{"id":6381,"date":"2015-07-29T07:47:41","date_gmt":"2015-07-29T07:47:41","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=6381"},"modified":"2019-11-22T11:29:38","modified_gmt":"2019-11-22T09:29:38","slug":"contactless-payments-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/contactless-payments-security\/6381\/","title":{"rendered":"I pagamenti contactless sono sicuri?"},"content":{"rendered":"<p>\u201cIl totale \u00e8 di 12,95 euro\u201d, dice la cassiera del supermercato. Prendo il portafoglio, lo avvicino al terminale POS, attendo qualche secondo e, voil\u00e0, transazione eseguita!<\/p>\n<p>Le carte di credito contactless sono davvero comode. Non bisogna strisciare la carta, ricordare il PIN, mettere la firma sulla ricevuta; non \u00e8 necessario prendere la tessera dal portafoglio oppure cercare monete e monetine per pagare in contanti. Un solo gesto ed \u00e8 tutto risolto.<\/p>\n<p>Anche chi lavora alla cassa \u00e8 contento di questo metodo che rende pi\u00f9 semplice e veloce il pagamento, operazione che a volte richiede del tempo.<\/p>\n<p>Tuttavia, questa facilit\u00e0 d\u2019uso ci fa sorgere dei dubbi circa anche la facilit\u00e0 di rubare denaro da parte dei cybercriminali. Un ladro potrebbe sottrarre tutto il denaro facendo passare la carta di credito per un apposito lettore?<\/p>\n<p>Per scoprirlo, ho analizzato diversi report di conferenze del settore e ho parlato con vari rappresentanti dei principali enti bancari. Il feedback che ho ricevuto \u00e8 in generale positivo, ma ovviamente ci sono dei punti ancora da chiarire.<\/p>\n<p><strong>Raggio d\u2019azione<\/strong><\/p>\n<p>Le carte di credito contactless operano con la tecnologia NFC (simile alla RFID). Nella tessera sono integrati un chip e un\u2019antenna che rispondono alla richiesta del terminale POS mediante una frequenza di 13.56 MHz. I vari sistemi di pagamento utilizzano i propri standard come payWave di Visa, PayPass di MasterCard, ExpressPay di American Express ecc. In ogni caso, tutti utilizzano lo stesso metodo e la stessa tecnologia di base.<\/p>\n<p>Il raggio della trasmissione NFC \u00e8 breve, inferiore ai 3 cm, per cui per il furto c\u2019\u00e8 un primo impedimento fisico. Il lettore, in sostanza, dovrebbe essere collocato nelle immediatissime vicinanze della tessera, operazione che non passa certo inosservata.<\/p>\n<p>Tuttavia, si potrebbe costruire un lettore in grado di funzionare con un raggio d\u2019azione pi\u00f9 ampio. Ad esempio, alcuni ricercatori dell\u2019Universit\u00e0 di Surrey <a href=\"http:\/\/www.surrey.ac.uk\/mediacentre\/press\/2013\/114636_contactless_payment_cards_research_highlights_security_concerns.htm\" target=\"_blank\" rel=\"noopener nofollow\">hanno progettato<\/a> uno scanner compatto in grado di leggere i dati NFC da una distanza di 80 cm.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/contactless?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#contactless<\/a> cards could be easily hacked with cheap electronics, study of <a href=\"https:\/\/twitter.com\/UniOfSurrey?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@UniOfSurrey<\/a> proved: <a href=\"http:\/\/t.co\/rDs1CjTG48\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/rDs1CjTG48<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/NFC?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#NFC<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/cybersecurity?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#cybersecurity<\/a><\/p>\n<p>\u2014 E+T Magazine (@EandTmagazine) <a href=\"https:\/\/twitter.com\/EandTmagazine\/status\/395841734044684289?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">October 31, 2013<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Un dispositivo di questo tipo potrebbe essere utilizzato per intercettare le carte contactless sui mezzi pubblici, nei centri commerciali, aeroporti e altri luoghi affollati. In molti paesi, le tessere compatibili con la tecnologia NFC sono ampiamente utilizzate per cui il bacino di vittime in luoghi ad alta concentrazione di persone potrebbe essere davvero notevole.<\/p>\n<p>Di recente si \u00e8 scoperto che non c\u2019\u00e8 neanche bisogno di uno scanner apposito nelle vicinanze. Un sistema elegante per \u201celiminare la distanza\u201d \u00e8 stato sviluppato dagli <a href=\"http:\/\/www.idigitaltimes.com\/new-android-nfc-attack-could-steal-money-credit-cards-anytime-your-phone-near-445497\" target=\"_blank\" rel=\"noopener nofollow\">hacker spagnoli<\/a> Ricardo Rodriguez e Jose Vila, presentato alla conferenza <em>Hack in the Box<\/em>.