2019/05/14

Skimming delle carte di credito sui siti legittimi

Lo skimming “vecchio stile”.
Fonte: The News Minute/WSDFI.
Questo articolo è il testo del mio podcast settimanale La Rete in tre minuti su @RadioInblu, in onda ogni martedì alle 9:03 e alle 17:03. Questo podcast può essere ascoltato qui su Radio Inblu.

Molte persone hanno paura a usare una carta di credito su Internet per fare acquisti o pagare servizi, e di solito vengono rassicurate invitandole a usare questo pratico strumento di pagamento soltanto su siti di buona reputazione.

Ma non è così semplice: anche siti notissimi possono essere presi di mira da una tecnica di furto di dati denominata skimming, come è successo a fine 2018 alla compagnia aerea British Airways e ad altri grandi nomi commerciali.

Lo skimming funziona così: i ladri attaccano un sito di commercio online e vi inseriscono delle istruzioni, scritte solitamente nel linguaggio informatico JavaScript, che intercettano i dati delle carte di credito quando vengono digitati dagli utenti durante un acquisto online fatto sul sito. Di solito i dati intercettati vengono poi passati al sito legittimo e quindi l’acquisto va a buon fine. Così l’utente vittima non si accorge di nulla, fino al momento in cui scopre che nella propria fattura della carta di credito ci sono addebiti fraudolenti effettuati dai ladri.

In altre parole, se in passato il rischio principale era costituito dai finti siti di commercio, oggi anche un acquisto su un sito autentico può comportare pericoli di furto dei dati della carta di credito. Una recente ricerca di Malwarebytes ha trovato oltre 200 siti infettati da un singolo attacco di skimming.

Eppure si possono comunque fare acquisti online senza troppe preoccupazioni. Infatti molti antivirus e molte applicazioni di sicurezza per telefonini, tablet e computer sono in grado di rilevare se un sito commerciale visitato è stato colpito da un attacco di skimming. A noi utenti conviene quindi installare queste protezioni informatiche come prima linea di difesa preventiva.

Ma i criminali informatici si muovono talmente in fretta che non si può essere del tutto certi che questa prima forma di protezione funzioni sempre. Di conseguenza, come precauzione aggiuntiva è opportuno attivare sulla propria carta di credito una notifica immediata, che avvisi subito il titolare quando viene fatta una spesa e permetta quindi di bloccare subito la carta in caso di uso non autorizzato.

Se si vuole essere ancora più sicuri, si può usare una carta di credito prepagata: in questo modo un eventuale ladro potrà prelevare soltanto l’importo caricato sulla carta in quel momento, ma non potrà prosciugare completamente il credito mensile.

Come al solito, insomma, la protezione informatica si ottiene attraverso una combinazione di vari elementi, compreso il buon senso. E se state pensando che sarebbe più sicuro prelevare contanti al Bancomat per fare acquisti in un negozio tradizionale, tenete presente che il termine skimming deriva da un attacco informatico che colpisce proprio chi usa i Bancomat: i ladri sovrappongono sullo sportello automatico un lettore supplementare, che intercetta i dati della carta, e una finta tastiera, che intercetta il PIN, passando poi questi dati al Bancomat vero, sottostante, per proseguire la transazione legittima come se nulla fosse.

Tornare ai vecchi sistemi significa spesso avere solo un’illusione di maggiore sicurezza: conviene quindi abbracciare quelli nuovi, ma al tempo stesso impararne i limiti.


Fonte aggiuntiva: Ars Technica.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili