Smishing deriva da SMS e phishing: è la tecnica d’inganno informatico che consiste nell’ottenere informazioni personali mandando alla vittima un SMS appositamente confezionato, che usa spesso tecniche psicologiche per indurre la vittima a rispondere.

Nell’esempio qui accanto, il messaggio fa leva sulle angosce sanitarie per spingere la vittima a cliccare sul link, dove l’aspetta probabilmente una finta pagina delle autorità che le chiederà informazioni personali utili per estorsioni, ricatti o furti di denaro.

Un altro esempio è un messaggio che sembra provenire dalla vostra banca, o da un servizio di pagamento online, e vi invita a scaricare la nuova versione dell’app di sicurezza, che in realtà è un’app creata dai truffatori e nella quale la vittima immetterà le proprie credenziali, dandole così ai criminali.

Mycard.ch ha pubblicato un avviso sul problema dello smishing che spiega bene che “I messaggi di questo genere devono essere ignorati e cancellati senza che vi sia alcuna interazione con il mittente. Nessuna banca invia ai propri clienti un SMS di questo tipo senza che vi sia una specifica richiesta a monte. Allo stesso modo non userebbe mai un SMS per spedirvi un link relativo all’e-banking.”

Il sito pubblica anche cinque regole di protezione:

1. Non cliccate mai su un link che avete ricevuto tramite un messaggio di testo inviato da un numero sconosciuto o da un’azienda con cui non avete nulla a che fare. 

2. Verificate sempre il numero del mittente con occhio critico. Se effettuate una breve ricerca online sul numero sospetto, spesso potete scoprire che si tratta di un numero sconosciuto utilizzato con intenti fraudolenti. 

3. Domandatevi sempre se un SMS sia la forma di comunicazione appropriata in quella situazione specifica. Non capiterà mai che, in caso di problemi, un istituto finanziario o un rivenditore online, ad esempio, vi chiedano tramite SMS di fornire i vostri dati. 

4. Diffidate in partenza messaggi da cui si evince una particolare urgenza (subito o urgentemente) e in cui vi viene chiesto di inserire i vostri dati personali. 

5. Se ricevete un SMS non in risposta a una vostra richiesta da un’azienda che apparentemente conoscete, contattatela tramite un altro canale e informatevi sull’autenticità della richiesta. 

Da parte mia aggiungo di non fidarsi del numero del mittente, che è estremamente facile da falsificare.

Immagine esemplificativa. Credit: Fortinet.

Ultimo aggiornamento: 2020/10/06 4:10.

Ho a che fare con un caso insolito di furto di denaro tramite carta di credito. La vittima è stata attirata con l’inganno su un sito di phishing, che ha visitato con il proprio iPhone (recente e aggiornato). Ha immesso nel sito il numero e il CVV della carta. Già così è una brutta situazione, lo so.

Ma il suo conto bancario è protetto da un sistema di sicurezza che include un SMS di verifica contenente un PIN usa e getta, per cui la transazione fraudolenta non può andare in porto se non viene digitato questo PIN. 

Qui sta il mistero: l’SMS è arrivato alla vittima, che giura di non averlo digitato, ma la transazione è stata completata lo stesso come se il PIN fosse stato immesso manualmente. Alla società che gestisce la carta di credito risulta che il PIN sia stato immesso e quindi la transazione è andata in porto: i truffatori hanno rubato il denaro dalla carta della vittima e la banca si è rifiutata di risarcire perché stando ai suoi log la vittima ha usato l’SMS di validazione.

Subito dopo è arrivata una seconda transazione fraudolenta, con relativo PIN proveniente dalla società emettitrice della carta di credito, ma i truffatori non sono riusciti a prelevare altro denaro perché nel frattempo la società emettritrice aveva bloccato la carta.

L’ipotesi prevalente, per ora, è che il sito dei truffatori contenesse del software per leggere gli SMS ricevuti dalla vittima, forse usando la funzione OTP Autofill, come quando ci si iscrive ad alcuni social network e il PIN di autenticazione viene letto automaticamente dall’app del social network.

Se avete teorie migliori, segnalatele nei commenti. Grazie!

Stanno già arrivando le prime ipotesi:

Ho provato con l'iPhone a loggarmi su Amazon con 2F abilitato: cliccando sul campo di immissione del codice OTP dopo aver ricevuto l'SMS il codice compare più in basso, cliccandoci sopra il codice viene immesso nel campo senza doverlo digitare. pic.twitter.com/Mh3jf3dWF7

— PierGiggi (@pierchiodo) October 4, 2020

Questo è riferito a questa funzione:

pic.twitter.com/Df9Pk9I0Mj

— quellaltro (@ggalt5) October 5, 2020

Dai commenti cito questo articolo di Benthamsgaze che parla del Security Code AutoFill di iOS 12 e segnala la pericolosità degli SMS di autenticazione per le transazioni:

SMS based OTP, whether used for 2FA or transaction authentication, has been criticised for not being the most secure choice of technology. For example, in recent years the National Institute of Standards and Technology (NIST) initially publicly criticised SMS as a communication medium for secure authentication, labelling it as insecure and unsuitable for strong authentication. However more recently, they have softened their language and instead deprecated SMS 2FA. Yet, it’s still considered secure enough to be used for Strong Customer Authentication under the new EU Payment Service Directive 2.

