I pagamenti contactless sono sicuri?

La comodità delle carte di credito contactless è innegabile. Tuttavia, con questa facilità d’uso il dubbio è che anche rubarvi denaro sia altrettanto facile.

NFC

“Il totale è di 12,95 euro”, dice la cassiera del supermercato. Prendo il portafoglio, lo avvicino al terminale POS, attendo qualche secondo e, voilà, transazione eseguita!

Le carte di credito contactless sono davvero comode. Non bisogna strisciare la carta, ricordare il PIN, mettere la firma sulla ricevuta; non è necessario prendere la tessera dal portafoglio oppure cercare monete e monetine per pagare in contanti. Un solo gesto ed è tutto risolto.

Anche chi lavora alla cassa è contento di questo metodo che rende più semplice e veloce il pagamento, operazione che a volte richiede del tempo.

Tuttavia, questa facilità d’uso ci fa sorgere dei dubbi circa anche la facilità di rubare denaro da parte dei cybercriminali. Un ladro potrebbe sottrarre tutto il denaro facendo passare la carta di credito per un apposito lettore?

Per scoprirlo, ho analizzato diversi report di conferenze del settore e ho parlato con vari rappresentanti dei principali enti bancari. Il feedback che ho ricevuto è in generale positivo, ma ovviamente ci sono dei punti ancora da chiarire.

Raggio d’azione

Le carte di credito contactless operano con la tecnologia NFC (simile alla RFID). Nella tessera sono integrati un chip e un’antenna che rispondono alla richiesta del terminale POS mediante una frequenza di 13.56 MHz. I vari sistemi di pagamento utilizzano i propri standard come payWave di Visa, PayPass di MasterCard, ExpressPay di American Express ecc. In ogni caso, tutti utilizzano lo stesso metodo e la stessa tecnologia di base.

Il raggio della trasmissione NFC è breve, inferiore ai 3 cm, per cui per il furto c’è un primo impedimento fisico. Il lettore, in sostanza, dovrebbe essere collocato nelle immediatissime vicinanze della tessera, operazione che non passa certo inosservata.

Tuttavia, si potrebbe costruire un lettore in grado di funzionare con un raggio d’azione più ampio. Ad esempio, alcuni ricercatori dell’Università di Surrey hanno progettato uno scanner compatto in grado di leggere i dati NFC da una distanza di 80 cm.

Un dispositivo di questo tipo potrebbe essere utilizzato per intercettare le carte contactless sui mezzi pubblici, nei centri commerciali, aeroporti e altri luoghi affollati. In molti paesi, le tessere compatibili con la tecnologia NFC sono ampiamente utilizzate per cui il bacino di vittime in luoghi ad alta concentrazione di persone potrebbe essere davvero notevole.

Di recente si è scoperto che non c’è neanche bisogno di uno scanner apposito nelle vicinanze. Un sistema elegante per “eliminare la distanza” è stato sviluppato dagli hacker spagnoli Ricardo Rodriguez e Jose Vila, presentato alla conferenza Hack in the Box.

La maggior parte degli smartphone di oggi sono dotati di modulo NFC e sembra che la maggior parte delle persone tiene sempre vicino smartphone e portafoglio, che sia in tasca o in borsa. Rodriguez e Vila hanno progettato l’idea di un Trojan per Android che convertirebbe lo smartphone in un lettore NFC.

Quando lo smartphone infetto viene collocato vicino a una carta di credito contactless, segnala ai cybercriminali la possibilità di eseguire una transazione. Gli scammer allora attivano un regolare terminale POS e posizionano il proprio smartphne con il modulo NFC attivato vicino al terminale. Si costruisce una sorta di “ponte” con l’aiuto di Internet tra la tessera con modulo NFC e il terminale NFC, indipendentemente dal raggio di azione disponibile.

Il Trojan potrebbe diffondersi mediante i metodi standard, come un paio di malware e un’app a pagamento hackerata. L’unico prerequisito da rispettare è che il telefono supporti la versione Android 4.4 o superiore. Non è neanche necessario l’accesso ai permessi di root, anche se sarebbe meglio, così il Trojan potrebbe agire anche quando lo schermo è bloccato.

Crittografia

Individuare una carta di credito presente nel raggio d’azione del lettore rappresenta solo metà del lavoro. Esiste un’ulteriore linea di difesa, la crittografia.

Le transazioni contactless sono protette dallo stesso standard EMV che protegge le normali carte di credito con chip EMV. Se la banda magnetica può essere clonata facilmente, con il chip non è possibile. Quando riceve una richiesta da un terminale POS, il circuito integrato genera un codice usa e getta, il quale può anche essere intercettato ma non servirà per successive transazioni.

I ricercatori si sono dimostrati più volte preoccupati circa la sicurezza dello standard EMV anche se, fino ad ora, non si conoscono casi di carte EMV hackerate.

C’è un aspetto da considerare. Nell’uso normale, la sicurezza dello standard EMV si basa sull’uso combinato di crittografia e codice PIN digitato dall’utente. Nel caso delle transazioni contactless, non viene richiesto il codice PIN e quindi tutta la protezione è limitata alle chiavi crittografiche generate dalla carta di credito stessa e dal terminale.

