Bancomat bucati

Violata la sicurezza dei Bancomat dei benzinai inglesi, utenti fregati due volte.



[ZEUS News - www.zeusnews.it - 10-05-2006]

disegno di Emilia Castellani

Dal Regno Unito arriva una storia molto educativa a proposito della sicurezza delle transazioni elettroniche. Qualcuno ha trovato il modo di taroccare i lettori delle carte di credito e dei Bancomat dei benzinai Shell e usarli per acquisire tutti i dati delle carte, compreso il PIN. Con questa tecnica sono stati frodati circa 1,5 milioni di euro.

La truffa è talmente diffusa da aver costretto seicento dei mille distributori Shell britannici a tornare al vecchio sistema della firma, come riferisce la BBC, dopo che con tanta enfasi l'intero Regno Unito si era convertito al Chip & PIN, ossia alla carta di credito dichiarata "sicura" perché autenticata tramite un chip incorporato e la richiesta del PIN al posto della firma.

In realtà il sistema si è rivelato un colabrodo e ha causato maggiori danni agli utenti, perché mentre la firma è contestabile, la digitazione del PIN non lo è, per cui per gli utenti è molto più difficile dimostrare di essere stati frodati e quindi si trovano derubati e impossibilitati a contestare gli addebiti fraudolenti. Doppia fregatura, insomma.

La tecnica usata è particolarmente interessante. Secondo The Inquirer, i malfattori si sono presentati presso i distributori spacciandosi per tecnici della manutenzione dei lettori di carte di credito (un classico metodo di social engineering) e hanno rimosso i lettori, reinstallandoli dopo averli modificati. I lettori così truccati registravano tutti i dati in transito, che venivano utilizzati per prelievi abusivi in altri paesi.

Questo è un sistema ancora più raffinato di quello in uso in Italia, dove viene applicata ai Bancomat una mascherina contenente un lettore supplementare e il PIN viene registrato da una microtelecamera. Col metodo inglese, né il cliente né il rivenditore hanno modo di accorgersi della frode in atto, perché tutto il meccanismo è all'interno del normale lettore.

L'unico modo in cui possono accorgersi della buggeratura è verificare le credenziali di ogni persona che si presenta come tecnico della manutenzione. L'assenza, finora, di questo controllo è una falla ovvia nella catena di sicurezza, secondo i più classici criteri dell'analisi di vulnerabilità: si pensa solo alla tecnologia e si dimentica il fattore umano.

I clienti si trovavano addebiti illeciti sul proprio estratto conto, ma non riuscivano a contestarli perché risultava digitato il PIN, e le condizioni di contratto prevedono che il PIN debba essere tenuto segreto sotto la responsabilità del cliente, per cui gli addebiti (teoricamente) dovevano essere stati autorizzati dal cliente.

Il lettore per carte di credito è il punto debole tecnologico di questo tipo di transazione, perché è il luogo nel quale convergono tutti i dati del cliente (numero della carta, scadenza e PIN) e perché in molti casi non utilizza il chip presente sulla carta, come discusso su SnakeOilLabs. Proprio per questo, i lettori sono dotati di dispositivi antimanomissione, che però nel caso del modello di lettore preso di mira (un Trintech Smart5000) evidentemente non ha funzionato.

La polizia britannica ha già effettuato otto arresti nel sud dell'Inghilterra, e l'indagine continua. Nel frattempo, chiunque abbia un lettore di carte di credito nel proprio negozio farebbe meglio a diffidare di chi si presenta come tecnico alla manutenzione e a verificarne l'identità telefonando alla società di gestione dei lettori... ovviamente senza usare eventuali numeri forniti dal "tecnico".

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Commenti all'articolo (1)

{nutella82}
giÓ visto anche in Italia! Leggi tutto
11-5-2006 10:45

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quanto sei disposto a pagare per l'acquisto di prodotti per la ''casa intelligente'' nei prossimi 12 mesi?
Fino a 150 euro
Fino a 250 euro
Fino a 500 euro
Fino a 1000 euro
Oltre 1000 euro
Non sono sicuro

Mostra i risultati (832 voti)
Marzo 2020
La truffa della chiavetta Usb che arriva per posta
Windows 10, Pannello di Controllo verso la pensione
Windows 10, in un video un assaggio delle novità
Cellulari, app e privacy ai tempi della pandemia
Coronavirus Challenge, leccare una toilette per notorietà
Windows 10, patch di emergenza per evitare il nuovo WannaCry
L'open source contro il coronavirus
Windows 10, l'update KB4535996 mina le prestazioni
L'Unione Europea vuole un proprio sistema operativo
Addio, Dada.it
Febbraio 2020
Smartphone, la UE rivuole le batterie rimovibili
Il ransomware che prende di mira gli italiani
Il browser per navigare sempre in incognito
Equo compenso, raffica di aumenti per Pc, smartphone e schede Sd
Come provare Windows 10X in anteprima, gratis
Tutti gli Arretrati


web metrics