[...] Examples in which Security Code AutoFill could pose a risk to online banking security include a Man-in-the-Middle attack on the user accessing online banking from Safari on their MacBook, injecting the required input field tag if necessary, or where a malicious website or app accesses the bank’s legitimate online banking service.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Sono arrivate tante segnalazioni a proposito delle mail, ricevute da clienti EasyJet, nelle quali la compagnia aerea annuncia di aver subìto un “incidente di sicurezza informatica” che ha coinvolto circa nove milioni di clienti, di cui 480.000 in Svizzera.

La mail proviene effettivamente da Easyjet e include un link personalizzato che porta a una pagina del sito della compagnia aerea che contiene le stesse informazioni.

Il testo è piuttosto rassicurante e solitamente dice che “I dati del tuo passaporto e carta di credito non sono stati coinvoli [sic], ma sono state consultate informazioni del luogo di partenza, la destinazione di viaggio, la data di partenza, il numero di riferimento della prenotazione, la data di prenotazione e il valore della prenotazione.”

Ma il testo non è uguale per tutti: se l’avete ricevuto, leggetelo attentamente, perché l’esperto di sicurezza informatica Graham Cluley segnala che alcuni clienti hanno ricevuto una variante della mail che dice chiaramente che sono stati trafugati anche “dettagli di carte di credito (compresa la scadenza e il CVV)”. Se è questa la vostra versione, vi conviene far bloccare subito la carta di credito che avete usato e che è indicata nella mail.

Un altro aspetto interessante è che la fuga di dati è stata annunciata il 19 maggio, ma non viene precisato il momento in cui è avvenuto effettivamente l’attacco, che a quanto pare risale a un paio di mesi prima: chi ha ricevuto la mail con l’allerta riguardante la carta di credito l’ha infatti vista comparire nella propria casella di posta a fine marzo.

Ma come è possibile che EasyJet si sia fatta rubare i CVV? Questi dati normalmente non vengono conservati dai negozi online, e quindi è molto strano che la compagnia parli di trafugamento di questi codici di autorizzazione. L’ipotesi più probabile è che il sito di Easyjet sia stato attaccato e alterato in modo da installarvi un software (per esempio Magecart) che intercettava i dati di pagamento durante le prenotazioni. Non sarebbe la prima volta: la stessa cosa è successa a British Airways a ottobre 2018.

Comunque stiano le cose, resta valido il consiglio della compagnia aerea di fare molta attenzione a possibili tentativi di furto di password o dati personali da parte di truffatori che si spacciano per EasyJet via mail o per telefono. Conoscendo la spavalderia dei criminali, è probabile che tentino addirittura di presentarsi come addetti ai rimborsi e vi chiedano i dati della carta di credito per un presunto risarcimento. Non cascateci.

Di solito le tecniche di furto dei dati delle carte di credito richiedono l’uso di qualche componente elettronico: uno skimmer per leggere i dati durante l’inserimento nella fessura di un dispositivo di pagamento o un sensore a distanza per catturare i dati di una carta contactless non schermata.

Yusuke Taniguchi, invece, ha usato una tecnica molto differente. Durante il suo lavoro alle casse di un centro commerciale a Koto City, in Giappone, il trentaquattrenne ha semplicemente memorizzato man mano i dati delle carte di oltre 1300 clienti quando gli venivano affidate per la scansione, e poi li ha usati per fare acquisti di merci che poi rivendeva in un negozio di pegni per mantenersi.

Taniguchi ha infatti una memoria particolarmente vivace, che gli permetteva di ricordare il numero della carta, il nome del titolare, la scadenza della carta e il numero di sicurezza presente sul retro nel brevissimo tempo per il quale aveva in mano la carta, per poi trascrivere i dati su un blocco note.

L’uomo è stato acciuffato perché si faceva mandare le merci direttamente presso il proprio indirizzo di casa. La sua memoria prodigiosa, a quanto pare, non era associata a un genio altrettanto vivace.

Come ci si protegge da un commesso con una memoria fotografica del genere? Con la stessa tecnica usata per proteggersi dalle altre frodi: il monitoraggio delle proprie spese, tramite le apposite app o controllando il proprio estratto conto.

Ultimo aggiornamento: 2019/02/01 15:05.

Per anni, Facebook ha saputo che nei giochi online del suo social network, come Angry Birds o PetVille, c’erano bambini che spendevano centinaia o migliaia di dollari e spesso si è rifiutata di rimborsare queste spese chiaramente non autorizzate dai genitori.

In un caso esemplare, un quindicenne ha accumulato debiti per 6500 dollari in un paio di settimane, a furia di giocare, e Facebook ha negato il rimborso. I dipendenti dell’azienda di Zuckerberg descrivevano questi giovani come whale: il termine che si usa nei casinò per identificare i giocatori che spendono grandi cifre. I polli da spennare, insomma.

Gillian: Would you refund this whale ticket? User is disputing ALL charges …

Michael: What’s the user’s total/lifetime spend?

Gillian: It’s $6,545 – but card was just added on Sept. 2. They are disputing all of it I believe. That user looks underage as well. Well, maybe not under 13.

Michael: Is the user writing in a parent, or is this user a 13ish year old.

Gillian: It’s a 13ish yr old. Says its 15. Looks a bit younger. She* not its. Lol.

Michael: … I wouldn’t refund

Gillian: Oh that’s fine. Cool. Agreed. Just double checking.

Non solo: Facebook commissionò un‘analisi interna per capire come mai nel 93% dei casi i risarcimenti alle carte di credito dei genitori dei giovani giocatori di Angry Birds erano dovuti al fatto che questi genitori non erano consapevoli che il gioco potesse causare addebiti senza chiedere password o autorizzazioni.

L’analisi fece emergere inoltre il fatto che l’età media dei giocatori di Angry Birds era di cinque anni. Ma Facebook decise di non intervenire, perché qualunque misura per avvisare i giocatori che stavano spendendo soldi veri rischiava di intaccare gli incassi, e anzi chiese agli sviluppatori di giochi di non ostacolare le spese fatte dai minorenni a insaputa dei genitori. In un promemoria interno, Facebook chiamò questa prassi con un nome eloquentissimo: Friendly Fraud, ossia “frode amichevole” oppure, per analogia con il termine friendly fire, “frode da fonte fidata”.

Da allora Facebook ha introdotto maggiori controlli sui pagamenti, ma sembra che per farlo sia stata necessaria l’azione legale collettiva che ha reso pubblici questi comportamenti interni dell’azienda. Resta da vedere se la mentalità aziendale è davvero cambiata.


Fonti: Revealnews, Il Post.

I criminali informatici non si fermano mai nella propria ricerca di nuove tecniche per rubarci dati che possono monetizzare.

Invece di infettare i dispositivi degli utenti e rubare i dati delle carte di credito usate durante lo shopping online, cosa difficile se l’utente ha installato antivirus e app di protezione antifrode, infettano i siti di shopping.

Ma l’infezione non avviene attaccando direttamente i siti commerciali, che di solito hanno protezioni piuttosto robuste: viene messa a segno attaccando le società che forniscono a questi siti gli script per la gestione dei pagamenti. Queste società spesso sono difese molto debolmente. Ai criminali basta entrarvi in modo da alterare a proprio favore gli script che poi i siti commerciali vanno a scaricare e incorporare.

Magecart, per esempio, è uno script alterato che viene installato fraudolentemente nei siti commerciali e intercetta i dati dei pagamenti effettuati tramite carte di credito: una delle sue vittime più illustri è stata British Airways, che ad agosto scorso si è fatta sottrarre i dati di 380.000 clienti con 22 righe di script. Ma anche Infowars, il sito del complottista Alex Jones, è stato colpito.

Rapid7 ha dei consigli tecnici per i gestori dei siti di e-commerce, ai quali spetta il compito di tenersi puliti; gli acquirenti possono solo vigilare sugli acquisti attivando per esempio i messaggi di allerta e verifica delle transazioni fatte con la carta di credito. Se il sito usato contiene script rubacarte, questi messaggi permetteranno di accorgersi che l’acquisto fatto è fraudolento e di bloccarlo.

Vale naturalmente, come sempre, la raccomandazione classica di fare acquisti solo in siti ben conosciuti e di non farsi sedurre da offerte troppo belle per essere vere.

Sono in circolazione vari attacchi informatici basati sullo stesso meccanismo psicologico: i truffatori fingono di essere un’azienda o un’organizzazione svizzera conosciuta e autorevole per conquistarsi la fiducia delle vittime e convincerle a cliccare su un link o aprire un documento.

GovCERT.ch, servizio gestito dalla Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI della Confederazione Svizzera, avvisa infatti che circola una mail che si spaccia per una comunicazione del servizio ferroviario RailService delle Ferrovie Federali Svizzere ma in realtà contiene un trojan molto conosciuto, Retefe, che tenta di infettare i computer di chi lo apre e viene usato per intercettare le transazioni bancarie online. La raccomandazione è di non aprire gli allegati e di cancellare il messaggio.

