Un blog di Paolo Attivissimo, giornalista informatico e cacciatore di bufale
Informativa privacy e cookie: Questo blog include cookie di terze parti. Non miei (dettagli)
Prossimi eventi pubblici – Sostegno a questo blog – Sci-Fi Universe
Cerca nel blog
Visualizzazione post con etichetta frode informatica. Mostra tutti i post
Visualizzazione post con etichetta frode informatica. Mostra tutti i post
2020/05/15
Autenticazione a due fattori in Call of Duty: Warzone blocca non solo i furti di account ma anche i bari
L’autenticazione a due fattori (2FA) fatica a prendere piede, un po’ per via del suo nome polisillabico e poco accattivante ma anche perché viene proposta soltanto (si fa per dire) come soluzione di sicurezza per evitare il furto di account e molti utenti non prendono sul serio l’idea di poter essere derubati del proprio account.
Ma la 2FA ha anche un altro vantaggio decisamente utile: come racconta Motherboard, è utile anche per bloccare i cheater, i bari dei videogiochi.
Activision, l’azienda che pubblica Call of Duty: Warzone (creato dalla software house Infinity Ward), sta obbligando i giocatori a usare la 2FA per autenticarsi dando un numero di telefono cellulare per poter accedere al gioco. Questo rende molto difficile la vita ai cheater che approfittavano del fatto che COD:W è gratuito per creare tantissimi account, in modo da poter rientrare nel gioco dopo essere stati bannati per aver barato, per esempio vedendo gli altri giocatori attraverso i muri. Il mese scorso sono stati bannati ben 70.000 cheater.
Ovviamente i cheater, invece di accettare che barare a un gioco è meschino e disonesto, si sono lamentati di questa novità. Esistono modi per avere numeri di telefonino temporanei usa e getta, ma richiedono tempo e fatica, per cui sono comunque un ottimo deterrente. Come effetto secondario, l’introduzione della 2FA rende anche maggiore la protezione dell’account del giocatore.
Ma la 2FA ha anche un altro vantaggio decisamente utile: come racconta Motherboard, è utile anche per bloccare i cheater, i bari dei videogiochi.
Activision, l’azienda che pubblica Call of Duty: Warzone (creato dalla software house Infinity Ward), sta obbligando i giocatori a usare la 2FA per autenticarsi dando un numero di telefono cellulare per poter accedere al gioco. Questo rende molto difficile la vita ai cheater che approfittavano del fatto che COD:W è gratuito per creare tantissimi account, in modo da poter rientrare nel gioco dopo essere stati bannati per aver barato, per esempio vedendo gli altri giocatori attraverso i muri. Il mese scorso sono stati bannati ben 70.000 cheater.
Ovviamente i cheater, invece di accettare che barare a un gioco è meschino e disonesto, si sono lamentati di questa novità. Esistono modi per avere numeri di telefonino temporanei usa e getta, ma richiedono tempo e fatica, per cui sono comunque un ottimo deterrente. Come effetto secondario, l’introduzione della 2FA rende anche maggiore la protezione dell’account del giocatore.
2010/02/12
Come scavalcare il PIN nelle carte di credito
Questo articolo vi arriva grazie alle gentili donazioni di “masdemma” e “vdemontis”. L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2010/02/18.
Quando andavo a scuola io, non facevamo ricerche così divertenti. Un gruppo di ricercatori dell'Università di Cambridge ha scoperto una falla ridicolmente facile da usare nel sistema di gestione "chip and pin" delle transazioni effettuate con carte di credito nei terminali dei negozi.
Secondo Ross Anderson, del Cambridge University Computer Laboratory, si tratta di "uno dei difetti più grandi mai scoperto nei sistemi di pagamento... in un sistema usato da centinaia di milioni di persone, decine di migliaia di banche e milioni di punti vendita".
La falla permette al malfattore di usare una carta di credito rubata senza conoscerne il PIN. Il metodo, di cui non sono stati divulgati tutti i dettagli per ovvie ragioni, sembra essere un man in the middle: la carta rubata viene inserita in un lettore portatile collegato a un laptop sul quale gira un programma apposito scritto dai ricercatori di Cambridge. Il tutto è nascosto in un piccolo zaino, dal quale esce un cavetto, che viene dissimulato passandolo nella manica del manigoldo. Il cavetto si collega a una finta carta di credito, che è quella che viene infilata nel terminale del negozio al posto di quella vera.
