Truffe sui bancomat, caos negli USA

Uno dei più importanti istituti bancari del Paese ammette il disastro: l'iniziativa di un gruppo di cyber-criminali sta mettendo in difficoltà Citybank e l'intero sistema delle carte usate da milioni di americani

New York (USA) - La settimana scorsa, negli Stati Uniti, si è consumato uno dei casi di frode bancaria più preoccupanti dell'ultimo anno, e non tanto per i numeri in ballo ma per il metodo adottato. Citibank ha ammesso che centinaia dei suoi clienti sono stati vittima di prelevamenti bancomat illegali.

La società che si occupa dell'archiviazione dei dati dei suoi clienti ha subito un attacco informatico e la sottrazione di numerosi codici PIN delle carte di debito. Tutto questo ha portato a prelevamenti fraudolenti in Canada, Russia e Gran Bretagna su conti statunitensi. In pratica, i cracker avrebbero sottratto informazioni sufficienti per clonare centinaia di carte. Citibank è intervenuta bloccando le transazioni sospette. "Stiamo contattando tutti i clienti e abbiamo avviato la spedizione di nuove carte", ha confermato in un comunicato la banca.

Il nome della società crakkata non è ancora saltato fuori, così come non sono stati forniti i dati esatti riguardanti il volume della frode. Gli enti inquirenti hanno avviato le indagini ma qualcuno sostiene che possa esserci un legame con la sparizione di un nastro digitale, avvenuta lo scorso maggio, contenente informazioni sensibili di 3,9 milioni di clienti. Un pacchetto postale che non è mai arrivato a destinazione. Un fatto gravissimo dato che all'interno del nastro vi erano: nomi, numeri di conto, storico pagamenti, codici della Social Security e via dicendo.
Il problema della custodia del dati, comunque, non riguarda solo Citibank. Tanto più che nello scorso febbraio tutte le più importanti organizzazioni bancarie statunitensi hanno collaborato alla redazione di linee guida per la sicurezza dei servizi finanziari. BITS, il consorzio che si preoccupa degli interessi del segmento, ha collaborato a lungo con Acxiom, First Data, IBM, Viewpointe Archive Services e Yodlee per individuare la metodologia più corretta e sicura. Un impegno che purtroppo, a quanto pare, non è stato sufficiente e che anche in futuro potrebbe non dimostrarsi all'altezza. Avivah Litan, vice presidente per le ricerche di Gartner, è convinto che le cose non possano che peggiorare. Lo scam ha già colpito infatti Bank of America, Wells Fargo e Washington Mutual, così come piccole banche dell'Oregon, Ohio e Pennsylvania, e tutto in un breve lasso di tempo.

"Quello di Citibank è il peggiore caso mai visto. Non solo perché ha colpito tantissimi clienti, ma anche perché ha riguardato le carte di debito, che un tempo si pensavano immuni da questo problema per la presenza del PIN", ha dichiarato Litan. "Il codice è come una password; se hanno violato anche questo chissà cosa succederà domani. Secondo me sono state colpite più società di archiviazione dati, ma questo certamente non verrà fuori, c'è il massimo riserbo".

Secondo Litan, i sistemi ATM (Bancomat) normalmente sono piuttosto sicuri, mentre invece gli acquisti nei negozi sono rischiosi. Il circuito può essere violato più facilmente con la connivenza di alcuni negozianti, ma non solo. "Molti, anche solo per imperizia, archiviano le informazioni del PIN del cliente invece di cancellarle dopo l'acquisto. Sebbene le informazioni siano criptate all'interno del cosiddetto blocco PIN, le chiavi necessarie per la decriptazione sono inserite all'interno dello stesso network. Questo rende il furto del PIN estremamente semplice, come accedere in un ufficio dotato di pc protetti da password, che dispongono di post-it con su scritti i codici. L'unica annotazione è che questa operazione la compie il software, e gli operatori magari non lo sanno", ha aggiunto Litan.

Dario d'Elia
TAG: sicurezza
21 Commenti alla Notizia Truffe sui bancomat, caos negli USA
Ordina
  • Santoddio.. in queste societá ci sono persone pagate centinaia di migliaia di dollari l'anno per occuparsi della sicurezza.. e nessuno tanto intelligente da pensare di criptare i dati con un bell'algoritmo robusto che viaggiano in un camioncino Fedexpress.. che tristezza. E poi nell'era di internet, VNC e quant'altro, a cosa cavolo serve far viaggiare fisicamente i dischetti??
    non+autenticato
  • - Scritto da: Anonimo

    > bell'algoritmo robusto che viaggiano in un
    > camioncino Fedexpress..

