Cerca nel blog

2006/05/10

Violata la sicurezza dei Bancomat dei benzinai inglesi, utenti fregati due volte

Questo articolo vi arriva grazie alle gentili donazioni di "claudio.sar****" e "root74".

Dal Regno Unito arriva una storia molto educativa a proposito della sicurezza delle transazioni elettroniche. Qualcuno ha trovato il modo di taroccare i lettori delle carte di credito e dei Bancomat dei benzinai Shell e usarli per acquisire tutti i dati delle carte, compreso il PIN. Con questa tecnica sono stati frodati circa 1,5 milioni di euro.

La truffa è talmente diffusa da aver costretto seicento dei mille distributori Shell britannici a tornare al vecchio sistema della firma, come riferisce la BBC, dopo che con tanta enfasi l'intero Regno Unito si era convertito al "Chip & PIN", ossia alla carta di credito dichiarata "sicura" perché autenticata tramite un chip incorporato e la richiesta del PIN al posto della firma.

In realtà il sistema si è rivelato un colabrodo e ha causato maggiori danni agli utenti, perché mentre la firma è contestabile, la digitazione del PIN lo è assai meno, per cui per gli utenti è molto più difficile dimostrare di essere stati frodati e quindi si trovano derubati e impossibilitati a contestare gli addebiti fraudolenti. Doppia fregatura, insomma.

La tecnica usata è particolarmente interessante. Secondo The Inquirer, i malfattori si sono presentati presso i distributori spacciandosi per tecnici della manutenzione dei lettori di carte di credito (un classico metodo di social engineering) e hanno rimosso i lettori, reinstallandoli dopo averli modificati. I lettori così truccati registravano tutti i dati in transito, che venivano utilizzati per prelievi abusivi in altri paesi.

Questo è un sistema ancora più raffinato di quello in uso in Italia sugli sportelli Bancomat, dove viene applicata una mascherina contenente un lettore supplementare e il PIN viene registrato da una microtelecamera. Col metodo inglese, né il cliente né il rivenditore hanno modo di accorgersi della frode in atto, perché tutto il meccanismo è all'interno del normale lettore. L'unico modo in cui possono accorgersi della buggeratura è verificare le credenziali di ogni persona che si presenta come tecnico della manutenzione. L'assenza, finora, di questo controllo è una falla ovvia nella catena di sicurezza, secondo i più classici criteri dell'analisi di vulnerabilità: si pensa solo alla tecnologia e si dimentica il fattore umano.

I clienti si trovavano addebiti illeciti sul proprio estratto conto, ma non riuscivano a contestarli perché risultava digitato il PIN, e le condizioni di contratto prevedono che il PIN debba essere tenuto segreto sotto la responsabilità del cliente, per cui gli addebiti (teoricamente) dovevano essere stati autorizzati dal cliente.

Il lettore per carte di credito è il punto debole tecnologico di questo tipo di transazione, perché è il luogo nel quale convergono tutti i dati del cliente (numero della carta, scadenza e PIN) e perché in molti casi non utilizza il chip presente sulla carta, come discusso su SnakeOilLabs. Proprio per questo, i lettori sono dotati di dispositivi antimanomissione, che però nel caso del modello di lettore preso di mira (un Trintech Smart5000) evidentemente non ha funzionato.

La polizia britannica ha già effettuato otto arresti nel sud dell'Inghilterra, e l'indagine continua. Nel frattempo, chiunque abbia un lettore di carte di credito nel proprio negozio farebbe meglio a diffidare di chi si presenta come tecnico alla manutenzione e a verificarne l'identità telefonando alla società di gestione dei lettori... ovviamente senza usare eventuali numeri forniti dal "tecnico".

Tuttavia, stando ai commenti che potete leggere qui sotto, sembra che questo genere di truffa sia già sbarcato anche in Italia e che abbia forme ancora più sofisticate.

Nessun commento: