Le carte di credito con chip sono ancora vulnerabili

Il passaggio dalle carte di credito a banda magnetica a quelle con il chip è costato milioni di dollari ma garantiva una maggiore sicurezza. Nel Black Hat 2016, i ricercatori ci hanno rivelato che nem-meno le nuove carte di credito sono sicure.

L’industria bancaria investe molte energie, tempo e denaro per proteggere le carte di credito bancarie. Per anni, la loro protezione è consistita in cifre in rilievo e in un campo per la firma, ma adesso chip intelligenti e password uniche vigilano il vostro denaro e i criminali che vogliono rubarlo.

Il nuovo chip e i PIN delle carte (un EMV standard) promettevano una protezione maggiore rispetto alle carte di credito con banda magnetica. Tuttavia, non appena queste sono state distribuite i criminali hanno provato a infrangere le loro barriere di sicurezza. Fortunatamente, i criminali non sono gli unici a testarle; anche gli esperti di sicurezza stanno studiando questi sistemi. I ricercatori dell’azienda cercano vulnerabilità nell’attrezzatura e nell’architettura dei sistemi di pagamento, sperando di trovarle per avvisare gli sviluppatori delle carte di credito affinché possano colmare le lacune prima che i criminali riescano ad agire.

La presentazione dei ricercatori al Black Hat ha infuso sia speranza che ansia: sì, i criminali possono rubare denaro dalle carte di credito con chip (la gente, però, sa come difendersi). Due dipendenti di NCR Corp., azienda che sviluppa terminali di pagamento e ATM, hanno presentato un attacco ai terminali di pagamento utilizzato generalmente nei negozi o nei distributori di benzina. Impiegando un piccolo ed economico computer Raspeberry Pi, si sono inseriti nella comunicazione tra il computer principale del negozio (in parole povere, il registratore di cassa) e il modulo di pagamento (il PIN pad).

In generale, la comunicazione tra questi due sistemi deve essere criptata in maniera adeguata, ma in molti casi, la crittografia viene effettuata in maniera inappropriata o con l’aiuto di algoritmi vecchi e deboli. Di conseguenza, i criminali possono effettuare attacchi man-in-the-middle: intercettano i dati di comunicazione tra il modulo di pagamento e il computer principale e lo decodificano.

In realtà, l’attacco non estrae i dati, nonostante le norme di sicurezza della carta di credito con chip siano minime; alcuni dati, come il codice PIN, sono criptati sul chip e non sono mai trasmessi direttamente. Ad ogni modo, l’hacker può ottenere altre informazioni dal chip (i dati che in genere sono scritti sulla carta di credito a banda magnetica).

In questo modo, i criminali possono scoprire il nome del proprietario e il numero della carta di credito e utilizzare questi dati per effettuare pagamenti online con l’aiuto della carta di credito della vittima. Ovviamente, in quel caso, i criminali hanno bisogno anche del codice CVV2 e del CVC2 che si trovano sul retro della carta (in genere rimangono segreti durante la trasmissione dei dati). I criminali, però, possono provare a ingannare i proprietari della carta tralasciando questa informazione.

Oltre alle richieste standard come “Inserire la carta” e “Digitare il PIN”, i terminal di pagamento possono mostrare molte altre notifiche – una nuova richiesta come, ad esempio, “Digita il codice CVV2 (o il CVC2)”.

Ecco un’altro approccio interessante: un criminale può aggiungere qualcosa come “Errore, digitare nuovamente il PIN” (questa volta però il terminale penserà che si stiano richiedendo informazioni non sicure). Se il giochetto funziona, il terminal invia i dati sicuri facendoli passare per insicuri e i criminali ottengono i Pin delle vittime.

I ricercatori hanno due semplici consigli da dare ai proprietari delle carte di credito che vogliono essere al sicuro. In primo luogo, non si dovrebbe mai digitare il PIN due volte durante una transazione. Qualora si dovesse notare un errore e si dovesse ricevere la richiesta di inserire nuovamente il PIN, bisognerebbe annullare la transazione, estrarre la carta, inserirla nuovamente e digitare il PIN ancora una volta (ma solo una). Bisognerebbe anche stare attenti e ignorare qualsiasi richiesta strana del terminale di pagamento (specialmente se si tratta di richieste come “Qual è il codice CVC2/CVV2?”).

Il secondo consiglio non si può applicare in tutti i paesi, ma è interessante. Gli esperti NCR hanno un’alta considerazione della sicurezza dei sistemi di pagamento mobile (come l’Apple Pay), quindi pagare con il vostro orologio o con il vostro telefono potrebbe essere piú sicuro che utilizzare una carta di credito.

Ovviamente, pagare in contanti è la miglior protezione contro le frodi bancarie e delle carte di credito.

Consigli