Giocare con le carte… di credito: i ladri dei Bancomat

Tutti noi facciamo attenzione ai borseggiatori. Anche se a scuola non ci hanno spiegato come proteggere le nostre tasche quando ci troviamo fuori casa, la vita stessa ha provveduto a insegnarcelo. Lo stesso si può dire nel caso degli hacker. Oggi certi attacchi hacker hanno fatto il giro del Web e li conoscono anche i bambini.

Tuttavia, i ladri specializzati nello skimming (manomissione degli sportelli bancari e Bancomat con il fine di procurarsi illegalmente i dati delle carte di debito o di credito delle loro vittime) godono di una popolarità minore. Il rischio di cadere vittima di uno dei loro attacchi è relativamente alto. Questi truffatori sono specializzati nel furto dei PIN della carte di credito o debito attraverso dei piccoli hardware che vengono applicati all’interno dei distribuitori automatici. Nonostante gli sforzi delle forze dell’ordine, delle banche e dei sistemi di pagamento, la quantità di denaro che viene rubata dagli sportelli bancari continua ad aumentare.

I ladri dei Bancomat assomigliano da un lato ai borseggiatori (abili e scaltri come quest’ultimi) e dall’altro, sebbene in minor misura, agli hacker (perché non potrebbero mettere a punto i loro colpi senza l’impiego di speciali dispositivi tecnologici).

Diventare una delle loro vittime è facile, basta ritirare dei soldi da uno sportello bancario. Se la vostra carta di credito o Bancomat non è dotata di chip, sarà ancora peggio (ma meglio per i ladri). Infatti, è più facile prelevare soldi dalle carte di credito senza chip. Se poi volete rendere ancora più facile il compito ai ladri, basta non attivare l’opzione delle notifiche sms, inserire la carta di credito in un qualsiasi sportello bancario e inserire il PIN. Se seguite tutti questi passi, un giorno ricevete un biglietto di ringraziamento da parte del ladro.

Negli ultimi anni i casi di skimming sono decisamente aumentati e i ladri hanno affinano le tecniche. Il principio base è sempre quello: usare metodi discreti e silenziosi per leggere i dati dalle bande magnetiche delle carte di credito e debito, copiare i codici PIN, clonare la carta di credito e ritirare tutti i soldi possibili in base ai limiti del conto bancario della vittima. Negli ultimi tempi, però, le tecniche si sono evolute moltissimo.

Gli affari sono affari

C’era un’epoca in cui i ladri usavano dei lettori di carte di credito “fai da te” che venivano installati nella fessura dove si inserisce la carta di credito, ma rischiavano di essere beccati quando si accingevano ad estrarre i dati manualmente. Oggigiorno le cose sono cambiate: l’industria ha fatto passi da gigante e i ladri “fai da te” di successo si sono estinti. Oggi, lo skimming è un processo organizzato e altamente automatizzato.
Il primo anello della catena sono i produttori e i venditori di questi hardware pronti all’uso, disponibili e facili da acquistare. I kit si possono acquistare online e la merce viene spedita via servizio corriere – è un metodo sicuro per i criminali.

If you don't see a skimmer on that ATM, it might be because the ATM IS the skimmer – http://t.co/0UGr3HpQPK

— GreyCastle Security (@GreyCastleSec) December 19, 2013

Potete controllare voi stessi la popolarità degli hardware di skimming facendo qualche breve ricerca sui motori di ricerca. I kit che contengono i lettori per estrarre i dati, un pannello per ricoprire la tastiera e ottenere il PIN, e un dispositivo per clonare la carta di credito con il relativo software, vengono venduti ad una cifra che oscilla tra i 1.500 e i 2.000 dollari (circa 1.300-1.700 euro), mentre un paio di anni fa questi kit costavano sui 10.000 dollari (circa 8.600 euro), così come indicato dall’esperto di Infosec Brian Krebbs.

Non è necessario essere degli hacker per utilizzare questi dispositivi: i kit includono manuali dettagliati con una parte con alcune “best practices” e linee guida. Le istruzioni sono così precise che potrebbero persino includere raccomandazioni sul primo uso della batteria per assicurarsi che il lettore delle carte di credito duri di più.

Le meraviglie della tecnologia

Il progresso tecnologico, insieme alla grande richiesta, contribuisce all’evoluzione dei componenti elettronici usati a scopi illeciti. Gli esperti di sicurezza informatica raccomandano di controllare con attenzione tutti gli elementi che compongono lo sportello bancario alla ricerca di qualche cosa sospetta, ma con il tempo queste raccomandazioni risultano insufficienti.