Actuellement des fraudeurs envoient des faux e-mails au nom des CFF @RailService, contenant le cheval de Troie e-banking "Retefe", ceci dans le but d'infecter les ordinateurs des citoyens de la Suisse romande. N'ouvrez pas les pièces jointes, mais supprimez les courriels. pic.twitter.com/tPgwJ6AOKr

— GovCERT.ch (@GovCERT_CH) 4 ottobre 2018

GovCERT segnala anche altri truffatori, che diffondono mail nelle quali si spacciano per la polizia cantonale di Zurigo e fingono che ci siano delle violazioni legali nel sito del destinatario. Anche qui si consiglia di non aprire i messaggi e di cancellarli senza leggerli.

Bitte teilen - Warnung vor falschen Mails mit Absender Kantonspolizei

Seit kurzem sind mehrere Spam-Mails mit dem Absender Kantonspolizei von einem unbekannten Urheber versendet worden. Wir empfehlen, die Mails nicht zu öffnen und ungelesen zu löschen. pic.twitter.com/AVvXXoNYL9

— Kantonspolizei Zürich (@KapoZuerich) 4 ottobre 2018

Nel mirino dei truffatori ci sono anche UBS e Postfinance: in questo caso il messaggio che viene ricevuto dalle vittime reca il logo dell’azienda e dice che la carta di credito della vittima è stata bloccata perché non è stata confermata e che bisogna cliccare sul pulsante incluso nel messaggio per effettuare la conferma, altrimenti ci saranno da pagare 84.99 franchi. Ma non è vero nulla: il pulsante porta a un sito-trappola che presumibilmente cerca di convincere la vittima a immettere i dati della propria carta ma è già stato segnalato e viene bloccato dai principali software di protezione.

Anche qui, la cosa migliore da fare è cestinare il messaggio.

Se giocate a Clash of Clans, Clash Royale o a un altro dei tanti giochi online che hanno una “moneta” interna, fate molta attenzione alle offerte di chi vi propone di ottenere queste monete a prezzi scontati: potreste avere a che fare con dei riciclatori di carte di credito rubate e potreste trovarvi con l’account bloccato.

Lo segnala Kromtech Security, raccontando di aver scoperto su Internet un archivio di dati pubblicamente accessibile e contenente migliaia di dati di carte di credito. Ben presto gli esperti si sono resi conto che si trattava di un archivio gestito da ladri di carte di credito.

Questi ladri avevano creato un sistema automatico che creava degli account Apple ID finti usando i dati delle carte di credito rubate. Questi account venivano poi usati per acquistare gemme o altre monete virtuali nei giochi. Le gemme acquistate con le carte altrui venivano poi vendute a prezzo scontato a giocatori comuni, e in questo modo la banda otteneva soldi puliti.

La Supercell, che ha sviluppato Clash of Clans e Clash Royale ha avvisato i giocatori che chi compra gemme o diamanti da siti esterni può trovarsi permanentemente bandito dal gioco e rischia di dare a dei criminali il controllo del proprio account Apple ID o Google Play.


Fonte aggiuntiva: Tripwire.

Sta creando un certo panico, e un numero elevatissimo di condivisioni su Facebook, una foto che mostra un uomo che tiene in mano un terminale portatile di pagamento per carte di credito. Secondo la descrizione che accompagna l'immagine, si tratterebbe della prova fotografica del fatto che ci sono criminali che vanno in giro a rubare i dati delle carte di credito sfruttando la nuova tecnologia contactless, che consente di effettuare pagamenti semplicemente avvicinando la carta al terminale, senza dover digitare PIN, e quindi consente al criminale di prelevare soldi dalle carte di credito delle persone vicine.

Ma in realtà, come spiega Buzzfeed, la foto non documenta la presenza di un ladro contactless: ritrae Oleg Gorobets, manager della società di sicurezza informatica Kaspersky. In altre parole, è una messinscena.

Gli esperti, inoltre, dicono che questo genere di furto è tecnicamente difficilissimo: non basta un terminale normale ma serve un dispositivo dotato di un'antenna speciale e soprattutto c’è il problema che un eventuale furto sarebbe completamente tracciabile. Per i più prudenti, comunque, esistono degli astucci metallici per carte di credito contactless che schermano completamente da eventuali attacchi di questo tipo.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “luigipoll*” e “carlo.fr*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Su molte delle mie caselle di mail è arrivato questo messaggio, apparentemente proveniente da servizio.clienti@telecomitalia.it, che m’invita ad accedere al servizio per ottenere un rimborso di 110 euro. Il messaggio è una trappola: non seguite le sue istruzioni.

È un classico tentativo di furto dei codici delle carte di credito: lo segnalo perché è fatto meglio della media (poche sgrammaticature, loghi credibili, mittente apparente molto credibile) e perché ha superato ripetutamente i miei filtri antispam, cosa piuttosto insolita.

Il pulsante Accedi al servizio porta a questa schermata, che in realtà è ospitata presso it-10.com e non presso Tim.it:

Ovviamente lo scopo è quello di convincere l’utente a immettere password di Tim.it e dati della carta di credito, che finiranno così nelle mani dei criminali. Ho pensato di fornire un po' di quelli di un mio caro collega, il noto giurista immaginario Massimo Della Pena. Anche qui la schermata di Tim.it è imitata piuttosto bene: c'è anche il controllo sulla coerenza del codice fiscale. L'unica nota stonata è quel Dati di client, che però può anche sfuggire per l’emozione di ricevere un (inesistente) rimborso. Ho già segnalato il caso a Netcraft e a Google.

Mi raccomando, occhio a non farvi allettare da chi vi promette qualcosa di goloso: non fidatevi dell’indirizzo del mittente (come vedete qui sopra, si può falsificare), controllate sempre che nella barra dell'indirizzo ci sia il nome corretto del sito insieme all'icona del lucchetto chiuso che autentica il sito. Se ricevete questa mail, cestinatela: se non avete immesso dati, non correte alcun rischio.

Questa sera la trasmissione Patti Chiari della radiotelevisione svizzera di lingua italiana si occuperà di truffe effettuate tramite carte di credito, sia online sia offline. Verrà interpellato anche Ross Anderson, quello della tecnica per scavalcare il PIN delle carte di credito. Io farò un'apparizioncella per dare qualche dritta su come difendersi da questo genere di trappola.

Botnet, tre dilettanti controllavano dodici milioni di computer

C'era una volta, neanche tanto tempo fa, una botnet grande grande: una rete di milioni di computer infetti, sparsi in oltre 190 paesi. Una delle più grandi mai viste. Si chiamava con un nome delicato, Mariposa, e il suo passatempo era rubare i codici d'accesso ai servizi bancari e alle caselle di posta elettronica degli utenti dei PC Windows e riciclare denaro rubato elettronicamente. Ogni tanto i suoi padroni la subaffittavano, con i suoi servi appestati, ad altri criminali.

Fra i computer che Mariposa aveva silentemente stregato c'erano quelli di metà delle aziende più quotate nella celebre lista Fortune 1000. Ma un giorno un Panda (Security), assistito dai cavalieri iberici della Guardia Civil, dai fanti dell'FBI, dai saggi della canadese Defence Intelligence e del Georgia Tech Information Security Center, l'ha eliminata.

Oggi Mariposa non c'è più: a dicembre scorso è stata decapitata. I suoi nemici si sono infiltrati nel suo labirinto di comunicazione e hanno iniziato a origliare per scoprire come faceva a trasformare in zombi le sue vittime. Usava i circuiti P2P, le penne USB infette e i link su MSN che adescavano gli utenti, invitandoli a visitare siti infetti. I suoi padroni la comandavano usando un passaggio segreto, una VPN anonima, nascondendo così la loro vera identità ai penetranti sguardi della giustizia.

Ma il Panda e i suoi valorosi scudieri li hanno sgominati con l'astuzia, inducendoli al panico. Con un sortilegio hanno tagliato le comunicazioni con Mariposa. Quando l'hanno vista perdere i sensi, i suoi padroni, che si fregiavano dei nomi Netkairo, Jonyloleante e Ostiator, hanno avuto un fremito d'ira e si sono così traditi. Gettando al vento la prudenza, Netkairo s'è collegato a Mariposa direttamente dal proprio computer di casa, senza passare dal segreto pertugio della VPN, lasciando così una traccia per i segugi. Ha lanciato un ultimo incantesimo, un Denial of Service, contro uno dei suoi nemici, usando tutti i computer zombi che riusciva ancora a comandare, paralizzando numerose università e istituzioni del Canada.

Ma invano. Le Forze del Bene e dell'Ordine hanno cambiato i record DNS, bloccando Mariposa, e solo allora si sono accorti che gli zombi sotto il comando della malefica triade erano oltre dodici milioni. Un esercito mai visto prima.

Il 3 febbraio scorso la Guardia Civil ha arrestato uno dei crudeli padroni di Mariposa, Netkairo, che si è rivelato essere un trentunenne spagnolo, e poco dopo ha acciuffato i suoi due compari. Sul computer di Netkairo c'erano le password, i numeri di carte di credito e i nomi di oltre 800.000 utenti. Ma la sorpresa più grande è che i tre furfanti non erano maghi del computer: avevano semplicemente comperato al mercato nero gli ingredienti già pronti per creare Mariposa. Erano tre dilettanti.

