Cerca nel blog

2010/02/12

Come scavalcare il PIN nelle carte di credito

Questo articolo vi arriva grazie alle gentili donazioni di “masdemma” e “vdemontis”. L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2010/02/18.

Quando andavo a scuola io, non facevamo ricerche così divertenti. Un gruppo di ricercatori dell'Università di Cambridge ha scoperto una falla ridicolmente facile da usare nel sistema di gestione "chip and pin" delle transazioni effettuate con carte di credito nei terminali dei negozi.

Secondo Ross Anderson, del Cambridge University Computer Laboratory, si tratta di "uno dei difetti più grandi mai scoperto nei sistemi di pagamento... in un sistema usato da centinaia di milioni di persone, decine di migliaia di banche e milioni di punti vendita".

La falla permette al malfattore di usare una carta di credito rubata senza conoscerne il PIN. Il metodo, di cui non sono stati divulgati tutti i dettagli per ovvie ragioni, sembra essere un man in the middle: la carta rubata viene inserita in un lettore portatile collegato a un laptop sul quale gira un programma apposito scritto dai ricercatori di Cambridge. Il tutto è nascosto in un piccolo zaino, dal quale esce un cavetto, che viene dissimulato passandolo nella manica del manigoldo. Il cavetto si collega a una finta carta di credito, che è quella che viene infilata nel terminale del negozio al posto di quella vera.

La transazione avviene nel modo normale, avendo l'accortezza di non far notare il cavetto che sporge dalla carta (non è difficile), ma al momento della richiesta del PIN il criminale è libero di digitare quello che preferisce, anche "0000", perché il software e la finta carta fanno credere al terminale che sia stato immesso il codice corretto. La ricevuta riporta l'indicazione che la transazione è stata verificata tramite PIN.

Il programma Newsnight della BBC ha realizzato un video in cui mostra  questo trucco all'opera, naturalmente in condizioni controllate e con tutti i permessi del caso. Ha funzionato con due carte di credito e due di debito di quattro diversi istituti di credito britannici. Gli istituti, interpellati dalla BBC, hanno sottolineato che si tratta di un problema che riguarda l'intero settore e non è colpa di un singolo operatore e da quanto dicono sembra di capire che stiano già lavorando alla soluzione.

Ora resta da chiarire se il problema si estende anche alle carte di credito non britanniche. Considerato che le carte di credito estere funzionano anche nel Regno Unito, la cosa sembra altamente probabile. Un rimedio possibile è disporre il terminale di lettura delle carte in modo che il malfattore non possa dissimulare il cavetto coprendolo con la manica del maglione o della giacca.


Aggiornamento 2010/02/18


La bozza dell'articolo dei ricercatori dell'Università di Cambridge è scaricabile qui come PDF.

Nessun commento: