Cerca nel blog

2006/05/10

Violata la sicurezza dei Bancomat dei benzinai inglesi, utenti fregati due volte

Questo articolo vi arriva grazie alle gentili donazioni di "claudio.sar****" e "root74".

Dal Regno Unito arriva una storia molto educativa a proposito della sicurezza delle transazioni elettroniche. Qualcuno ha trovato il modo di taroccare i lettori delle carte di credito e dei Bancomat dei benzinai Shell e usarli per acquisire tutti i dati delle carte, compreso il PIN. Con questa tecnica sono stati frodati circa 1,5 milioni di euro.

La truffa è talmente diffusa da aver costretto seicento dei mille distributori Shell britannici a tornare al vecchio sistema della firma, come riferisce la BBC, dopo che con tanta enfasi l'intero Regno Unito si era convertito al "Chip & PIN", ossia alla carta di credito dichiarata "sicura" perché autenticata tramite un chip incorporato e la richiesta del PIN al posto della firma.

In realtà il sistema si è rivelato un colabrodo e ha causato maggiori danni agli utenti, perché mentre la firma è contestabile, la digitazione del PIN lo è assai meno, per cui per gli utenti è molto più difficile dimostrare di essere stati frodati e quindi si trovano derubati e impossibilitati a contestare gli addebiti fraudolenti. Doppia fregatura, insomma.

La tecnica usata è particolarmente interessante. Secondo The Inquirer, i malfattori si sono presentati presso i distributori spacciandosi per tecnici della manutenzione dei lettori di carte di credito (un classico metodo di social engineering) e hanno rimosso i lettori, reinstallandoli dopo averli modificati. I lettori così truccati registravano tutti i dati in transito, che venivano utilizzati per prelievi abusivi in altri paesi.

Questo è un sistema ancora più raffinato di quello in uso in Italia sugli sportelli Bancomat, dove viene applicata una mascherina contenente un lettore supplementare e il PIN viene registrato da una microtelecamera. Col metodo inglese, né il cliente né il rivenditore hanno modo di accorgersi della frode in atto, perché tutto il meccanismo è all'interno del normale lettore. L'unico modo in cui possono accorgersi della buggeratura è verificare le credenziali di ogni persona che si presenta come tecnico della manutenzione. L'assenza, finora, di questo controllo è una falla ovvia nella catena di sicurezza, secondo i più classici criteri dell'analisi di vulnerabilità: si pensa solo alla tecnologia e si dimentica il fattore umano.

I clienti si trovavano addebiti illeciti sul proprio estratto conto, ma non riuscivano a contestarli perché risultava digitato il PIN, e le condizioni di contratto prevedono che il PIN debba essere tenuto segreto sotto la responsabilità del cliente, per cui gli addebiti (teoricamente) dovevano essere stati autorizzati dal cliente.

Il lettore per carte di credito è il punto debole tecnologico di questo tipo di transazione, perché è il luogo nel quale convergono tutti i dati del cliente (numero della carta, scadenza e PIN) e perché in molti casi non utilizza il chip presente sulla carta, come discusso su SnakeOilLabs. Proprio per questo, i lettori sono dotati di dispositivi antimanomissione, che però nel caso del modello di lettore preso di mira (un Trintech Smart5000) evidentemente non ha funzionato.

La polizia britannica ha già effettuato otto arresti nel sud dell'Inghilterra, e l'indagine continua. Nel frattempo, chiunque abbia un lettore di carte di credito nel proprio negozio farebbe meglio a diffidare di chi si presenta come tecnico alla manutenzione e a verificarne l'identità telefonando alla società di gestione dei lettori... ovviamente senza usare eventuali numeri forniti dal "tecnico".

Tuttavia, stando ai commenti che potete leggere qui sotto, sembra che questo genere di truffa sia già sbarcato anche in Italia e che abbia forme ancora più sofisticate.

12 commenti:

Anonimo ha detto...

Ho letto i due post di SnakeOil e mi ha molto colpito che le persone siano arrivate a disquisire delle caratteristiche tecniche del sistema di sicurezza ma NESSUNO ha commentato l'enorme mancanza di sensibilità per la sicurezza dei gestori dei distributori che si sono lasciati gabbare: il fattore umano sfugge anche a posteriori!

