

Lo scopritore della falla ha registrato il video dimostrativo e poi è stato responsabile: ha chiamato subito la banca per avvisare del problema e non ne ha approfittato. Ma altri avrebbero potuto farlo, anche compiendo solo un sabotaggio molto banale: sarebbe bastato togliere dallo schermo la schermata del programma di gestione delle transazioni per rendere inservibile quel bancomat alla stragrande maggioranza degli utenti.

E detto fra noi, anche sapendo come riportare un bancomat alla schermata standard, mi guarderei bene dall’inserire la mia carta di credito in un aggeggio che manifesta una vulnerabilità colossale del genere.

La banca ha successivamente corretto la falla e ringraziato il suo scopritore con un regalo molto generoso (si fa per dire): un’agenda e un portafogli.

2012/04/17

Tre milioni di codici di Bancomat + PIN scaricabili

Quali sono i PIN per Bancomat preferiti in Iran? :-)

THN segnala che sono stati pubblicati online tre milioni di codici Bancomat e i PIN corrispondenti di correntisti iraniani. La pubblicazione è stata fatta da un esperto dei sistemi bancari iraniani per dimostrare, a suo dire, che i suoi avvertimenti sulla vulnerabilità di questi sistemi non andavano ignorati come invece stavano facendo le autorità.

La security through obscurity non conosce frontiere, a quanto pare. Non ho modo di verificare i dettagli della notizia, ma comunque potrebbe essere interessante analizzare i PIN pubblicati per vedere quali sono quelli più frequenti.

2010/08/28

Come farsi dare soldi dai bancomat [UPD 2010/08/31]

L'articolo è stato aggiornato dopo la pubblicazione iniziale. In particolare, il nome del ricercatore è stato corretto: era stato indicato come Branaby Jack perché varie fonti lo riportavano con questa grafia, ma sul sito della sua azienda il nome è Barnaby Jack.

Las Vegas, fine luglio scorso. Un uomo si avvicina a un bancomat, apre uno sportello, inserisce una penna USB, e lo sportello automatico inizia ad erogare soldi gratis, fra gli applausi dei presenti.

L'uomo è Barnaby Jack, direttore della ricerca sulla sicurezza della IOActive Labs, e non è stato arrestato per la semplice ragione che il suo insolito jackpot è stato effettuato su un palcoscenico come dimostrazione tecnica durante la conferenza di sicurezza Black Hat, tenutasi appunto a Las Vegas.

Jack ha saputo fare anche di meglio: mentre in questo attacco ha dovuto accedere fisicamente al bancomat aprendone il frontale, in un'altra dimostrazione è riuscito a riprogrammare l'apparecchio da remoto, senza neppure toccarlo.

Le dimostrazioni di Jack erano mirate ai bancomat di due marche specifiche, la Triton e la Tranax. Gli apparecchi di una di queste aziende, ha spiegato Jack a Wired, avevano una vulnerabilità nella funzione di monitoraggio remoto, che era attiva per default, era accessibile via Internet o telefonicamente e permetteva di scavalcarne i sistemi di autenticazione. Il monitoraggio remoto è stato disabilitato da poco dalla casa produttrice, anche in seguito alla segnalazione di Jack.

L'altra marca, invece, aveva una falla di sicurezza, successivamente corretta, che consentiva l'esecuzione di programmi non autorizzati.

Una delle scoperte più interessanti di Jack è che le serrature standard dei pannelli di manutenzione di tutti i bancomat di una delle marche coinvolte nella sua dimostrazione si aprono con una chiave universale, facilmente acquistabile via Internet per una decina di dollari (la ditta offre una serratura personalizzata solo come accessorio supplementare). Questo consente a qualunque malintenzionato di accedere facilmente alle parti interne dell'apparecchio, cosa che ha permesso a Jack di inserire una penna USB contenente del software ostile per Windows CE, il sistema operativo utilizzato da entrambe le marche.

Questo software, una volta installato, rimaneva in attesa di un codice di attivazione digitato sulla tastiera del bancomat. In alternativa, il malintenzionato poteva inserire una speciale tessera di controllo. Fatto questo, sullo schermo compariva un menu nascosto che consentiva di far erogare soldi allo sportello automatico.

Non si tratta di dimostrazioni ipotetiche: attacchi analoghi sono stati scoperti in Russia e in Ucraina l'anno scorso ai danni di sportelli della Diebold e della NCR, ma richiedevano un complice interno (per esempio un tecnico). Questo può succedere: all'inizio del 2010, un membro del personale informatico della Bank of America, Rodney Reed Caverly, è stato incriminato con l'accusa di aver installato software ostile sui bancomat del suo datore di lavoro, in modo da poter prelevare migliaia di dollari senza lasciare traccia delle transazioni.

