[banner]…[/banner]
In vacanza con la sua famiglia in Austria, Ben Tedesco, un ricercatore esperto in sicurezza, ha individuato uno sportello per il prelievo automatico di denaro (l’ATM che in Italia è da molti impropriamente chiamato Bancomat) al quale era applicato il cosiddetto “Skimmer”, un hardware camuffato all’esterno del lettore di schede, un dispositivo che consente di trasmettere ai truffatori di ottenere i codici contenuti nella banda magnetica delle carte inserite e (sfruttando una micro-telecamera) ottenere quelli digitati dall’utilizzatore. La disponibilità di questi due elementi consente di clonare una scheda magnetica con la quale è possibile effettuare prelievi e altre operazioni sino a che l’utente o il sistema antifrodi dell’istituto bancario non provvedano alla sua disabilitazione.
Molte persone, soprattutto ora che partono in vacanza, non prestano attenzione alle possibile truffe su questi sistemi. La tecnica è vecchia ma i truffatori trovano sempre nuovi modi per camuffare skimmer, micro telecamere o applicare oggetti che impediscono l’uscita dei soldi oppure della carta (che vengono successivamente presi dal ladro).
L’installazione degli Skimmer, spiega Kaspersky, non richiede alto livello di specializzazione. Un professionista impiega pochi secondi per installare l’attrezzatura che consente di effettuare un attacco di skimming, che si porta a termine solamente eseguendo delle operazioni preparatorie come raccogliere informazioni, fare sopralluoghi e analizzare la posizione delle videocamere di sorveglianza, oltre a identificare le ore più tranquille per agire. Tutto questo viene accompagnato dall’aiuto di un “assistente” che si posiziona in prossimità del luogo di interesse.
Un cybercriminale specializzato è difficile che venga colto con le mani nel sacco. Un uomo pacato e ben vestito potrebbe affermare di aver notato qualcosa di strano al bancomat e di voler avere una conferma dei propri sospetti prima di chiamare la polizia. In casi come questi è difficile provare la truffa, soprattutto se il cybercriminale ha avuto il tempo di sbarazzarsi della colla e dei dispositivi installati. Per questo motivo le banche consigliano agli utenti di non toccare nulla di sospetto e di chiamare immediatamente la polizia.
Oltre ai bancomat, i truffatori sono interessati a tutti quei terminali che accettano carte di credito, ad esempio, i dispositivi presenti nelle stazioni di servizio, le macchinette che vendono biglietti di trasporto, i distributori automatici in generale. La gente è meno diffidente nei confronti di questi dispositivi (molto di più quando si parla di bancomat) e quindi agisce con minore attenzione.
Dopo aver installato lo Skimmer, i cybercriminali si mettono subito all’opera per la seconda fase, la cosiddetta “raccolta”. Devono essere abbastanza veloci per clonare il maggior numero di carte di credito prima che venga scoperta la truffa: quando la banca si accorge di essere vittima di una campagna di skimming, è più probabile che le carte colpite vengano bloccate. Per osservare da vicino l’andamento della situazione, un complice rimane appostato in macchina o in un bar vicino allo sportello bancomat. Se nessuno nota nulla di strano, la truffa può proseguire fino a quando non si esaurisce completamente la batteria dell’apparecchiatura utilizzata per lo skimming e nel frattempo è possibile rubare migliaia di credenziali.
I cybercriminali più avidi disinstallano l’apparecchiatura e i più intelligenti la lasciano lì per non correre il rischio di essere acciuffati. In ogni caso, una truffa del genere può portare a guadagnare migliaia di dollari e il costo delle apparcchiature viene ampiamente coperto. Ritirare il denaro dalle carte clonate è una parte molto rischiosa del lavoro del cybercriminale, per questo spesso si tratta di un’operazione affidata ad esterni (molte persone in realtà), i cosiddetti “muli”.
A volte i muli consegnano solo il denaro ai cybercriminali, prendendo una percentuale del ricavato. In altri casi, invece, i muli acquistano pacchetti di bande magnetiche delle carte rubate e agiscono in autonomia, spesso in altre parti del mondo.
Il motivo per cui è così facile rubare del denaro dalle carte di credito risiede nel fatto che le tecnologie di sicurezza impiegate sono ormai datate. Le prime bande magnetiche delle carte di credito sono nate un paio di generazioni fa, a metà del secolo scorso, quando non si sapeva ancora come rubare o clonare le credenziali bancarie e le carte.