    UPS, non Fedexpress.

    > nell'era di internet, VNC e quant'altro, a cosa
    > cavolo serve far viaggiare fisicamente i
    > dischetti??

    Che c'entra VNC ?

    Comunque, nella azienda per la quale lavoro, i nastri NON vengono mai affidati a società esterne. Siamo sempre noi a dover prendere l'aereo per Praga o Scottsdale, con il nastro sottomano.
  • - Scritto da: teddybear > > nell'era di internet, VNC e quant'altro, a cosa > > cavolo serve far viaggiare fisicamente i > > dischetti?? > > Che c'entra VNC ? Argh! Intendevo VPN -__- > Comunque, nella azienda per la quale lavoro, i > nastri NON vengono mai affidati a società > esterne. Siamo sempre noi a dover prendere > l'aereo per Praga o Scottsdale, con il nastro > sottomano. Mi resta il dubbio sul perché i supporti debbano viaggiare fisicamente, col rischio magari che le uniche copie di un supporto precipitino con l'aereo in avaria (si fa per fare ipotesi,eh?Sorride)
    non+autenticato
  • - Scritto da: Anonimo
    > Mi resta
    > il dubbio sul perché i supporti debbano viaggiare
    > fisicamente, col rischio magari che le uniche
    > copie di un supporto precipitino con l'aereo in
    > avaria (si fa per fare ipotesi,eh?Sorride)

    Innanzitutto si mandano in giro le copie dei backup e non i backup stessi.
    Secondo... quando hai qualche centinaio di GB di dati da trasportare da milano a praga, per esempio, fai MOLTO prima a mandare qualcuno fisicamente che non a spostare il tutto via rete (il che presuppone inanzitutto una rete sovradimensionata per i normali usi e quindi estremamente costosa)
  • Merito e onore agli americani che almeno queste cose ce le fanno sapere. Da noi figurati se sarebbe di dominio pubblico una cosa del genere.
  • Da noi in banca sostenevano che solo il proprietario puo' sapere il codice segreto e quindi solo lui poteva aver effettuato l'operazione ("oppure provi a chiedere a suo figlio, sara' stato lui e non vuole ammetterlo")

    (sentita all'interno di una banca)

    poi un paio di giorni dopo ho scoperto che era cosa nota a tutti i bancari che nel sistema usato all'epoca il pin era scritto in chiaro nella banda magnetica. (per cui bastava un lettore dal costo di meno di 100.000 lire per leggerlo)
  • Mi occupo di monetica (pagamento con carte di credito e di debito) da qualche anno e vi posso dire che il bancomat italiano è assolutamente sicuro e non è assolutamente vero che il PIN è scritto in chiaro sulla banda magnetica anzi, vi dirò di più, sulla banda magnetica il PIN non ci si trova neanche crittografato. E' assolutamente vero, invece, che quelli della banca non sanno il vostro PIN per un sacco di ragioni: 1) non viene prodotto da loro ma da un'altra società; 2) quelli che potrebbero conoscere il PIN è proprio quell'altra società ma dopo la prima operazione presso un ATM se i dati a centro non sono allineati con quelli della carta questa viene immediatamente bloccata. L'unico modo per clonare un bancomat è quello di replicare la banda magnetica e carpirvi il PIN come hanno fatto manomettendo gli ATM o i terminali POS.
  • Nei bancomat di oggi no, ma in quelli in uso una decina di anni fa (quelli di prima della pubblicita' "io in tasca non ho una lira ... io pagobancomat") il PIN c'era eccome. L'ho sia visto con i miei occhi (vedendo il risultato di una tessera bancomat (non mia) strisciata in un lettore in esposizione in fiera alla SMAU) sia ho sentito piu' bancari dire che lo sapevano.

    Rimane pero' il problema che sia la tessera sia ilnumero da digitare (cioe' tutte le cose richieste) siano sempre le stesse. Pertanto se si duplicano esattamente (sia che si tratti di duplicare fisicamente la tessera sia di suplicare gli effetti della sua lettura) producono effetti non distinguibili da un successivo utilizzo legittimo.
  • la banca si chiama Citibank e non Cityank
    non+autenticato
  • questi benedetti dati dei 3.9 milioni di utenti, prima di essere spediti, potevano essere criptati?

    sono stati talmente idioti da inviarli "in chiaro" ?

    poi, se i dati degli utenti non devono essere ceduti a terzi, la consegna ad un corriere per il trasporto, non è una cessione di merce? (nel caso i nominativi).

    non sarebbe stato più sicuro mandare alcuni impiegati per effettuare la consegna?