Ma perché ricercatori come Barnaby Jack fanno queste rivelazioni? Non sarebbe più prudente stare zitti, affinché i ladri non possano approfittare delle tecniche divulgate? No, spiega Jack: le dimostrazioni pubbliche di vulnerabilità servono a convincere i responsabili delle ditte che producono sportelli automatici ad esaminare con maggiore attenzione la sicurezza dei loro apparati, troppo spesso venduti e usati dando per scontato che siano invulnerabili. Inoltre servono anche a noi consumatori, perché se veniamo colpiti da una frode di questo genere e non sappiamo che è possibile effettuarla, spesso spetta a noi dimostrare di essere vittime innocenti, perché le banche presumono che siamo stati noi a commettere qualche errore di sicurezza o a divulgare i nostri codici di accesso.

2006/05/10

Violata la sicurezza dei Bancomat dei benzinai inglesi, utenti fregati due volte

Questo articolo vi arriva grazie alle gentili donazioni di "claudio.sar****" e "root74".

Dal Regno Unito arriva una storia molto educativa a proposito della sicurezza delle transazioni elettroniche. Qualcuno ha trovato il modo di taroccare i lettori delle carte di credito e dei Bancomat dei benzinai Shell e usarli per acquisire tutti i dati delle carte, compreso il PIN. Con questa tecnica sono stati frodati circa 1,5 milioni di euro.

La truffa è talmente diffusa da aver costretto seicento dei mille distributori Shell britannici a tornare al vecchio sistema della firma, come riferisce la BBC, dopo che con tanta enfasi l'intero Regno Unito si era convertito al "Chip & PIN", ossia alla carta di credito dichiarata "sicura" perché autenticata tramite un chip incorporato e la richiesta del PIN al posto della firma.

In realtà il sistema si è rivelato un colabrodo e ha causato maggiori danni agli utenti, perché mentre la firma è contestabile, la digitazione del PIN lo è assai meno, per cui per gli utenti è molto più difficile dimostrare di essere stati frodati e quindi si trovano derubati e impossibilitati a contestare gli addebiti fraudolenti. Doppia fregatura, insomma.

La tecnica usata è particolarmente interessante. Secondo The Inquirer, i malfattori si sono presentati presso i distributori spacciandosi per tecnici della manutenzione dei lettori di carte di credito (un classico metodo di social engineering) e hanno rimosso i lettori, reinstallandoli dopo averli modificati. I lettori così truccati registravano tutti i dati in transito, che venivano utilizzati per prelievi abusivi in altri paesi.

Questo è un sistema ancora più raffinato di quello in uso in Italia sugli sportelli Bancomat, dove viene applicata una mascherina contenente un lettore supplementare e il PIN viene registrato da una microtelecamera. Col metodo inglese, né il cliente né il rivenditore hanno modo di accorgersi della frode in atto, perché tutto il meccanismo è all'interno del normale lettore. L'unico modo in cui possono accorgersi della buggeratura è verificare le credenziali di ogni persona che si presenta come tecnico della manutenzione. L'assenza, finora, di questo controllo è una falla ovvia nella catena di sicurezza, secondo i più classici criteri dell'analisi di vulnerabilità: si pensa solo alla tecnologia e si dimentica il fattore umano.

I clienti si trovavano addebiti illeciti sul proprio estratto conto, ma non riuscivano a contestarli perché risultava digitato il PIN, e le condizioni di contratto prevedono che il PIN debba essere tenuto segreto sotto la responsabilità del cliente, per cui gli addebiti (teoricamente) dovevano essere stati autorizzati dal cliente.

Il lettore per carte di credito è il punto debole tecnologico di questo tipo di transazione, perché è il luogo nel quale convergono tutti i dati del cliente (numero della carta, scadenza e PIN) e perché in molti casi non utilizza il chip presente sulla carta, come discusso su SnakeOilLabs. Proprio per questo, i lettori sono dotati di dispositivi antimanomissione, che però nel caso del modello di lettore preso di mira (un Trintech Smart5000) evidentemente non ha funzionato.

La polizia britannica ha già effettuato otto arresti nel sud dell'Inghilterra, e l'indagine continua. Nel frattempo, chiunque abbia un lettore di carte di credito nel proprio negozio farebbe meglio a diffidare di chi si presenta come tecnico alla manutenzione e a verificarne l'identità telefonando alla società di gestione dei lettori... ovviamente senza usare eventuali numeri forniti dal "tecnico".

Tuttavia, stando ai commenti che potete leggere qui sotto, sembra che questo genere di truffa sia già sbarcato anche in Italia e che abbia forme ancora più sofisticate.

Cerca nel blog