I dati registrati nella banda magnetica sono protetti soltanto da un codice PIN che serve per giustificare le transazioni. Nel frattempo sono state implementati altri sistemi di sicurezza ma rimangono ancora opzionali.
Non serve aggiungere che i sistemi di pagamento e le banche stesse stanno creando da anni varie soluzioni a questo problema. Le carte EMV più sicure, dotate di una banda magnetica e di un chip, sono in uso da vent’anni ormai.
Un chip non può essere clonato come una banda magnetica. Il bancomat richiede il chip della carta per creare un codice usa e getta che può essere rubato ma comunque non sarà possibile effettuare transazioni.
Non ci sono regole per proteggersi al 100% dagli attacchi di skimming; i consigli sono ad ogni modo i seguenti:
1. Se la nostra carta di credito non è dotata del chip EMV, sarebbe meglio non usarla. Di solito, su richiesta le banche sostituiscono la vecchia carta di credito con una più moderna. Il chip non garantisce totale sicurezza, ma aiuta molto;
2. Abilitiamo le notifiche via SMS per le nostre transazioni. Prima veniamo a sapere di un furto sulla nostra carta, maggiori probabilità abbiamo di avere indietro il denaro;
3. Se non viaggiamo tanto per il mondo, un’idea potrebbe essere limitare l’area d’uso della carta (se poi andiamo all’estero, possiamo attivare l’operatività della nostra carta per il paese in cui ci stiamo dirigendo). Si tratta di una misura di sicurezza che ha efficacia provata in molti paesi europei;
4. Meglio non usare le carte dove abbiamo depositato molto denaro. Meno le usiamo (soprattutto all’estero), meno pericoli corriamo. Per operazioni “rischiose” potremmo optare per un’altra carta dove abbiamo trasferito una quantità minima di denaro;
5. Se dobbiamo ritirare denaro da un bancomat, scegliamo i terminali ubicati in luoghi sicuri e ben illuminati, ad esempio gli sportelli che si trovano all’interno dell’istituto bancario. Evitiamo, invece, quegli sportelli isolati o confinati agli angoli dei centri commerciali;
6. Quando digitiamo il codice PIN, cerchiamo di stare attaccati il più possibile al terminale e copriamo il tastierino con la mano. È probabile, infatti, che i cybercriminali ci stiano vigilando dall’alto con una telecamera per scoprire il PIN. Non dimentichiamo di cambiare regolarmente il codice PIN (presso un bancomat di cui siamo sicuri o direttamente con l’aiuto di un impiegato in succursale), soprattutto dopo aver effettuato transazioni che comportano un certo rischio;
7. Stiamo sempre all’erta cercando movimenti strani vicino allo sportello bancomat. Non tutti i ladri sono dei professionisti o non è detto che utilizzino le attrezzature adatte. E ricordiamoci di non passare mai la carta in quel sistema per “pulire” la banda magnetica che spesso si trova vicino agli sportelli (sembra strano ma in molti ci cascano);
8. Contiamo sempre le banconote che ci consegna il terminale. Ci sono alcune “trappole” che trattengono le banconote. Se il bancomat non ci restituisce la carta, potrebbe essere una fase dell’attacco di skimming; in questo caso, dobbiamo chiamare immediatamente la banca e non allontanarci dal terminale. Truffe di questo genere accadono spesso in quei paesi europei che hanno adottato il chip EMV, in quanto i cybercriminali hanno bisogno di avere il chip per rubare il denaro;
9. Vigiliamo sempre la nostra carta di credito quando dobbiamo effettuare dei pagamenti al ristorante o in un negozio. Ci sono degli scanner di piccoli dimensioni che si usano per clonare le carte di credito e il codice PIN è facile da bypassare;
10. Non mostriamo la nostra carta di credito a sconosciuti, né tantomeno inviamo o postiamo fotografie della tessera, anche se solo di una delle due facce della carta. Molti siti Internet consentono di effettuare transazioni anche senza inserire il codice CVV2 che si trova sul retro della carta e, ovviamente, non adottano il sistema di autenticazione a doppio fattore (grazie il quale viene inviato per SMS un codice usa e getta).
Per il resto, rimaniamo sempre vigili. Le carta di credito sono utilissime ma a volte questa comodità ci si può ritorcere contro. Seguite i consigli sopra indicati: meglio apparire ridicoli e paranoici che essere truffati e rimanere al verde.