Skimmer virtuali sempre più diffusi, a rischio i dati delle carte di credito



[ZEUS News - www.zeusnews.it - 27-11-2019]

skimmer virtuali

Chi usa le carte per i pagamenti e i prelievi sa che deve stare attento agli skimmer, apparecchi spesso mascherati da legittimi lettori (a volte sostituendo quelli dei Bancomat) che carpiscono i dati delle tessere, leggendoli dai chip o dalle bande magnetiche, per poi consegnarli a ladri e truffatori.

Fino a oggi, quello qui descritto era un pericolo limitato al solo mondo reale. Da qualche tempo in qua però stanno apparendo gli skimmer virtuali, che spesso fanno leva sulla fiducia degli utenti verso la sempre più diffusa autenticazione a due fattori.

Oggigiorno molte carte di credito offrono una sicurezza aggiuntiva per l'utente sotto forma di OTP, un codice valido una volta sola inviato via SMS al cellulare.

Quando si fa un acquisto, si inseriscono i dati della carta nel sito del venditore; quindi si viene rediretti su una pagina gestita dalla banca (o comunque dall'ente che ha emesso la carta) in cui inserire il codice OTP, per poi tornare al sito del venditore. In altri casi, soprattutto nei casi dei siti più piccoli, è l'intero pagamento che viene operato tramite una pagina gestita dalla banca stessa.

È in questo passaggio che si inserisce lo skimmer virtuale. Chi mette in atto la truffa deve innanzitutto violare il sito del venditore, aggiungendovi un particolare codice tramite il quale, anziché rinviare l'utente alla legittima pagina della banca per il pagamento, lo rimanda a una pagina che le somiglia soltanto (per quanto la somiglianza sia davvero notevole).

L'aspetto inganna l'utente, che è convinto di trovarsi davanti alla solita schermata in cui deve inserire i suoi dati, e così procede. Sfortunatamente, li sta invece consegnando all'ideatore della truffa, che si trova così in possesso di tutte le informazioni necessarie per usare a proprio piacimento la carta di credito.

Tutto ciò non è solo teoria. È già stato messo in pratica ai danni di un sito australiano (un negozio online costruito con il CMS Prestashop) che si appoggia alla Commonwealth Bank per la gestione del pagamento.

Il sito è stato violato e il codice aggiunto è stato non solo cifrato, ma fatto passare per una libreria di Google Analytics, così che non fosse immediatamente individuato a una prima occhiata.

Poi è stata creata una pagina del tutto identica a quella della Commonwealth Bank per l'inserimento dei dati della carta di credito; quando l'utente inseriva i dati, questi venivano consegnati all'hacker autore di tutto ciò; poi il browser veniva portato alla pagina corretta, quella della banca, per completare il pagamento dell'acquisto, così da minimizzare i sospetti (a parte la necessità di inserire nuovamente i dati della carta).

Se per difendersi da uno skimmer fisico, come quello che può capitare di trovare applicato ai Bancomat, è sufficiente provare a smuovere il lettore, difendersi da uno skimmer virtuale è un po' meno immediato: bisogna innanzitutto verificare l'URL della pagina di gestione del pagamento, e accertarsi che appartenga alla società che ha emesso la carta e non sia semplicemente simile a esso.

Cloned CommWeb paytment page
La pagina clonata della Commonwealth Bank a confronto con l'originale

A titolo di esempio, di seguito riportiamo una lista di URL che sembrano legittimi, ma sono in realtà indirizzi fasulli e fraudolenti:

- payment-mastercard.com
- google-query.com
- google-analytics.top
- google-smart.com
- google-smart.com
- google-payment.com
- jquery-assets.com
- sagepay-live.com
- google-query.com
- payment-sagepay.com
- payment-worldpay.com

In caso di dubbio, è sempre bene telefonare al supporto tecnico del servizio: meglio una verifica in più che rimanere vittime di un raggiro.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Apple Card, c'è già la prima truffa
Come rubare 1300 carte di credito senza usare hardware
Il lettore che ti clona la carta di credito
Rubare soldi al bancomat con l'iPod Nano
Hackerano il Bancomat con chiavetta USB
Le più grandi truffe del Bancomat
Verizon: attenti ai bancomat e alle pompe di benzina
Ennesima truffa ai bancomat, pochi spiccioli per volta
Aumentano i bancomat frodati con lo "skimming"

Commenti all'articolo (ultimi 5 di 8)

Proprio questo dovrebbe far venire immediatamente il dubbio. In questo caso però il furto dei dati è già avvenuto ma almeno si può bloccare immediatamente la carta di credito. In ogni caso se è abilitata un'autenticazione a due fattori con codice OTP quest'ultimo verrà chiesto solo dal sito legittimo della banca o del gestore della... Leggi tutto
1-12-2019 17:55

Infatti l'articolo fa un po' di confusione. OTP non c'entra nulla con il caso in questione, infatti i moduli di immissione mostrati non hanno neanche un campo per inserire un OTP. Comunque se ti rubano i dati della carta, possono sempre comprare roba online da molti siti che passano per sistemi di pagamento senza OTP. Leggi tutto
28-11-2019 19:28

La soluzione per gli acquisti online è semplicissima: carta virtuale. Me ne creo qualcuna con nomi di fantasia e pre-autorizzo il singolo acquisto. Se poi al ladro piace la carta di Mario Rossi, numero 1234 5678 ecc..funzionante solo quando la preautorizzo io e per l'importo che preautorizzo io, che la rubi pure. Per chi non sapesse... Leggi tutto
28-11-2019 11:14

ma i dati relative alle credenziali della carta per i pagamento non viaggiano crittografati ?
27-11-2019 13:39

{Ruzzolo}
Quanto ci mette Google a trovare tutte le pagine che contengono quelle URL fraudolente? e' cosi' difficile trovarle?
27-11-2019 09:33

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Considerando costi, tempi di realizzazione e possibili conseguenze, su quale fonte di energia alternativa ai combustibili fossili bisognerebbe maggiormente puntare?
Solare
Eolica
Geotermica
Biomasse
Idrogeno
Nucleare
Idroelettrica

Mostra i risultati (6452 voti)
Dicembre 2019
Aggiornare gratis a Windows 10 si può ancora, ecco come
Scovare il Product Key di Windows usando solo il sistema operativo
Novembre 2019
WhatsApp, arrivano i messaggi che si autodistruggono
Skimmer virtuali sempre più diffusi, a rischio i dati delle carte di credito
Il pickup elettrico di Tesla debutta con una figuraccia
Falla nell'app fotocamera di Android, milioni di smartphone a rischio
Windows 10, iniziano gli aggiornamenti forzati
Facebook attiva di nascosto la fotocamera dell'iPhone
Apple, deciso in una riunione segreta il dispositivo che sostituirà l'iPhone
Bug in Firefox, truffatori già all'opera
Quattordicenne risolve il problema dei punti ciechi nelle auto
Ottobre 2019
Il grande database della cacca cerca volontari
Google, i domini .new diventano scorciatoie
Wind Tre, con l'anno nuovo aumentano le bollette
Omessa custodia del cellulare, sanzionata l'insegnante del post anti-Arma
Tutti gli Arretrati


web metrics