La transazione avviene nel modo normale, avendo l'accortezza di non far notare il cavetto che sporge dalla carta (non è difficile), ma al momento della richiesta del PIN il criminale è libero di digitare quello che preferisce, anche "0000", perché il software e la finta carta fanno credere al terminale che sia stato immesso il codice corretto. La ricevuta riporta l'indicazione che la transazione è stata verificata tramite PIN.
Il programma Newsnight della BBC ha realizzato un video in cui mostra questo trucco all'opera, naturalmente in condizioni controllate e con tutti i permessi del caso. Ha funzionato con due carte di credito e due di debito di quattro diversi istituti di credito britannici. Gli istituti, interpellati dalla BBC, hanno sottolineato che si tratta di un problema che riguarda l'intero settore e non è colpa di un singolo operatore e da quanto dicono sembra di capire che stiano già lavorando alla soluzione.
Ora resta da chiarire se il problema si estende anche alle carte di credito non britanniche. Considerato che le carte di credito estere funzionano anche nel Regno Unito, la cosa sembra altamente probabile. Un rimedio possibile è disporre il terminale di lettura delle carte in modo che il malfattore non possa dissimulare il cavetto coprendolo con la manica del maglione o della giacca.
La bozza dell'articolo dei ricercatori dell'Università di Cambridge è scaricabile qui come PDF.
Quando andavo a scuola io, non facevamo ricerche così divertenti. Un gruppo di ricercatori dell'Università di Cambridge ha scoperto una falla ridicolmente facile da usare nel sistema di gestione "chip and pin" delle transazioni effettuate con carte di credito nei terminali dei negozi.
Secondo Ross Anderson, del Cambridge University Computer Laboratory, si tratta di "uno dei difetti più grandi mai scoperto nei sistemi di pagamento... in un sistema usato da centinaia di milioni di persone, decine di migliaia di banche e milioni di punti vendita".
La falla permette al malfattore di usare una carta di credito rubata senza conoscerne il PIN. Il metodo, di cui non sono stati divulgati tutti i dettagli per ovvie ragioni, sembra essere un man in the middle: la carta rubata viene inserita in un lettore portatile collegato a un laptop sul quale gira un programma apposito scritto dai ricercatori di Cambridge. Il tutto è nascosto in un piccolo zaino, dal quale esce un cavetto, che viene dissimulato passandolo nella manica del manigoldo. Il cavetto si collega a una finta carta di credito, che è quella che viene infilata nel terminale del negozio al posto di quella vera.
La transazione avviene nel modo normale, avendo l'accortezza di non far notare il cavetto che sporge dalla carta (non è difficile), ma al momento della richiesta del PIN il criminale è libero di digitare quello che preferisce, anche "0000", perché il software e la finta carta fanno credere al terminale che sia stato immesso il codice corretto. La ricevuta riporta l'indicazione che la transazione è stata verificata tramite PIN.
Il programma Newsnight della BBC ha realizzato un video in cui mostra questo trucco all'opera, naturalmente in condizioni controllate e con tutti i permessi del caso. Ha funzionato con due carte di credito e due di debito di quattro diversi istituti di credito britannici. Gli istituti, interpellati dalla BBC, hanno sottolineato che si tratta di un problema che riguarda l'intero settore e non è colpa di un singolo operatore e da quanto dicono sembra di capire che stiano già lavorando alla soluzione.
Ora resta da chiarire se il problema si estende anche alle carte di credito non britanniche. Considerato che le carte di credito estere funzionano anche nel Regno Unito, la cosa sembra altamente probabile. Un rimedio possibile è disporre il terminale di lettura delle carte in modo che il malfattore non possa dissimulare il cavetto coprendolo con la manica del maglione o della giacca.
Aggiornamento 2010/02/18
La bozza dell'articolo dei ricercatori dell'Università di Cambridge è scaricabile qui come PDF.
Labels:
carte di credito,
frode informatica,
sicurezza,
truffe
Iscriviti a:
Post (Atom)