“In teoria, è possibile creare un terminale in grado di leggere i dati NFC di una carta direttamente dal portafoglio. Tuttavia, questo terminale dovrebbe utilizzare chiavi crittografiche prese dalla banca che accetta la transazione e dal sistema di pagamento. Le chiavi crittografiche vengono emesse dalla banca il che vuol dire che sarebbe facile rintracciare la truffa o effettuare delle indagini”, ci ha spiegato Alexander Taratorin, di Raiffeisen Bank.

Valore della transazione

C’è un’ulteriore linea di difesa: il limite delle somme che si possono pagare con il sistema contactless. Tale limite è impostato nel terminale POS, indicato dall’ente bancario in base alle raccomandazioni definite dai singoli sistemi di pagamento. In Russia, ad esempio, una transazione con sistema contactless può arrivare a un massimo di mille rubli, negli Stati Uniti si arriva fino a 25 dollari e nel Regno Unito il massimo è di 20 sterline (a breve sarà alzato a 30 sterline) ecc.

Se si dovesse superare questo limite, la transazione non verrà effettuata o sarà richiesta una conferma ulteriore, come l’inserimento di un codice PIN o una firma, in base a quanto stabilito dalla banca. Per evitare che a carico del cliente vengano addebitate transazioni di piccolo conto ma frequenti, si auspica l’introduzione di un meccanismo di sicurezza aggiuntivo.

C’è un ma. Quasi un anno fa, un altro gruppo di ricercatori dell’Università di Newcastle (Regno Unito) ha dimostrato la presenza di una vulnerabilità nel sistema di sicurezza delle carte contactless di Visa. Quando si decide di effettuare il pagamento in un’altra valuta e non in sterline, il limite delle transazioni può essere bypassato. Se il terminale POS è in modalità offline, il valore massimo delle transazioni può raggiungere il milione di euro.

In ogni caso, Visa ha escluso che attacchi di questo genere siano fattibili nella vita reale, dal momento che transazioni di tale portata verrebbero rifiutate dall’ente bancario stesso.

Secondo Taratorin di Raiffesen Bank, un terminale POS verifica il valore massimo di una transazione, indipendentemente dalla valuta utilizzata.

Un metodo differente

Insomma, tutto si riduce a una bolla di sapone per l’improbabilità che un furto con carte contactless possa avvenire per la serie di motivi che abbiamo elencato? La risposta più probabile è sì, a meno che i ladri non lavorino all’interno della banca.

E poi c’è un’altra scoperta non molto piacevole: il sistema NFC può comunque consentire il furto delle credenziali di pagamento, anche se non si arriva a manomettere la transazione stessa.

Lo standard EMV implica che alcuni dati vengano immagazzinati all’interno del chip senza alcun sistema crittografico. Tali dati possono essere il numero della carta o l’ultima transazione effettuata o altro, dipende dalla politica della banca o del sistema di pagamento. I dati possono essere letti con uno smartphone dotato di sensore NFC mediante una regolare app (come Banking card reader NFC), provateci voi stessi.

Fino ad ora, queste informazioni non erano considerate sufficienti per compromettere la sicurezza di una carta di credito. Di recente, però, questo mito è stato sfatato dal gruppo di consumatori Which?.

Gli esperti di Which? hanno testato varie carte contactless emesse da alcuni enti bancari britannici. Con l’aiuto di un lettore NFC e un software gratuito sono riusciti a decifrare il numero della carta e la data di scadenza.

Si potrebbe pensare che non c’è da preoccuparsi in quanto serve comunque il numero CVV per effettuare un acquisto online.

La triste verità, invece, è che molti shop online non richiedono il numero CVV. Gli esperti di Which? sono riusciti ad acquistare una TV da tremila sterline presso uno dei principali rivenditori online.

L’aspetto più importante

Sebbene la tecnologia contactless preveda diversi livelli di protezione, non vuol dire che il nostro denaro sia protetto al 100%. Molti aspetti delle carte di credito si basano ancora su tecnologie obsolete come bande magnetiche, possibilità di pagare online senza sistemi di autenticazione aggiuntivi ecc.

Da diversi punti di vista, la sicurezza dipende dalle impostazioni impiegate dagli enti bancari e dai punti vendita online. Questi ultimi, per velocizzare il percorso di acquisto e per non lasciare i propri “carrelli” vuoti, a volte preferiscono sacrificare la sicurezza e racimolare qualche soldo in più.

Per questo motivo, i nostri consigli di base sulla sicurezza sono validi anche in caso di pagamenti contactless. Assicuratevi che nessuna possa visualizzare il codice PIN o altre informazioni della carta, non mostrate questi dati importanti a nessuno, fate attenzione alle app che scaricate sullo smartphone, installate sempre un buon antivirus, attivate le notifiche via SMS per le transazioni bancarie e avvisate subito la banca in caso di attività sospette.

Per assicurarvi che nessuna possa leggere i dati della vostra tessera NFC, potreste sempre comprare un sistema che protegga il portafoglio. Nulla può contro le leggi della fisica.

Consigli