skip to main | skip to sidebar
37 commenti

Antibufala: la foto del ladro con lo scanner per carte di credito senza contatto

Sta creando un certo panico, e un numero elevatissimo di condivisioni su Facebook, una foto che mostra un uomo che tiene in mano un terminale portatile di pagamento per carte di credito. Secondo la descrizione che accompagna l'immagine, si tratterebbe della prova fotografica del fatto che ci sono criminali che vanno in giro a rubare i dati delle carte di credito sfruttando la nuova tecnologia contactless, che consente di effettuare pagamenti semplicemente avvicinando la carta al terminale, senza dover digitare PIN, e quindi consente al criminale di prelevare soldi dalle carte di credito delle persone vicine.

Ma in realtà, come spiega Buzzfeed, la foto non documenta la presenza di un ladro contactless: ritrae Oleg Gorobets, manager della società di sicurezza informatica Kaspersky. In altre parole, è una messinscena.

Gli esperti, inoltre, dicono che questo genere di furto è tecnicamente difficilissimo: non basta un terminale normale ma serve un dispositivo dotato di un'antenna speciale e soprattutto c’è il problema che un eventuale furto sarebbe completamente tracciabile. Per i più prudenti, comunque, esistono degli astucci metallici per carte di credito contactless che schermano completamente da eventuali attacchi di questo tipo.

Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (37)
A me dispiace piuttosto che per i più prudenti non esista la possibilità di non avere una carta contactless se non ci tiene davvero ad averla. Sono d'accordo sul fatto che non sia così semplice (almeno attualmente) approfittarsi della cosa, ma rientra in una lunga lista di quelli che considero servizi non richiesti ma imposti, che ti facciano comodo o meno. Che poi va curiosamente in controtendenza con i sistemi di accesso all'home banking che richiedono tre pin, due password di cui una in alfabeto cirillico, un codice di sicurezza, un cellulare a cui mandare il codice di cui sopra, un generatore di codici random e un ordigno nucleare da attivare casomai tutto il resto fallisse... la cosa mi perplime anzicheno.
Cosa ne pensi del servizio delle Iene che mostra proprio un furto del genere? Ecco il link, se hai tempo di guardarlo...
http://www.iene.mediaset.it/puntate/2016/02/21/de-devitiis-carte-di-credito-a-rischio_10001.shtml
Non è necessario uno scomodo, rigido, astuccio metallico. Basta riporre la carta di credito in una delle apposite bustine di plastica, ed infilarci dentro (da un solo lato) una ritaglio di foglio di alluminio per alimenti. O di un qualunque tessuto conduttivo. E' uno schermo sufficiente a risolvere il problema. Oppure, l'alternativa, è acquistare un portafogli schermato. Certe case lo fanno, ma a mia conoscenza solo case di alta moda (lo so per certo, essendomi occupato mesi fa della sperimentazione di un portafogli del genere per conto di una nota azienda del settore, che adesso lo vanta fra i suoi prodotti in produzione). Si tratta quindi, per adesso, di accessori ben costosi. Ma chissà che un domani non venga inserito qualcosa di simile anche in portafogli di fascia bassa. In fondo il principio è banale, basta cucire fra gli strati di pelle uno di tessuto conduttivo.
Se poi il rischio che tale furto realmente avvenga è concreto, francamente non saprei. Ad ogni modo la soluzione dell'alluminio o meglio di un ritaglio di tessuto conduttivo da tenere appoggiato sulla carta (su un lato qualsiasi) è rapida, economica ed efficace.
La mia banca ha inviato la nuova carta contactless (non richiesta) con uno speciale foglio simil cartaceo-blocca-contactless da portare nel portafoglio.
Paolo, sai che antenna speciale servirebbe? Non basta che il POS sia collegato via BT al cellulare?
@Amic: niente di speciale come antenna, basta una normale antenna integrata per RFID, a 868MHz. Tutti i telefoni cellulari dotati di NFC ne integrano una, tanto per fare un esempio. Quelle dei reader per carte di credito sono simili, giusto appena un poco più efficienti.
@CMT
Premesso che ho una banca online da più di 15 anni, anche io detesto le attivazioni fatte d'ufficio. Un giorno la banca di mia moglie (non online, una di quelle, però, che per accedere all'home banking NON DISPOSITIVO chiedeva una password di almeno 10 caratteri, che scadeva ogni 2 mesi, che doveva essere diversa dalle 32 precedenti e che andava digitata con il mouse su di una tastiera virtuale la cui disposizione dei tasti era casuale!!! Ripeto: home banking INFORMATIVO e NON DISPOSITIVO!) le inviò una busta con una carta di credito, non richiesta. Ignorai la comunicazione. Un paio di mesi dopo mi telefonarono dicendo come mai non eravamo ancora passati ad attivarla. Risposi che la cosa non ci interessava, molto semplicemente. "Ah, peccato, dovrebbe comunque passare in filiale a restituirla". Al mio rifiuto alzò la voce: "E' di proprietà della banca e lei ce la deve restituire, lo sa che è un reato gravissimo appropriarsi delle carte di credito??". Risposi: "Io non l'ho richiesta, voi ve la venite a riprendere, io non ho tempo. Anzi, ora che ci penso, visto che è arrivata con una normale busta e non con una raccomandata, sa che io non l'ho mai ricevuta? Sarà andata smarrita." e riattaccai.
Basterebbe, credo, rendere a discrezione dell'utente il limite dell'importo per cui digitare il PIN, con un limite superiore (tipo 50€). Se metto 0, sarà sempre contactless, ma con il PIN comunque da digitare.
Le carte contactless hanno un chip NFC leggibile da qualsiasi smartphone che abbia funzionalità NFC.
Ho appena provato e il mio smartphone la rileva.
Ciao,
Martedì 23 è andato in onda un servizio delle Iene in cui si parlava esattamente di questa possibilità di furto. Nel servizio si fa vedere come basti un semplice smartphone e un'apposita app. Come rimedio, anche li viene citato il foglio di alluminio. Paolo che ne pensi?
@Marco Si tratta delle Iene, quindi da prnedere MOLTO con le pinze, poi, se vuoi lo sputtanamento di quel servizio di "materia fecale" http://www.bufale.net/home/allarmismo-le-iene-e-le-carte-di-credito-a-rischio-bufale-net/
Per chi cita il PESSIMO servizio delle iene lo SPUTTANAMENTO totale è qui: http://www.bufale.net/home/allarmismo-le-iene-e-le-carte-di-credito-a-rischio-bufale-net/
Confermo che basta un cellulare con nfc per leggere i dati. Se avete una contactless e uno smartphone con nfc, potete provare anche voi, ci sono app su play store, come Credit card reader nfc.

