Skimmer virtuali sempre più diffusi, a rischio i dati delle carte di credito



[ZEUS News - www.zeusnews.it - 27-11-2019]

skimmer virtuali

Chi usa le carte per i pagamenti e i prelievi sa che deve stare attento agli skimmer, apparecchi spesso mascherati da legittimi lettori (a volte sostituendo quelli dei Bancomat) che carpiscono i dati delle tessere, leggendoli dai chip o dalle bande magnetiche, per poi consegnarli a ladri e truffatori.

Fino a oggi, quello qui descritto era un pericolo limitato al solo mondo reale. Da qualche tempo in qua però stanno apparendo gli skimmer virtuali, che spesso fanno leva sulla fiducia degli utenti verso la sempre più diffusa autenticazione a due fattori.

Oggigiorno molte carte di credito offrono una sicurezza aggiuntiva per l'utente sotto forma di OTP, un codice valido una volta sola inviato via SMS al cellulare.

Quando si fa un acquisto, si inseriscono i dati della carta nel sito del venditore; quindi si viene rediretti su una pagina gestita dalla banca (o comunque dall'ente che ha emesso la carta) in cui inserire il codice OTP, per poi tornare al sito del venditore. In altri casi, soprattutto nei casi dei siti più piccoli, è l'intero pagamento che viene operato tramite una pagina gestita dalla banca stessa.

È in questo passaggio che si inserisce lo skimmer virtuale. Chi mette in atto la truffa deve innanzitutto violare il sito del venditore, aggiungendovi un particolare codice tramite il quale, anziché rinviare l'utente alla legittima pagina della banca per il pagamento, lo rimanda a una pagina che le somiglia soltanto (per quanto la somiglianza sia davvero notevole).

L'aspetto inganna l'utente, che è convinto di trovarsi davanti alla solita schermata in cui deve inserire i suoi dati, e così procede. Sfortunatamente, li sta invece consegnando all'ideatore della truffa, che si trova così in possesso di tutte le informazioni necessarie per usare a proprio piacimento la carta di credito.

Tutto ciò non è solo teoria. È già stato messo in pratica ai danni di un sito australiano (un negozio online costruito con il CMS Prestashop) che si appoggia alla Commonwealth Bank per la gestione del pagamento.

Il sito è stato violato e il codice aggiunto è stato non solo cifrato, ma fatto passare per una libreria di Google Analytics, così che non fosse immediatamente individuato a una prima occhiata.

Poi è stata creata una pagina del tutto identica a quella della Commonwealth Bank per l'inserimento dei dati della carta di credito; quando l'utente inseriva i dati, questi venivano consegnati all'hacker autore di tutto ciò; poi il browser veniva portato alla pagina corretta, quella della banca, per completare il pagamento dell'acquisto, così da minimizzare i sospetti (a parte la necessità di inserire nuovamente i dati della carta).

Se per difendersi da uno skimmer fisico, come quello che può capitare di trovare applicato ai Bancomat, è sufficiente provare a smuovere il lettore, difendersi da uno skimmer virtuale è un po' meno immediato: bisogna innanzitutto verificare l'URL della pagina di gestione del pagamento, e accertarsi che appartenga alla società che ha emesso la carta e non sia semplicemente simile a esso.

Cloned CommWeb paytment page
La pagina clonata della Commonwealth Bank a confronto con l'originale

A titolo di esempio, di seguito riportiamo una lista di URL che sembrano legittimi, ma sono in realtà indirizzi fasulli e fraudolenti:

- payment-mastercard.com
- google-query.com
- google-analytics.top
- google-smart.com
- google-smart.com
- google-payment.com
- jquery-assets.com
- sagepay-live.com
- google-query.com
- payment-sagepay.com
- payment-worldpay.com

In caso di dubbio, è sempre bene telefonare al supporto tecnico del servizio: meglio una verifica in più che rimanere vittime di un raggiro.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Apple Card, c'è già la prima truffa
Come rubare 1300 carte di credito senza usare hardware
Il lettore che ti clona la carta di credito
Rubare soldi al bancomat con l'iPod Nano
Hackerano il Bancomat con chiavetta USB
Le più grandi truffe del Bancomat
Verizon: attenti ai bancomat e alle pompe di benzina
Ennesima truffa ai bancomat, pochi spiccioli per volta
Aumentano i bancomat frodati con lo "skimming"

Commenti all'articolo (ultimi 5 di 8)

Proprio questo dovrebbe far venire immediatamente il dubbio. In questo caso però il furto dei dati è già avvenuto ma almeno si può bloccare immediatamente la carta di credito. In ogni caso se è abilitata un'autenticazione a due fattori con codice OTP quest'ultimo verrà chiesto solo dal sito legittimo della banca o del gestore della... Leggi tutto
1-12-2019 17:55

Infatti l'articolo fa un po' di confusione. OTP non c'entra nulla con il caso in questione, infatti i moduli di immissione mostrati non hanno neanche un campo per inserire un OTP. Comunque se ti rubano i dati della carta, possono sempre comprare roba online da molti siti che passano per sistemi di pagamento senza OTP. Leggi tutto
28-11-2019 19:28

La soluzione per gli acquisti online è semplicissima: carta virtuale. Me ne creo qualcuna con nomi di fantasia e pre-autorizzo il singolo acquisto. Se poi al ladro piace la carta di Mario Rossi, numero 1234 5678 ecc..funzionante solo quando la preautorizzo io e per l'importo che preautorizzo io, che la rubi pure. Per chi non sapesse... Leggi tutto
28-11-2019 11:14

ma i dati relative alle credenziali della carta per i pagamento non viaggiano crittografati ?
27-11-2019 13:39

{Ruzzolo}
Quanto ci mette Google a trovare tutte le pagine che contengono quelle URL fraudolente? e' cosi' difficile trovarle?
27-11-2019 09:33

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
A inizio millennio per lavorare nella new economy bisognava trasferirsi nelle grandi città, soprattutto Milano. Oggi la banda larga si è diffusa, ci sono nuove piattaforme di collaborazione ed è cambiato l'approccio al lavoro. Alla luce di questo...
Abito in una grande città e qui rimarrò.
Abito in una grande città ma sto valutando di trasferirmi in provincia.
Abito in provincia e non mi sposterò di certo.
Abito in provincia ma sto valutando di trasferirmi in una grande città.
Abitavo in una grande città ma mi sono trasferito in provincia.
Abitavo in provincia ma mi sono trasferito in una grande città.
Città o provincia non fa grande differenza, ma mi sono trasferito (o sto valutando di trasferirmi) all'estero.

Mostra i risultati (1489 voti)
Gennaio 2020
Edge è morto, viva Edge (Chromium)
Il giorno della morte di Windows 7
The New Facebook, il social network cambia pelle
Samsung fa un balzo in avanti con il Galaxy S20
Dicembre 2019
Le peggiori password del 2019
Il chip che realizza la crittografia perfetta a prova di hacker
Apple al lavoro sull'iPhone satellitare
Il water inclinato che impedisce ai dipendenti di stare troppo in bagno
Se i poliziotti vendono nel dark web l'accesso alle telecamere di sicurezza
Il preservativo per i dispositivi USB
Il motorino elettrico di Xiaomi che costa come uno smartphone
Il ransomware che riavvia il PC in modalità provvisoria
Il malware fileless che attacca i Mac
Il software per ricevere gli update di Windows 7 senza pagare
Plex sfida Netflix con migliaia di film e serie TV gratis per tutti
Tutti gli Arretrati


web metrics