Il furto automatico del PIN della carta di credito

Vi siete mai imbattuti in un caso di furto automatico di PIN di validazione acquisti online?



[ZEUS News - www.zeusnews.it - 05-10-2020]

fortinet2020

Ho a che fare con un caso insolito di furto di denaro tramite carta di credito. La vittima è stata attirata con l'inganno su un sito di phishing, che ha visitato con il proprio iPhone (recente e aggiornato). Ha immesso nel sito il numero e il CVV della carta. Già così è una brutta situazione, lo so.

Ma il suo conto bancario è protetto da un sistema di sicurezza che include un SMS di verifica contenente un PIN usa e getta, per cui la transazione fraudolenta non può andare in porto se non viene digitato questo PIN.

Qui sta il mistero: l'SMS è arrivato alla vittima, che giura di non averlo digitato, ma la transazione è stata completata lo stesso come se il PIN fosse stato immesso manualmente. Alla società che gestisce la carta di credito risulta che il PIN sia stato immesso e quindi la transazione è andata in porto: i truffatori hanno rubato il denaro dalla carta della vittima e la banca si è rifiutata di risarcire perché stando ai suoi log la vittima ha usato l'SMS di validazione.

Subito dopo è arrivata una seconda transazione fraudolenta, con relativo PIN proveniente dalla società emettitrice della carta di credito, ma i truffatori non sono riusciti a prelevare altro denaro perché nel frattempo la società emettritrice aveva bloccato la carta.

L'ipotesi prevalente, per ora, è che il sito dei truffatori contenesse del software per leggere gli SMS ricevuti dalla vittima, forse usando la funzione OTP Autofill, come quando ci si iscrive ad alcuni social network e il PIN di autenticazione viene letto automaticamente dall'app del social network.

Se avete teorie migliori, segnalatele nei commenti. Grazie!

Stanno già arrivando le prime ipotesi:

twitter sms

Questo è riferito a questa funzione:

batman

Dai commenti cito questo articolo di Benthamsgaze che parla del Security Code AutoFill di iOS 12 e segnala la pericolosità degli SMS di autenticazione per le transazioni:

SMS based OTP, whether used for 2FA or transaction authentication, has been criticised for not being the most secure choice of technology. For example, in recent years the National Institute of Standards and Technology (NIST) initially publicly criticised SMS as a communication medium for secure authentication, labelling it as insecure and unsuitable for strong authentication. However more recently, they have softened their language and instead deprecated SMS 2FA. Yet, it’s still considered secure enough to be used for Strong Customer Authentication under the new EU Payment Service Directive 2.

[...] Examples in which Security Code AutoFill could pose a risk to online banking security include a Man-in-the-Middle attack on the user accessing online banking from Safari on their MacBook, injecting the required input field tag if necessary, or where a malicious website or app accesses the bank’s legitimate online banking service.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
La truffa del Calendar spam

Commenti all'articolo (ultimi 5 di 12)

@Wiz: sì, era Banca Sella, forse era addirittura l'unica al tempo ('98 o '99) a fornire sistemi di pagamento on-line. Le OTP comunque sono per definizione a singolo uso e infatti i numeri generati dalle 'chiavette' non sono formalmente OTP.
30-11-2020 13:37

Arrivo solo ora su questo thread e ho letto delle belle analisi e considerazioni su un aspetto molto critico e preoccupante, vorrei solo aggiungere i miei 2 cents sul tema dell'autofill. Essendo l'immissione del codice OTB ricevuto la seconda fase di autenticazione di una transazione di un sistema di sicurezza basato su due fattori e... Leggi tutto
29-11-2020 17:20

{Wiz}
Quello delle otp pregenerate era un sistema usato da alcune banche tempo fa (es: banca sella - dicendo 20 anni fa penso ti riferisca proprio a questa, dato che a quel tempo non c'era molta varietà in italia). Non so se ora usino ancora quel sistema, non mi è più capitato di lavorarci. Le otp per la verifica al... Leggi tutto
12-10-2020 17:42

guarda, magari oggi le cose sono diverse, ma una volta (io ci ho lavorato venti anni fa...) le OTP erano 'pre-generate', quindi non hanno a che vedere con la transazione in sé, ma vi vengono accoppiate al momento dell'utilizzo. Però, ripeto, oggi potrebbe essere diverso e potrebbe anche essere un processo fallato, per quanto ne dubito... Leggi tutto
12-10-2020 12:12

{Wiz}
La questione di base è che non esistono sistemi di autenticazione unici sicuri ed efficaci al 100 per cento. Quello che si può fare è aggiungere fattori al processo, con l'intento di rendere più complicata la vita di chi attacca. Più complicata, ma non impossibile: un sistema sicuro al 100 per... Leggi tutto
9-10-2020 22:58

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
I provider che filtrano il peer to peer
consentono a tutti gli utenti di usufruire della banda larga
ledono i diritti degli utenti che hanno acquistato un abbonamento a banda piena

Mostra i risultati (6081 voti)
Maggio 2021
La scorciatoia da tastiera che scongela il Pc
Bye bye, Emotet
Bambini e smartphone, 1.500 euro di multa ai genitori che non li sorvegliano
Aprile 2021
Office manda in pensione Calibri: quale nuovo font preferite?
Windows 10, arriva l'Eco Mode per far tornare scattante il Pc
Microsoft pronta a lanciare Cloud PC, il desktop in streaming
Aggiornamento Windows 10, problemi di tutti i tipi
Se l'FBI, zitta zitta, si mette a patchare i server altrui
Colpevoli di ransomware
Tutti gli home banking sono a rischio, se usi Facebook
Windows 10 rileverà la presenza dell'utente davanti al computer
Yahoo Answers chiude i battenti per sempre
Aggiornamento urgente per iPhone e iPad
Marzo 2021
La macchina di Anticitera
Hacker contro Richard Stallman, la macchina del fango
Tutti gli Arretrati
Accadde oggi - 8 maggio


web metrics