In primo luogo, i vendor con esperienza vendono hardware quasi uguali ai componenti originali. Infatti, persino l’utente più attento non sarebbe in grado di distinguere il vero dal falso: la fessura è fatta dello stesso tipo di plastica di quello orginiale e persino dello stesso colore, solo con una forma leggermente diversa.

Questa somiglianza si deve ad una buona adattazione di alcuni elementi dello sportello bancario utilizzati per un’ampia tipologia di sportelli dato che ogni mercato ha la propria rete di banche. Naturalmente, le banche utilizzano tecniche anti-skimming per cercare di contrastare queste manomissioni.

In secondo luogo, ci sono lettori che sono stati installati dai ladri all’interno dei distribuitori automatici attraverso la fessura dove si introduce il bancomat. L’ente non-profit, European ATM Security Team, in un recente report, ha parlato di questo nuovo metodo. Quel che è peggio è che certi dispositivi non si prendono nemmeno la briga di leggere la banca magnetica, usano direttamente le risorse del computer dello sportello bancario per farlo!

This New Card Skimmer Is Almost As Thin As A Credit Card http://t.co/rvXS3W5HVa by @johnbiggs

— TechCrunch (@TechCrunch) August 22, 2014

Anche estrarre i dati rubati manualmente è cosa del passato. I nuovi modelli di lettori sono dotati di un modulo GSM capace di inviare i dati della banda magnetica in forma criptata (ebbene sì, anche i ladri competono con la concorrenza!) attraverso la comune rete di telefonia cellulare.

why GSM-based ATM skimmers are the "best," according to skimmer makers http://bit.ly/dKRrrp

— briankrebs (@briankrebs) December 13, 2010

Spiare il PIN

Ottenere il codice PIN rimane sempre l’espetto più complesso. Per poter mettere le mani sui PIN, i criminali usano mini videocamere o persino dispositivi mobili comuni come iPod Touch, famosi per la loro forma slim e la loro potente batteria.
In genere, viene installata una videocamera proprio sopra la tastiera dove si digita di solito il PIN oppure nel caso dei Bancomat che si trovano all’interno della banca, nella banca stessa. I ladri adorano piazzare le loro trappole tra le brochure, dove le banche di solito espongono le loro colonnine e cartelloni pubblicitari. Come ogni elemento che si trova comunemente in una banca, difficilmente vengono percepiti come un qualcosa di pericoloso.

Comunque se una persona cerca di ritirare del denaro coprendo la tastiera con le proprie mani, la videocamera non può catturare le immagini e quindi i ladri non posso sapere quale PIN ha digitato l’utene. Inoltre, bisogna aggiungere, che i video non sono molto comodi da inviare o processare e che richiedono un’analisi manuale da parte dei criminali.

Anche i pannelli ultra piatti che ricoprono il tastierino degli sportelli bancari sono sempre più economici. Oggi è possibile acquistarne uno nel mercato nero per una centinaio di dollari, il che non aiuta di certo a risolvere il problema. In questo caso, coprire il PIN pad quando si digita il codice non serve a nulla dato che il pannello “truccato” individuerà comunque il tuo PIN. È molto più facile processare il PIN in questo modo che attraverso lunghi video.

Questi pannelli si notano rispetto a quelli originali perché sporgono un po’, ma difficilmente gli utenti analizzano con molta attenzione il tastierino su cui digitano il PIN. Vista dall’alto, l’intera struttura sembra piuttosto ordinaria, nulla di particolare; il pannello truccato è stato fatto usando lo stesso acciaio e seguendo lo stesso stile dei pannelli originali.

C’è un’altra tecnica che i ladri dei Bancomat usano molto: proteggono sempre il software che usano dalla decodifica e dalla clonazione delle informazioni. Questo è il modo in cui il dispositivo si protegge da altri ladri e forze dell’ordine.

A questo scopo viene usato un PIN sbagliato. Il software di skimming non informa l’utente che non è corretto, semplicemente il programma si chiude. Quando poi la polizia chiede al ladro la password, questi gli da una password reale ma sbagliata, dando così ad intendere che il programma è un programma che non causa grossi danni. Per provare che si tratta di un programma usato a scopi illeciti, le forze dell’ordine devono servirsi di specialisti capaci di analizzare il codice, ma si tratta di un processo lungo e complesso.

"Five lessons I’ve learned from having my credit card hacked" https://t.co/TQHBbK0Oqw

— Eugene Kaspersky (@e_kaspersky) November 13, 2014

Detto questo, come avete potuto osservare, la tecnologia è solo uno dei tanti protagonisti di questa storia. Molte operazioni di skimming sono ancora manuali e molto rischiose. Vi parleremo di questo nella seconda parte del post e vi daremo alcuni consigli per proteggere il vostro conto di banca dai ladri.