Se volete sapere se anche voi, senza accorgervene, eravate fra gli zombi degli apprendisti stregoni di Mariposa, non dovete far altro che usare un antivirus aggiornato sul vostro PC. E vivere per sempre felici e contenti. Fino alla prossima infezione.

Fonti: The Register, Panda Labs, Findlaw.com.

Truffa telefonica sulle carte di credito "garantita" dalla Banca d'Italia

Risale a settembre del 2008 ma è riemersa di colpo in questi giorni, a giudicare dalle segnalazioni, l'appello che mette in guardia contro un tentativo di truffa che usa un trucco psicologico per rubarvi al telefono i codici della carta di credito.

Il meccanismo della truffa è reale, ma l'appello non è affatto garantito dalla Royal Bank of Canada o dalla Banca d'Italia. Se v'interessano i dettagli, sono nell'indagine antibufala originale che ho appena finito di aggiornare.

Questo articolo vi arriva grazie alle gentili donazioni di “masdemma” e “vdemontis”. L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2010/02/18.

Quando andavo a scuola io, non facevamo ricerche così divertenti. Un gruppo di ricercatori dell'Università di Cambridge ha scoperto una falla ridicolmente facile da usare nel sistema di gestione "chip and pin" delle transazioni effettuate con carte di credito nei terminali dei negozi.

Secondo Ross Anderson, del Cambridge University Computer Laboratory, si tratta di "uno dei difetti più grandi mai scoperto nei sistemi di pagamento... in un sistema usato da centinaia di milioni di persone, decine di migliaia di banche e milioni di punti vendita".

La falla permette al malfattore di usare una carta di credito rubata senza conoscerne il PIN. Il metodo, di cui non sono stati divulgati tutti i dettagli per ovvie ragioni, sembra essere un man in the middle: la carta rubata viene inserita in un lettore portatile collegato a un laptop sul quale gira un programma apposito scritto dai ricercatori di Cambridge. Il tutto è nascosto in un piccolo zaino, dal quale esce un cavetto, che viene dissimulato passandolo nella manica del manigoldo. Il cavetto si collega a una finta carta di credito, che è quella che viene infilata nel terminale del negozio al posto di quella vera.

La transazione avviene nel modo normale, avendo l'accortezza di non far notare il cavetto che sporge dalla carta (non è difficile), ma al momento della richiesta del PIN il criminale è libero di digitare quello che preferisce, anche "0000", perché il software e la finta carta fanno credere al terminale che sia stato immesso il codice corretto. La ricevuta riporta l'indicazione che la transazione è stata verificata tramite PIN.

Il programma Newsnight della BBC ha realizzato un video in cui mostra  questo trucco all'opera, naturalmente in condizioni controllate e con tutti i permessi del caso. Ha funzionato con due carte di credito e due di debito di quattro diversi istituti di credito britannici. Gli istituti, interpellati dalla BBC, hanno sottolineato che si tratta di un problema che riguarda l'intero settore e non è colpa di un singolo operatore e da quanto dicono sembra di capire che stiano già lavorando alla soluzione.

Ora resta da chiarire se il problema si estende anche alle carte di credito non britanniche. Considerato che le carte di credito estere funzionano anche nel Regno Unito, la cosa sembra altamente probabile. Un rimedio possibile è disporre il terminale di lettura delle carte in modo che il malfattore non possa dissimulare il cavetto coprendolo con la manica del maglione o della giacca.

Aggiornamento 2010/02/18

La bozza dell'articolo dei ricercatori dell'Università di Cambridge è scaricabile qui come PDF.

Allarme per nuova truffa con carta di credito, "garantisce" la Banca d'Italia

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Sta circolando da qualche tempo via e-mail una nuova segnalazione di pericolo riguardante le carte di credito, apparentemente garantita dalla Banca d'Italia e dalla Royal Bank of Canada: una volta tanto, non c'entra il loro uso su Internet, già attorniato da tali e tante paure da aver soffocato il commercio elettronico, ma una forma di truffa puramente telefonica.

L'appello ha un fondo di verità: il pericolo descritto è reale, ma i suoi garanti sono fasulli o involontari.

Ecco qui sotto un esempio dell'e-mail di allerta che sta circolando: le evidenziazioni e omissioni sono mie.

Sent: Tuesday, August 19, 2008 9:55 AM
Subject: Fw: NUOVA TRUFFA CON CARTE DI CREDITO

INOLTRIAMOLA A QUANTE PIU' PERSONE CONOSCIAMO, NE VA DELLA SICUREZZA DI TUTTI!

Da:

Una delle più importanti banche del Canada (più precisamente la Royal Bank of Canada) sta allertando tutti i propri clienti circa una nuova truffa ai danni di possessori di carte di credito (VISA, Mastercard, etc.) che si sta allargando a tutto il continente americano ed è molto prevedibile che prestissimo raggiungerà l'Europa...
OCCHIO, RAGAZZI !!!

La truffa si sta diffondendo dal Canada con velocità impressionante.
In particolare si tratta di un modo piuttosto furbo per truffare i possessori di carte di credito, poiché questi bastardi hanno già i numeri di serie della carte e quindi NON VI CHIEDONO IL NUMERO DI SERIE DELLA VOSTRA.

Questa mail potrà essere molto utile in quanto una volta capito come funziona la truffa sarete preparati e protetti dal pericolo.

Funziona cosí.

La persona vi chiamerà al telefono dicendo:
"Buongiorno, mi chiamo (Nome e Cognome) e La sto chiamando dall'ufficio antifrodi della VISA (oppure Mastercard, American Express, ecc.).
La mia matricola di funzionario VISA è la 12460.
Le telefono perché la Sua carta è stata segnalata dal nostro sistema di sicurezza per aver fatto un acquisto insolito e io sono qui per verificare insieme a Lei se si tratta di qualcosa di illegale oppure no.
Guardi, si tratta della Sua carta di credito VISA emessa dalla Banca.........
( vi dirà il nome della Vostra Banca)
Lei ha per caso acquistato recentemente dei biglietti aerei (o qualsiasi altra cosa) per 497.99 dollari (oppure Euro) da una società via Internet che ha sede in ....... ?"

Mentre voi risponderete di no, il falso funzionario continuerà dicendo:

"Guardi, Le spiego brevemente, si tratta di una società che stiamo tenendo d'occhio poiché effettua degli addebiti tra 297 e 497 dollari (Euro) per volta e restando sotto i 500 dollari non è facilmente controllabile, dato il gran numero di transazioni che effettua ogni giorno in tutto il mondo.
Ad ogni modo, se Lei mi conferma di non aver effettuato con la sua carta nessun acquisto Internet per biglietti aerei di questo importo, con il suo aiuto abbiamo potuto appurare che si tratta di un tentativo di frode e così questa somma Lei la vedrà addebitata sull'estratto conto del mese ma le verrà contemporaneamente eseguito lo storno per lo stesso importo non dovuto, così alla fine il saldo sarà pari.
L'estratto conto verrà inviato come al solito al Suo indirizzo che ci risulta essere Via........., è corretto ?"

E voi direte ovviamente di sì...

Allora lui/lei continuerà dicendo:

"Ok, a questo punto apro una pratica interna antifrode. Se Lei avesse qualsiasi domanda o chiarimento da chiederci, chiami il nostro numero verde 800 ........ e chieda dell'ufficio antifrodi Internet: quando un mio collega le risponderà, abbia cura di dargli il codice di questa pratica che è il .............. (vi darà un numero a sei cifre) così che potrà rispondere a tutte le sue domande. Ha annotato il codice della pratica? Vuole che glielo ripeta?"

A questo punto inizia la parte IMPORTANTE della truffa.

il falso funzionario vi dirà:
"un'ultima cosa ancora. Avrei bisogno di verificare se lei è davvero in possesso della sua carta: ce l'ha in mano in questo momento ?
Ok, allora dia uno sguardo ai numeri che trova sul retro: se guarda bene vedrà due numeri, uno di quattro cifre che è una parte del numero di serie della carta e l'altro di tre cifre (Codice di Sicurezza) che dimostra che Lei è in possesso della carta.
Queste ultime tre cifre sono quelle che vengono normalmente utilizzate per gli acquisti via Internet, poiché sono la prova che Lei possiede fisicamente la carta.
Me li può leggere per favore ?"
Una volta che glieli avrete letti, lui dirà:
"Ok, codice corretto. Avevo solo bisogno della prova che la carta non fosse stata persa o rubata e che ne eravate ancora fisicamente in possesso.
Ha qualche altra domanda da farmi ?"
Dopo che voi avete risposto di no, lui risponderà:
"Molto bene, La ringrazio della collaborazione.
In ogni caso non esiti a contattarci per qualsiasi necessità: buongiorno."
E metterà giù il telefono.

Da parte vostra vi sentirete sollevati... hanno tentato di truffarvi, ma il solerte servizio antifrodi della VISA vi ha salvati in tempo.
In fondo non gli avete detto quasi niente di importante e lui non vi ha mai chiesto il numero della carta...

INVECE HA GIA' INCASSATO I VOSTRI SOLDI !

Già, perché gli avete letto i tre numeri del codice di sicurezza e CERTAMENTE li ha già usati per addebitare la vostra carta.