Anonimo ha detto...

Un paio di settimane fa ho assistito ad una puntata del reality "Commissariato Trevi-Campomarzio" sul satellite, con il resoconto di un'idagine su di un reato simile commesso in alcuni distributori di Roma. La tecnica utilizzata dai truffatori aveva caratteristiche molto simili a quella qui descritta (un logger installato fraudolentemente nei lettori), con la complicità, però, dei gestori.
Il tutto almeno un anno fa, visto che le immagini sono state girate d'estate. Siamo più avanti degli Inglesi?

Anonimo ha detto...

"...si pensa solo alla tecnologia e si dimentica il fattore umano"

è maledettamente vero! :(

Anonimo ha detto...

Un caso italiano:
http://www.carabinieri.it/Internet/Cittadino/Informazioni/News/NewsDetail.htm?NewsID=12785

Anonimo ha detto...

Questa volta gli inglesi sono arrivati in grande ritardo. Nella citta di Vicenza i bancomat taroccati sono stati molti. Sia nella grande distribuzione alimentare sia dai benzinai. La tecnologia utilizzata era Bluetooth e le manomissioni avvenivano durante la chiusura dei locali. La banda dei bancomat (arrestata) era di origine Romena. Comunque le clonazioni sono ancora in atto.

Anonimo ha detto...

Io, sono una vittima di questa truffa, nel torinese, bassa valle Susa, clonata carta di credito da un benzinaio e diversi movimenti effettuati. CartaSI alle mie contestazioni risponde che entro 6 (dico sei) mesi farà le dovute verifiche. Credo di essere due volte buggerato anche io.
Saluti

Anonimo ha detto...

Credo che sia successo anche dalle parti di Casalecchio di Reno (bo) al Carrefour....

Anonimo ha detto...

Purtroppo anche a Fidenza (PR) è successa una cosa simile alla coop:
http://www.gazzettadiparma.it/gazzettadiparma/GF_main.jsp?topic=1104&edition=03/07/05

airone76 ha detto...

Beh tutto il mondo è paese... anche a me che vivo in Germania è successo... nonostante io sia un tipo abbastanza preciso e controllo sempre che non ci siano cose strane quando pago con la carta o il bancomat (carta strisciata due volte, aggeggini davanti al bancomat, mano sopra la tastiera...) sono comunque riusciti a recuperarmi il numero del Bancomat e il PIN...
poi hanno prelevato da un bancomat in Spagna (Maiorca) una discreta sommetta... per fortuna che qui in Germania esiste una associazione che controlla i movimenti dei bancomat (pagata dalle banche) che avverte i titolari dei movimenti strani...[ci hanno chiesto se stavamo ritirando molti soldi e se eravamo in Spagna in vacanza o se avevamo fatto bancomat in Spagna]. Bloccata la carta, fatta la denuncia e dimostrato che avevo ancora io la carta originale e non potevo aver prelevato dalla Spagna, l´assicurazione della banca ci ha restituito tutto (comprese le spese per i prelievi all´estero!).

airone76 ha detto...

Scordavo che comunque ci ha messo quasi sei mesi a restituire i soldi, ma alla fine sono arrivati. (l´impiegata della banca comunque ne era sicura avendoci risposto; alla nostra domanda se ce li avrebbero restituiti: "Sicuramente. Con tutti i soldi che la banca paga all´assicurazione, ve li ridanno sicuramente; si tratta solo di aspettare qualche mese")

Anonimo ha detto...

Anch'io abito in Germania. Un paio di anni fa mi chiamarono dalla mia banca per dirmi che la mia carta era stata bloccata perche' avevano scoperto che lo sportello da cui avevo prelevato (in un'altra citta' e di un'altra banca) era stato oggetto di "attivita' criminali". Mi dissero anche di controllare che non ci fossero stati prelievi "strani" e che avrei ricevuto una nuova carta nel giro di una settimana. Efficientissimi!

Anonimo ha detto...

Alcuni gestori offrono come servizio la notifica via SMS per prelievi superiori a una certa somma.

È solo un palliativo, ed è a pagamento, ma può aiutare a salvare il salvabile nel caso si cada vittime di un trauffa del genere.

paulatz