Il furto automatico del PIN della carta di credito

Vi siete mai imbattuti in un caso di furto automatico di PIN di validazione acquisti online?



[ZEUS News - www.zeusnews.it - 05-10-2020]

fortinet2020

Ho a che fare con un caso insolito di furto di denaro tramite carta di credito. La vittima è stata attirata con l'inganno su un sito di phishing, che ha visitato con il proprio iPhone (recente e aggiornato). Ha immesso nel sito il numero e il CVV della carta. Già così è una brutta situazione, lo so.

Ma il suo conto bancario è protetto da un sistema di sicurezza che include un SMS di verifica contenente un PIN usa e getta, per cui la transazione fraudolenta non può andare in porto se non viene digitato questo PIN.

Qui sta il mistero: l'SMS è arrivato alla vittima, che giura di non averlo digitato, ma la transazione è stata completata lo stesso come se il PIN fosse stato immesso manualmente. Alla società che gestisce la carta di credito risulta che il PIN sia stato immesso e quindi la transazione è andata in porto: i truffatori hanno rubato il denaro dalla carta della vittima e la banca si è rifiutata di risarcire perché stando ai suoi log la vittima ha usato l'SMS di validazione.

Subito dopo è arrivata una seconda transazione fraudolenta, con relativo PIN proveniente dalla società emettitrice della carta di credito, ma i truffatori non sono riusciti a prelevare altro denaro perché nel frattempo la società emettritrice aveva bloccato la carta.

L'ipotesi prevalente, per ora, è che il sito dei truffatori contenesse del software per leggere gli SMS ricevuti dalla vittima, forse usando la funzione OTP Autofill, come quando ci si iscrive ad alcuni social network e il PIN di autenticazione viene letto automaticamente dall'app del social network.

Se avete teorie migliori, segnalatele nei commenti. Grazie!

Stanno già arrivando le prime ipotesi:

twitter sms

Questo è riferito a questa funzione:

batman

Dai commenti cito questo articolo di Benthamsgaze che parla del Security Code AutoFill di iOS 12 e segnala la pericolosità degli SMS di autenticazione per le transazioni:

SMS based OTP, whether used for 2FA or transaction authentication, has been criticised for not being the most secure choice of technology. For example, in recent years the National Institute of Standards and Technology (NIST) initially publicly criticised SMS as a communication medium for secure authentication, labelling it as insecure and unsuitable for strong authentication. However more recently, they have softened their language and instead deprecated SMS 2FA. Yet, it’s still considered secure enough to be used for Strong Customer Authentication under the new EU Payment Service Directive 2.

[...] Examples in which Security Code AutoFill could pose a risk to online banking security include a Man-in-the-Middle attack on the user accessing online banking from Safari on their MacBook, injecting the required input field tag if necessary, or where a malicious website or app accesses the bank’s legitimate online banking service.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (ultimi 5 di 10)

{Wiz}
Quello delle otp pregenerate era un sistema usato da alcune banche tempo fa (es: banca sella - dicendo 20 anni fa penso ti riferisca proprio a questa, dato che a quel tempo non c'era molta varietà in italia). Non so se ora usino ancora quel sistema, non mi è più capitato di lavorarci. Le otp per la verifica al... Leggi tutto
12-10-2020 17:42

guarda, magari oggi le cose sono diverse, ma una volta (io ci ho lavorato venti anni fa...) le OTP erano 'pre-generate', quindi non hanno a che vedere con la transazione in sé, ma vi vengono accoppiate al momento dell'utilizzo. Però, ripeto, oggi potrebbe essere diverso e potrebbe anche essere un processo fallato, per quanto ne dubito... Leggi tutto
12-10-2020 12:12

{Wiz}
La questione di base è che non esistono sistemi di autenticazione unici sicuri ed efficaci al 100 per cento. Quello che si può fare è aggiungere fattori al processo, con l'intento di rendere più complicata la vita di chi attacca. Più complicata, ma non impossibile: un sistema sicuro al 100 per... Leggi tutto
9-10-2020 22:58

Sarà che sono malfidato e che sono affetto da dietrologia... Confesso che sulla modalità con cui la faccenda potrebbe essere stata attuatata non ci capisco nulla, e che anche molti dei commenti precedenti per me sono abbastanza oscuri, credo dovrò rileggermeli qualche altra volta. Ma personalmente mi colpisce una questione... Leggi tutto
9-10-2020 16:20

{Wiz}
E' probabile che ci fosse una seconda pagina per inserire la otp per simulare una procedura standard, ma che fosse coinvolta attivamente nel giro della truffa lo ritengo poco probabile, considerando la sequenza di eventi descritta nell'articolo. Si parla di una seconda transazione, non generata dall'utente. Se... Leggi tutto
7-10-2020 12:19

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Secondo te quale di queste previsioni si realizzerà per prima?
La maggior parte degli acquisti avverrà attraverso il web.
Ci sarà in media uno smartphone per ogni abitante del pianeta.
Le aziende utilizzeranno Facebook e Twitter come mezzo principale di assistenza ai clienti.
La maggior parte dei nostri dati saranno sul cloud, non sui nostri Pc.
La maggior parte degli utenti accederanno al web tramite rete mobile.

Mostra i risultati (2148 voti)
Ottobre 2020
Gasolio addio, FS vuole i treni a idrogeno
Windows 10, guai a catena dopo l'ultimo aggiornamento
Windows 10, Pc riavviati a forza per installare le web app di Office
Quel motivetto che hai in testa? Se lo fischietti, Google lo indovina
YouTube pronta a far guerra ad Amazon
Le cipolle troppo sexy per Facebook
Smishing, i consigli per non cadere nel tranello
Arrestato per recensioni online negative di un albergo
Windows 10, arriva l'installazione personalizzata
Il sito che installa tutte le app essenziali per Windows 10
Covid-19, casi sottostimati per colpa di Excel
Il furto automatico del PIN della carta di credito
Windows 10 avvisa l'utente se un SSD sta per morire
Windows 10 e i driver che vengono dal passato
Settembre 2020
Se tutte le auto fossero elettriche, quanta energia in più servirebbe?
Tutti gli Arretrati


web metrics