<\/p>\n<div style=\"width: 1290px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2015\/07\/05233030\/contactless-card-attack-concept.jpg\" alt=\"\" width=\"1280\" height=\"514\"><p class=\"wp-caption-text\">Fonte immagine: <a href=\"https:\/\/conference.hitb.org\/hitbsecconf2015ams\/wp-content\/uploads\/2014\/12\/WHITEPAPER-Relay-Attacks-in-EMV-Contactless-Cards.pdf\" target=\"_blank\" rel=\"noopener nofollow\">Esperimenti pratici di attacchi via NFC su Android<\/a><\/p><\/div>\n<p>La maggior parte degli smartphone di oggi sono dotati di modulo NFC e sembra che la maggior parte delle persone tiene sempre vicino smartphone e portafoglio, che sia in tasca o in borsa. Rodriguez e Vila hanno progettato l\u2019idea di <a href=\"https:\/\/conference.hitb.org\/hitbsecconf2015ams\/wp-content\/uploads\/2014\/12\/WHITEPAPER-Relay-Attacks-in-EMV-Contactless-Cards.pdf\" target=\"_blank\" rel=\"noopener nofollow\">un Trojan per Android<\/a> che convertirebbe lo smartphone in un lettore NFC.<\/p>\n<p>Quando lo smartphone infetto viene collocato vicino a una carta di credito contactless, segnala ai cybercriminali la possibilit\u00e0 di eseguire una transazione. Gli scammer allora attivano un regolare terminale POS e posizionano il proprio smartphne con il modulo NFC attivato vicino al terminale. Si costruisce una sorta di \u201cponte\u201d con l\u2019aiuto di Internet tra la tessera con modulo NFC e il terminale NFC, indipendentemente dal raggio di azione disponibile.<\/p>\n<p>Il Trojan potrebbe diffondersi mediante i metodi standard, come un paio di malware e un\u2019app a pagamento hackerata. L\u2019unico prerequisito da rispettare \u00e8 che il telefono supporti la versione Android 4.4 o superiore. Non \u00e8 neanche necessario l\u2019accesso ai permessi di root, anche se sarebbe meglio, cos\u00ec il Trojan potrebbe agire anche quando lo schermo \u00e8 bloccato.<\/p>\n<p><strong>Crittografia<\/strong><\/p>\n<p>Individuare una carta di credito presente nel raggio d\u2019azione del lettore rappresenta solo met\u00e0 del lavoro. Esiste un\u2019ulteriore linea di difesa, la crittografia.<\/p>\n<p>Le transazioni contactless sono protette dallo stesso standard EMV che protegge le normali carte di credito con chip EMV. Se la banda magnetica pu\u00f2 essere clonata facilmente, con il chip non \u00e8 possibile. Quando riceve una richiesta da un terminale POS, il circuito integrato genera un codice usa e getta, il quale pu\u00f2 anche essere intercettato ma non servir\u00e0 per successive transazioni.<\/p>\n<p>I ricercatori si sono dimostrati pi\u00f9 volte preoccupati circa la sicurezza dello standard EMV anche se, fino ad ora, non si conoscono casi di carte EMV hackerate.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>I pagamenti contactless sono sicuri?<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FCF16&amp;text=I+pagamenti+contactless+sono+sicuri%3F\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>C\u2019\u00e8 un aspetto da considerare. Nell\u2019uso normale, la sicurezza dello standard EMV si basa sull\u2019uso combinato di crittografia e codice PIN digitato dall\u2019utente. Nel caso delle transazioni contactless, non viene richiesto il codice PIN e quindi tutta la protezione \u00e8 limitata alle chiavi crittografiche generate dalla carta di credito stessa e dal terminale.<\/p>\n<p>\u201cIn teoria, \u00e8 possibile creare un terminale in grado di leggere i dati NFC di una carta direttamente dal portafoglio. Tuttavia, questo terminale dovrebbe utilizzare chiavi crittografiche prese dalla banca che accetta la transazione e dal sistema di pagamento. Le chiavi crittografiche vengono emesse dalla banca il che vuol dire che sarebbe facile rintracciare la truffa o effettuare delle indagini\u201d, ci ha spiegato Alexander Taratorin, di Raiffeisen Bank.<\/p>\n<p><strong>Valore della transazione <\/strong><\/p>\n<p>C\u2019\u00e8 un\u2019ulteriore linea di difesa: il limite delle somme che si possono pagare con il sistema contactless. Tale limite \u00e8 impostato nel terminale POS, indicato dall\u2019ente bancario in base alle raccomandazioni definite dai singoli sistemi di pagamento. In Russia, ad esempio, una transazione con sistema contactless pu\u00f2 arrivare a un massimo di mille rubli, negli Stati Uniti si arriva fino a 25 dollari e nel Regno Unito il massimo \u00e8 di 20 sterline (a breve sar\u00e0 alzato a 30 sterline) ecc.<\/p>\n<p>Se si dovesse superare questo limite, la transazione non verr\u00e0 effettuata o sar\u00e0 richiesta una conferma ulteriore, come l\u2019inserimento di un codice PIN o una firma, in base a quanto stabilito dalla banca. Per evitare che a carico del cliente vengano addebitate transazioni di piccolo conto ma frequenti, si auspica l\u2019introduzione di un meccanismo di sicurezza aggiuntivo.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"cs\" dir=\"ltr\">Quantum plastic: an insight into credit cards of the future: <a href=\"https:\/\/t.co\/NpMM9FuzwZ\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/NpMM9FuzwZ<\/a> \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e <a href=\"https:\/\/twitter.com\/kaspersky?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@kaspersky<\/a><\/p>\n<p>\u2014 Yulya Polozova (@YulyaPolozova) <a href=\"https:\/\/twitter.com\/YulyaPolozova\/status\/563639642231418880?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 6, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>C\u2019\u00e8 un ma. Quasi un anno fa, un altro gruppo di ricercatori dell\u2019Universit\u00e0 di Newcastle (Regno Unito) ha dimostrato la presenza di una vulnerabilit\u00e0 nel sistema di sicurezza delle carte contactless di Visa. Quando si decide di effettuare il pagamento in un\u2019altra valuta e non in sterline, il limite delle transazioni pu\u00f2 essere bypassato. Se il terminale POS \u00e8 in modalit\u00e0 offline, il valore massimo delle transazioni pu\u00f2 raggiungere il milione di euro.<\/p>\n<p>In ogni caso, Visa ha escluso che attacchi di questo genere siano fattibili nella vita reale, dal momento che transazioni di tale portata verrebbero rifiutate dall\u2019ente bancario stesso.<\/p>\n<p>Secondo Taratorin di Raiffesen Bank, un terminale POS verifica il valore massimo di una transazione, indipendentemente dalla valuta utilizzata.<\/p>\n<p><strong>Un metodo differente<\/strong><\/p>\n<p>Insomma, tutto si riduce a una bolla di sapone per l\u2019improbabilit\u00e0 che un furto con carte contactless possa avvenire per la serie di motivi che abbiamo elencato? La risposta pi\u00f9 probabile \u00e8 s\u00ec, a meno che i ladri non lavorino all\u2019interno della banca.<\/p>\n<p>E poi c\u2019\u00e8 un\u2019altra scoperta non molto piacevole: il sistema NFC pu\u00f2 comunque consentire il furto delle credenziali di pagamento, anche se non si arriva a manomettere la transazione stessa.<\/p>\n<p>Lo standard EMV implica che alcuni dati vengano immagazzinati all\u2019interno del chip senza alcun sistema crittografico. Tali dati possono essere il numero della carta o l\u2019ultima transazione effettuata o altro, dipende dalla politica della banca o del sistema di pagamento. I dati possono essere letti con uno smartphone dotato di sensore NFC mediante una regolare app (come <a href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.github.devnied.emvnfccard\" target=\"_blank\" rel=\"noopener nofollow\">Banking card reader NFC<\/a>), provateci voi stessi.<\/p>\n<p>Fino ad ora, queste informazioni non erano considerate sufficienti per compromettere la sicurezza di una carta di credito. Di recente, per\u00f2, <a href=\"http:\/\/www.dailymail.co.uk\/news\/article-3171431\/Thieves-use-scanners-steal-account-details-contactless-card-wallet.html\" target=\"_blank\" rel=\"noopener nofollow\">questo mito \u00e8 stato sfatato<\/a> dal gruppo di consumatori <em>Which?<\/em>.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">**SECURITY ALERT** We've found a flaw with contactless cards that could be exploited to make pricey online purchases <a href=\"http:\/\/t.co\/0yVNrKDije\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/0yVNrKDije<\/a><\/p>\n<p>\u2014 Which? (@WhichUK) <a href=\"https:\/\/twitter.com\/WhichUK\/status\/623809716997656576?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">July 22, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Gli esperti di <em>Which?<\/em> hanno testato varie carte contactless emesse da alcuni enti bancari britannici. Con l\u2019aiuto di un lettore NFC e un software gratuito sono riusciti a decifrare il numero della carta e la data di scadenza.<\/p>\n<p>Si potrebbe pensare che non c\u2019\u00e8 da preoccuparsi in quanto serve comunque il numero CVV per effettuare un acquisto online.<\/p>\n<p>La triste verit\u00e0, invece, \u00e8 che molti shop online non richiedono il numero CVV. Gli esperti di <em>Which?<\/em> sono riusciti ad acquistare una TV da tremila sterline presso uno dei principali rivenditori online.<\/p>\n<p><strong>L\u2019aspetto pi\u00f9 importante<\/strong><\/p>\n<p>Sebbene la tecnologia contactless preveda diversi livelli di protezione, non vuol dire che il nostro denaro sia protetto al 100%. Molti aspetti delle carte di credito si basano ancora su tecnologie obsolete come bande magnetiche, possibilit\u00e0 di pagare online senza sistemi di autenticazione aggiuntivi ecc.