La cosa preouppante è che si possono leggere tutti i dati della carta, comprese le transazioni passate. Secondo me sarebbe interessante un approfondimento su questo blog.

In ogni caso io riesco a leggere i dati solo avvicinando tantissimo la carta allo smartphone, esternamente al portafogli no, forse perché all'interno ho anche un'altra carta nfc (abbonamento dell'autobus)
Ma a cosa serve veramente una contactless? A pagare potendo tenere la carta tra i denti? Ci stanno riempiendo di gadget inutili e li pubblicizzano pure come innovativi ed indispensabili.
Non porto in giro la carta di credito, se non all'estero per le cauzioni del noleggio, e non la perdo di vista finchè non me la restituiscono.
Non ho paura del contactless, quanto della clonazione della carta.
In italia il metodo più sicuro per pagare resta il bancomat, posto che si abbia imparato a memoria il PIN.
Ciao Antonio,
trovo singolare che un Blog fatto bene come il Vostro non abbia controllato bene alcune fonti che si possono rilevare tranquillamente sul web.
Se la foto non significa nulla ( una persona in mano un POS in un tram), i soldi dalle carte conctatless possono essere rubati eccome, come una ricerca scientifica pubblicata sul NYT pochi anni fa riporta: http://www.nytimes.com/packages/pdf/business/20061023_CARD/techreport.pdf

Non credo sia corretto definire 'bufala' la notizia in sè, magari la foto potrebbe essere benissimo una bufala, ma la possibilità di fare questo tipo di 'prelievi' c'è eccome, quindi credo che le persone abbiano il diritto di sapere.
"Credit card reader nfc. La cosa preouppante è che si possono leggere tutti i dati della carta, comprese le transazioni passate" mi risultano criptati, comunque ora provo
Beh, visualizza il numero di carta (che c'è scritto sopra...) ma non il CVV, quindi è fondamentalmente inutile, anche se ci sono servizi online che non richiedono il CVV. Quanto al log delle transazioni non capisco con che logica vengano visualizzati.. me ne da 3 e risalgono a 2 anni fa.
Resta il fatto che se ve la rubano, possono usarla per acquistare a 20 euro alla volta, ma fino a quante volte? Alla mia banca non hanno saputo rispondere, hanno parlato di un algoritmo che dovrebbe accorgersene e bloccare la carta. E' già successo in Germania (ne parlano qui alla fine della puntata: http://www.rsi.ch/la1/programmi/informazione/patti-chiari/Auto-elettrica-s%C3%AC-o-no--Carte-di-credito-contactless-4927423.html) dove, con la complicità dell'esercente, hanno speso 800 euro prima di bloccarla e poi l'assicurazione non voleva nenche rimborsare con la scusa della "malcauta custodia"...
Massy Biagio,

Forse non hai letto bene la fonte che citi: dice esattamente quello che ho scritto io, ossia che un terminale POS normale non basta e serve dell'hardware aggiuntivo non banale per poter acquisire i dati a distanze significative.

Inoltre la tua fonte parla della possibilità tecnica, sulla quale siamo d'accordo, ma non considera l'aspetto bancario: il prelievo lascia una traccia contabile dalla quale è facile risalire ai colpevoli, per cui questo tipo di furto è poco conveniente per i truffatori.


credo che le persone abbiano il diritto di sapere

Certamente. E credo anche che prima di criticare e accusare un articolo bisognerebbe essere un po' più attenti nel verificare i fatti :-)
immaginavo che non fosse così facile come si poteva vedere nel servizio delle Iene, anche se non mi sembra un caso così eclatante (come invece tanti altri) in cui dicono boiate senza senso. Usano toni che possono creare allarmismo, è vero, ma non vedo questa esagerazione incredibile
@Guido Baccarini: "basterebbe, credo, rendere a discrezione dell'utente il limite dell'importo per cui digitare il PIN, con un limite superiore (tipo 50€). Se metto 0, sarà sempre contactless, ma con il PIN comunque da digitare."
Sì, infatti, del resto se posso impostare i miei massimali giornalieri/mensili di spesa non vedo che costerebbe farmi impostare il limite per ignorare il PIN.

In quanto a quale sia l'utilità del contactless... boh. Ridurre l'usura per strisciamento?

P.S: Ma chi è Antonio?
Io ne ho una e pare che il limite ci sia: 25€
Inoltre ricordo che le spese non riconosciute possono essere rimborsate.
Per me l'unica seccatura delle carte di credito è che se ci sono problemi, tipo la clonazione, e deve essere sostituita rimani senza un sistema di pagamento elettronico per un po'.
Mi sono trasferito a Londra da poco piu' di un anno e il pagamento contactless lo trovo molto comodo.
La mia banca (ma credo che sia pratica comune) ha un limite di spesa di £30, oltre il quale la transazione contactless fallisce e viene richiesto il normale PIN.
Per quanto rigurada Londra in particolare (non so come funzioni in altre grandi citta'), la carta contactless e' utilizzabile direttamente su metropolitana e autobus, rimpiazzando la Oyster card (carta contactless prepagata per il trasporto pubblico).
@Paolo Attivissimo:
il prelievo lascia una traccia contabile dalla quale è facile risalire ai colpevoli, per cui questo tipo di furto è poco conveniente per i truffatori.

Puoi espandere un po' questo punto? Che differenza c'è rispetto alla "traccia contabile" lasciata da una carta di credito? Che cosa impedisce al truffatore di far andare il denaro sul conto di un ignaro riciclatore reclutato per e-mail ("Vuoi guadagnare lavorando comodamente da casa?") che poi glieli manda con Western Union?
Non importa quanto sia tracciabile l'operazione bancaria in se, basta un prestanome ed un conto cifrato in un paradiso fiscale sul quale riversare il maltolto.
Dopotutto, non è proprio quel che voleva fare Manenti con il Parma Calcio? Usare i POS della società per "svuotare" codici di carte rubate (a quanto ho capito non serviva nemmeno fisicamente la carta).
Ovvio che sai dov'è stato fatto il prelievo, ma vammi poi a ritrovare i soldi!
@CMT
Chi è Antonio...?
Beh, sotto la foto di Paolo c'è scritto: "Photo Credit: Antonio Sofi"... forse Biagio non solo è stato frettoloso nel criticare il Blog senza avere verificato i fatti, ma è stato frettoloso anche nell'identificare l'autore del Blog...
:-D

Italiani dubbiosi delle novita' sempre e comunque! Non c'e' niente da fare, siamo e rimarremo sempre un popolo di brontoloni, nel bene e nel male..

Son sicuro che c'e' gente che ha detto le stesse cose (inutili, pericolosi per sicurezza, privacy e dati, etc..) di computer, smartphone, carte di credito magnetiche.. Quando il problema per tutte queste cose, dopo un necessario periodo di test, e' l'utente e non l'oggetto in se'.

Qui in UK sono piu' di due anni che si usano le contactless e non e' successo nulla, mi pare.
"Inoltre la tua fonte parla della possibilità tecnica, sulla quale siamo d'accordo, ma non considera l'aspetto bancario: il prelievo lascia una traccia contabile dalla quale è facile risalire ai colpevoli, per cui questo tipo di furto è poco conveniente per i truffatori."

Scusami Paolo ma non capisco bene questo punto.
Come spiegato nel servizio fatto dalle Iene sul tema (e come ampiamente noto), esistono siti che permettono transazioni online senza l'utilizzo del codice di sicurezza di 3 cifre (che non viene trafugato via wireless) per cui l'autore del furto puo' tranquillamente fare degli acquisti online e farsi recapitare dei beni senza lasciare traccia.
Fra,

Qui in UK sono piu' di due anni che si usano le contactless e non e' successo nulla, mi pare.

In UK. Invece introdurre in Italia queste cose, purtroppo, significa metterle su un vero banco di prova per la sicurezza.

Italiani, un popolo di poeti di artisti di eroi di santi di pensatori di scienziati di navigatori di trasmigratori... e furbetti ingegnosi, aggiungerei.

Non per dire che siamo tutti un po' ladri, ma nell'immaginario collettivo non veniamo percepiti proprio come ci descrive la celebre frase sull'altrettanto celebre palazzo all'EUR...
"fare degli acquisti online e farsi recapitare dei beni senza lasciare traccia." davvero?
Come fa a "non lasciare traccia" lasciando: un indirizzo IP (tracciabile) una email (tracciabile) ed un indirizzo postale per la consegna dei beni (again, traccaibile)? :)

Tecnicamente possibile, realisticamente inutile.
"Come fa a "non lasciare traccia" lasciando: un indirizzo IP (tracciabile) una email (tracciabile) ed un indirizzo postale per la consegna dei beni (again, traccaibile)? :)

Tecnicamente possibile, realisticamente inutile."

Mi connetto tramite hotspot wifi-free (o VPN o thor...), uso un indirizzo email con dati "farlocchi" ed un indirizzo fisico qualunque dove aspetto il corriere con il mio pacco all'orario concordato. Firmo il documento (con il nome farlocco) di spedizione senza bisogno di dover mostrare il documento e il gioco e' fatto!
Credo sia necessario fare una distinzione tra clonazione ed addebito indesiderato.
Nel primo caso viene clonata la carta e viene utilizzata presso bancomat o pos di esercenti "onesti". Quindi la transazione è tracciata, l'esercente non ne ha colpa ed è difficile risalire a chi ha clonato se non prendendolo il flagrante.
In questo caso invece si parla di addebito indesiderato, quindi deve esistere un esercente, che abbia attivato il servizio con una banca, che vada in giro a fare transazioni non autorizzate. Come dice Paolo è rintracciabile immediatamente a fronte di una denuncia.
Se invece provate a leggere le informazioni da un carta con un lettore nfc (smartphone) fidatevi che non ci riuscite a fare nulla, il contacless è solo una modalità di comunicazione, ma dalla carta non riuscite ad avere le informazioni cifrate contenute al suo interno, quindi non si riesce a fare nulla.
Dimenticavo, possibile con apposita antenna abbastanza ingombrante.
@ Il lupo della luna
Nella prova fatta dalle iene bastava l'antenna integrata di uno smartphone (quasi appoggiata alla tasca per qualche secondo), modalita' contestata dal sito bufale.net con una confutazione risibilissima (un mio amico ha fatto la stessa prova e non funzionava).
Poi si potrebbe benissimo usare una antennina USB collegata con OTG ad uno smartphone android in modo credo molto piu' efficace sia dal punto di vista di comunicazione wireless che da quello dell'aspetto furtivo.

Quindi riconfermo: tecnicamente fattibile senza grossi ostacoli apparenti, realisticamente utilissima per fare acquisti online anonimi.

@zime

"Se invece provate a leggere le informazioni da un carta con un lettore nfc (smartphone) fidatevi che non ci riuscite a fare nulla, il contacless è solo una modalità di comunicazione, ma dalla carta non riuscite ad avere le informazioni cifrate contenute al suo interno, quindi non si riesce a fare nulla"

Come mostrato nel servizio delle iene e confermato anche dalla replica del sito bufale.net (che contesta un altro punto del servizio), sarebbe possibile carpire le informazioni principali della carta via wireless, ovvero numero carta, nome titolare e data di scadenza (non il CVV). Quanto basta per fare degli acquisti online come mostrato nella parte finale del servizio delle iene.


@Mikhail Lanart-Hastur

Lo sputtanamento totale, come lo definisci tu, e' un po' debole alla base quando per sostenere l'impossibilita' di quanto mostrato dalle iene si utilizza un'argomentazione debolissima (un mio amico ha fatto la stessa prova e non ha funzionato)
@Pablo Quello che volevo dire è che non si riescono ad utilizzare le informazioni che servono per firmare la transazione, e quindi in sostanza clonare la carta. La sola conoscenza del numero della carta e della scadenza, ormai è una condizione un po' debole per autorizzare una transazione online, ed è molto più probabile che il numero della carta venga preso da un esercente disonesto quando gli date la carta per pagare che non da qualcuno che gira con una antenna in autobus.
Se posso portare la mia esperienza di poco fa che un mio amico benzinaio ha voluto fare la prova con il suo nuovo POS che legge le contactless: bene, appoggiandolo al mio portafoglio che stava nelle tasca posteriore dei pantaloni, è riuscito a "rubarmi" 5 euro senza problemi!
A dirla tutta, e in caso potrebbe essere anche un bel sistema di "sicurezza" non ha funzionato al primo colpo perché io avevo due carte contactless assieme e il lettore ha segnalato un errore "una carta per volta"
Naturalmente resta anche l'estrema tracciabilità delle transizioni, quindi secondo me il rischio non è diverso da farsi fotografare una carta di credito (fronte retro, ma non credo sia così improbabile che qualcuno si ricordi i numeri a memoria solo vendendola) che poi può essere usata ovunque.

Però direi che concretamente "Si ... può ... fare!!!" :-)
ciao
Marco
Il mese scorso sono andata in Italia in vacanza, al rientro, in un'area di sosta, ho comprato un libro con la carta di credito. Due giorni dopo mi è stato addebitato un importo di euro 260 che ho visto unicamente a fine mese quando mi è arrivato l'estratto conto della banca. Portava come dicitura "Drobvoski" e quando ho telefonato al servizio clienti mi è stato chiesto se avessi effettuato un corso di lingue in Spagna... ovviamente no... Mi è stato chiesto pure se avessi effettuato una registrazione al sito Itunes, ho confermato di no, pertanto mi è stato detto che avrebbero segnalato il caso come "truffa". Mi è stato altresì spiegato che probabilmente i dati della mia carta di credito mi sono stati "rubati" nell'area di sosta. Fortunatamente uso poco la carta e questo addebito l'ho visto subito, le persone che la usano spesso e non controllano gli estratti potrebbero accorgersene troppo tardi. La carta di credito mi è stata subito bloccata e sostituita e l'accredito di 260 euro mi è stato bonificato. Non ho visto il servizio delle Iene che magari è stato un po' gonfiato, ma vi garantisco che queste truffe avvengono.
@Unknown
Non ho visto il servizio delle Iene che magari è stato un po' gonfiato, ma vi garantisco che queste truffe avvengono.

Certo che avvengono, ma, nel tuo caso è molto probabile che, nell'area di sosta, abbiano usato un lettore di carte truccato o, più semplicemente, siano riusciti a fotografare la carta e usarne i dati online.
Per questo motivo è sempre bene che la carta non vada mai persa di vista.