Infatti quello che i truffatori vogliono è proprio il codice di sicurezza a tre cifre sul retro della carta: gli altri dati se li erano già procurati, compreso il titolare, la data di emissione, di scadenza, il numero di serie della carta e persino il vostro indirizzo....
Mancava solo il codice di sicurezza !

Se vi dovessero chiamare con le modalità appena descritte, non date nessun riferimento e ditegli che chiamerete direttamente la VISA (oppure Mastercard, ecc.) per la verifica della conversazione:
le società che emettono le carte di credito NON VI CHIEDERANNO MAI DEI CODICI:LORO LI CONOSCONO PRIMA DI VOI !!!

Per favore, diffondete queste informazioni ai vostri familiari ed amici.

Manuela Russo

Banca d'Italia
Servizio Informazioni Sistema Creditizio
Largo Guido Carli, 1
00044 Vermicino - Frascati (Roma)

tel. +39.06.[omissis]
fax +39.06.[omissis]
[e-mail omesso]

I consigli dati dall'e-mail sono in sé validi: è indubbiamente pericolosissimo rivelare i codici sul retro della carta a sconosciuti che ci chiamano al telefono. Ma come farebbe un truffatore ad avere il numero di telefono del titolare della carta?

Procurarsi un numero di carta di credito non è difficile: basta sbirciare la carta di qualcuno al supermercato o in un negozio oppure usare un generatore di numeri di carta di credito (esistono programmi gratuiti che lo fanno). Anche il nome e cognome associati a quel numero sono abbastanza facili da ottenere, sempre sbirciando la carta o la sua ricevuta, nel caso di quelle a carta carbone che ancora si trovano in giro.

Ma da lì ad arrivare al numero di telefono, se il nome del titolare non è particolarmente raro (ehm), è piuttosto improbabile. In che città? In che stato?

In effetti esiste almeno un modo per ottenere tutte queste informazioni, e l'ho sperimentato personalmente, ma mi pare improbabile che si possa usarlo per truffe su vasta scala.

Ricordo infatti di essermi seduto nell'atrio di un bell'albergo in Inghilterra, qualche anno fa, dove un gentilissimo signore riceveva per telefono le prenotazioni e i relativi pagamenti. Per assicurarsi di avere i dati giusti (nome, cognome, carta di credito), li ripeteva al cliente. Ad alta voce. Naturalmente presi nota, puramente a titolo dimostrativo, e verificai che i dati erano validi. E lì mi fermai, prima che vi vengano idee strane.

Presso il sito della Royal Bank of Canada non ho trovato alcuna indicazione di quest'allarme, e il numero della Banca d'Italia citato come "garante" dell'allarme sembra valido. Ho contattato l'ufficio stampa della Banca d'Italia per avere maggiori dettagli e sono in attesa di risposta.

2010/02/13

Riprendo in mano quest'indagine perché a distanza di due anni l'appello continua a circolare. La Banca d'Italia non ha mai risposto. Tuttavia attraverso canali informali ho ricevuto conferma che nel 2008 esisteva realmente una Manuela Russo presso il Servizio Informazioni Sistema Creditizio ma non si occupava professionalmente di truffe tramite carte di credito. L'indirizzo postale mi è stato confermato come corretto.

Alcuni lettori mi hanno segnalato di aver contattato via mail la Russo, ottenendo una risposta che avvisa che l'appello in questione sta girando con i suoi riferimenti "in maniera del tutto arbitraria". La Russo ha dichiarato di non aver "mai scritto né diffuso questa mail". Un altro lettore segnala di aver scambiato mail con la Russo, che ha detto di aver ricevuto l'appello da "un [suo] amico poliziotto" e di averlo girato "all'interno dell'istituto" commettendo lo sbaglio di "dimenticare di togliere la firma che appare in automatico".

Sulla base di questi dati un po' contraddittori, sospetto che si tratti di un semplice garante involontario: una persona che ha ricevuto l'appello e l'ha inoltrato ad amici e colleghi per poi magari dimenticarsene, senza rendersi conto che gli estremi del proprio posto di lavoro, riportati in calce all'appello inoltrato, sono pertinenti all'argomento dell'appello e quindi sembrano essere una sua autenticazione autorevole.

Un altro esempio di garante involontario è la versione di quest'appello che circola "firmata" con gli estremi di un luogotenente del Nucleo Polizia Tributaria di Ferrara e diffusa da un mittente che risulta associato alla Guardia di Finanza.

Questo genere di invio di catene di sant'Antonio dall'indirizzo di mail del posto di lavoro causa spesso imbarazzi al datore di lavoro e guai alla persona citata come mittente. Di conseguenza è da evitare la loro diffusione, per non perpetuare il disagio delle organizzazioni e persone coinvolte. Questo non toglie che in questo specifico caso la sostanza dell'appello sia valida.