<\/p>\n<p>Da diversi punti di vista, la sicurezza dipende dalle impostazioni impiegate dagli enti bancari e dai punti vendita online. Questi ultimi, per velocizzare il percorso di acquisto e per non lasciare i propri \u201ccarrelli\u201d vuoti, a volte preferiscono sacrificare la sicurezza e racimolare qualche soldo in pi\u00f9.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Criminal business on <a href=\"https:\/\/twitter.com\/hashtag\/ATMs?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ATMs<\/a>, part 2: <a href=\"https:\/\/t.co\/qCWhTm2ALD\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/qCWhTm2ALD<\/a> <a href=\"http:\/\/t.co\/46zP035BBE\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/46zP035BBE<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/561223684514672640?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">January 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Per questo motivo, <a href=\"https:\/\/www.kaspersky.it\/blog\/skimming-seconda-parte\/5547\/\" target=\"_blank\" rel=\"noopener\">i nostri consigli di base sulla sicurezza<\/a> sono validi anche in caso di pagamenti contactless. Assicuratevi che nessuna possa visualizzare il codice PIN o altre informazioni della carta, non mostrate questi dati importanti a nessuno, fate attenzione alle app che scaricate sullo smartphone, installate sempre un buon antivirus, attivate le notifiche via SMS per le transazioni bancarie e avvisate subito la banca in caso di attivit\u00e0 sospette.<\/p>\n<p>Per assicurarvi che nessuna possa leggere i dati della vostra tessera NFC, potreste sempre comprare un <a href=\"https:\/\/store.kaspersky.it\/qte_mvt.html?R=KASPPC1AI&amp;typnews=it_nfckdailyit_pro_ona_smm__onl_b2c_fbo_fbpost503x503____walletcard___\" target=\"_blank\" rel=\"noopener nofollow\">sistema che protegga il portafoglio<\/a>. Nulla pu\u00f2 contro le leggi della fisica.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La comodit\u00e0 delle carte di credito contactless \u00e8 innegabile. Tuttavia, con questa facilit\u00e0 d\u2019uso il dubbio \u00e8 che anche rubarvi denaro sia altrettanto facile. <\/p>\n","protected":false},"author":521,"featured_media":6383,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[12,14],"tags":[1050,1555,843,1552,1554,1553,1525,45],"class_list":{"0":"post-6381","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-products","9":"tag-carte-di-credito","10":"tag-expresspay","11":"tag-nfc","12":"tag-pagamenti-contactless","13":"tag-paypass","14":"tag-paywave","15":"tag-rfid","16":"tag-sicurezza"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/contactless-payments-security\/6381\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/contactless-payments-security\/5705\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/contactless-payments-security\/6040\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/contactless-payments-security\/5848\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/contactless-payments-security\/6506\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/contactless-payments-security\/8608\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/contactless-payments-security\/9422\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/contactless-payments-security\/4730\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/contactless-payments-security\/5564\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/contactless-payments-security\/8391\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/contactless-payments-security\/8608\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/contactless-payments-security\/9422\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/contactless-payments-security\/9422\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/carte-di-credito\/","name":"carte di credito"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/6381","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/521"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=6381"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/6381\/revisions"}],"predecessor-version":[{"id":19013,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/6381\/revisions\/19013"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/6383"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=6381"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=6381"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=6381"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}