Il furto automatico del PIN della carta di credito

Vi siete mai imbattuti in un caso di furto automatico di PIN di validazione acquisti online?



[ZEUS News - www.zeusnews.it - 05-10-2020]

fortinet2020

Ho a che fare con un caso insolito di furto di denaro tramite carta di credito. La vittima è stata attirata con l'inganno su un sito di phishing, che ha visitato con il proprio iPhone (recente e aggiornato). Ha immesso nel sito il numero e il CVV della carta. Già così è una brutta situazione, lo so.

Ma il suo conto bancario è protetto da un sistema di sicurezza che include un SMS di verifica contenente un PIN usa e getta, per cui la transazione fraudolenta non può andare in porto se non viene digitato questo PIN.

Qui sta il mistero: l'SMS è arrivato alla vittima, che giura di non averlo digitato, ma la transazione è stata completata lo stesso come se il PIN fosse stato immesso manualmente. Alla società che gestisce la carta di credito risulta che il PIN sia stato immesso e quindi la transazione è andata in porto: i truffatori hanno rubato il denaro dalla carta della vittima e la banca si è rifiutata di risarcire perché stando ai suoi log la vittima ha usato l'SMS di validazione.

Subito dopo è arrivata una seconda transazione fraudolenta, con relativo PIN proveniente dalla società emettitrice della carta di credito, ma i truffatori non sono riusciti a prelevare altro denaro perché nel frattempo la società emettritrice aveva bloccato la carta.

L'ipotesi prevalente, per ora, è che il sito dei truffatori contenesse del software per leggere gli SMS ricevuti dalla vittima, forse usando la funzione OTP Autofill, come quando ci si iscrive ad alcuni social network e il PIN di autenticazione viene letto automaticamente dall'app del social network.

Se avete teorie migliori, segnalatele nei commenti. Grazie!

Stanno già arrivando le prime ipotesi:

twitter sms

Questo è riferito a questa funzione:

batman

Dai commenti cito questo articolo di Benthamsgaze che parla del Security Code AutoFill di iOS 12 e segnala la pericolosità degli SMS di autenticazione per le transazioni:

SMS based OTP, whether used for 2FA or transaction authentication, has been criticised for not being the most secure choice of technology. For example, in recent years the National Institute of Standards and Technology (NIST) initially publicly criticised SMS as a communication medium for secure authentication, labelling it as insecure and unsuitable for strong authentication. However more recently, they have softened their language and instead deprecated SMS 2FA. Yet, it’s still considered secure enough to be used for Strong Customer Authentication under the new EU Payment Service Directive 2.

[...] Examples in which Security Code AutoFill could pose a risk to online banking security include a Man-in-the-Middle attack on the user accessing online banking from Safari on their MacBook, injecting the required input field tag if necessary, or where a malicious website or app accesses the bank’s legitimate online banking service.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (ultimi 5 di 12)

@Wiz: sì, era Banca Sella, forse era addirittura l'unica al tempo ('98 o '99) a fornire sistemi di pagamento on-line. Le OTP comunque sono per definizione a singolo uso e infatti i numeri generati dalle 'chiavette' non sono formalmente OTP.
30-11-2020 13:37

Arrivo solo ora su questo thread e ho letto delle belle analisi e considerazioni su un aspetto molto critico e preoccupante, vorrei solo aggiungere i miei 2 cents sul tema dell'autofill. Essendo l'immissione del codice OTB ricevuto la seconda fase di autenticazione di una transazione di un sistema di sicurezza basato su due fattori e... Leggi tutto
29-11-2020 17:20

{Wiz}
Quello delle otp pregenerate era un sistema usato da alcune banche tempo fa (es: banca sella - dicendo 20 anni fa penso ti riferisca proprio a questa, dato che a quel tempo non c'era molta varietà in italia). Non so se ora usino ancora quel sistema, non mi è più capitato di lavorarci. Le otp per la verifica al... Leggi tutto
12-10-2020 17:42

guarda, magari oggi le cose sono diverse, ma una volta (io ci ho lavorato venti anni fa...) le OTP erano 'pre-generate', quindi non hanno a che vedere con la transazione in sé, ma vi vengono accoppiate al momento dell'utilizzo. Però, ripeto, oggi potrebbe essere diverso e potrebbe anche essere un processo fallato, per quanto ne dubito... Leggi tutto
12-10-2020 12:12

{Wiz}
La questione di base è che non esistono sistemi di autenticazione unici sicuri ed efficaci al 100 per cento. Quello che si può fare è aggiungere fattori al processo, con l'intento di rendere più complicata la vita di chi attacca. Più complicata, ma non impossibile: un sistema sicuro al 100 per... Leggi tutto
9-10-2020 22:58

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Qual è il tuo approccio nei confronti del navigatore satellitare?
Mi affido al navigatore solo in caso di necessità.
Sono diffidente e non mi baso totalmente sulle indicazioni del dispositivo.
Non mi metto al volante prima di aver acceso il magico schermo.
Non ne ho mai avuto uno.
Preferisco fermarmi a chiedere informazioni ai passanti.
Non mi interessano le indicazioni: in fondo a volte è bello anche basarmi sul mio istinto e nel caso sbagliare strada.

Mostra i risultati (3588 voti)
Dicembre 2022
La settimana lavorativa di quattro giorni è un successo
L'app open source per vedere YouTube senza seccature
Novembre 2022
L'app per scaricare l'intera Wikipedia (e non solo)
La scorciatoia che sblocca Windows
Amazon Drive chiude i battenti
Le cinque migliori alternative a Z Library
Il visore VR che uccide i giocatori quando perdono
Gli Stati Uniti oscurano Z Library
Vodafone, sottratti oltre 300 GB di dati degli utenti
Pochi o tanti, ma contanti
Ottobre 2022
Chrome si prepara ad abbandonare i Windows ''vecchi''
iPhone 14, nessuno lo vuole?
Windows 11, in arrivo il primo "Momento"
TikTok, arrivano i contenuti per soli adulti
Addio Office, benvenuta Microsoft 365
Tutti gli Arretrati
Accadde oggi - 9 dicembre


web metrics