  • - Scritto da: ateicos
    > questi benedetti dati dei 3.9 milioni di utenti,
    > prima di essere spediti, potevano essere
    > criptati?
    >
    > sono stati talmente idioti da inviarli "in
    > chiaro" ?
    >
    > poi, se i dati degli utenti non devono essere
    > ceduti a terzi, la consegna ad un corriere per il
    > trasporto, non è una cessione di merce? (nel caso
    > i nominativi).
    >
    > non sarebbe stato più sicuro mandare alcuni
    > impiegati per effettuare la consegna?

    Certo, ma poi non potevano usare il nastro come scusa per i loro furti.
  • Quoto tutto.
  • > sono stati talmente idioti da inviarli "in
    > chiaro" ?
    [...]
    > non sarebbe stato più sicuro mandare alcuni
    > impiegati per effettuare la consegna?
    Ci sono tanti di quei dati **riservati** che sono crittografati con tecniche efficientissime nel tragitto che va dal cliente alla sede della società... e poi vengono archiviati in chiaro, backuppati in chiaro, spediti ad altri enti in chiaro. Persino stampati e fotocopiati e poi buttati via.
    Per farti un esempio pratico: fai conto che fino a qualche anno fa, in un grande noto negozio di un grandissimo noto centro commerciale dalle mie parti, le procedure di cassa facevano si che a fronte di un pagamento con carta di credito di parecchie società emittenti, sulla seconda copia dello scontrino compariva numero della carta, data di scadenza e nome del titolare!!! (che è quanto serviva per usarla su internet!)
    Nota bene: la seconda copia degli scontrini VENIVA BUTTATA VIA ALLA FINE DELLA GIORNATA, e senza tritacarta!!! Un solo sacco di quegli scontrini, e senza tanti skimmer,videocamere, bancomat finti e affini, ed ecco la truffa perfetta e senza rischi Triste(((
    E pensa che quando gliel'ho fatto notare, il direttore mi ha pure detto "E allora?" !!!
    non+autenticato
  • In altre nazioni ho visto che sia sulla copia che rimane al supercato (o altrove) sia quella che rimane al cliente il numero non e' scritto per intero. alcune cifre sono sostituite da degli asterischi.

    talmente geniale ... che uno si chiede perche' in Italia non avvenga la stessa cosa.

  • - Scritto da: AnyFile
    . alcune cifre sono sostituite da degli
    > asterischi.
    >
    > talmente geniale ... che uno si chiede perche' in
    > Italia non avvenga la stessa cosa.

    Invece quando chiedi a Telecom l'estratto dei numeri che hai chiamato ti mettono gli asterischi per via della privacy (ma se li ho chimati io???)...
    Che intelligenza...

    non+autenticato
  • sulla seconda copia
    > dello scontrino compariva numero della carta,
    > data di scadenza e nome del titolare!!! (che è
    > quanto serviva per usarla su internet!)
    > Nota bene: la seconda copia degli scontrini
    > VENIVA BUTTATA VIA ALLA FINE DELLA GIORNATA, e
    > senza tritacarta!!! Un solo sacco di quegli
    > scontrini, e senza tanti skimmer,videocamere,
    > bancomat finti e affini, ed ecco la truffa
    > perfetta e senza rischi Triste(((
    > E pensa che quando gliel'ho fatto notare, il
    > direttore mi ha pure detto "E allora?" !!!


    ma se manca la password... che te ne fai di nome e numero carta?
    non+autenticato

  • - Scritto da: Anonimo
    > sulla seconda copia
    > > dello scontrino compariva numero della carta,
    > > data di scadenza e nome del titolare!!! (che è
    > > quanto serviva per usarla su internet!)
    > > Nota bene: la seconda copia degli scontrini
    > > VENIVA BUTTATA VIA ALLA FINE DELLA GIORNATA, e
    > > senza tritacarta!!! Un solo sacco di quegli
    > > scontrini, e senza tanti skimmer,videocamere,
    > > bancomat finti e affini, ed ecco la truffa
    > > perfetta e senza rischi Triste(((
    > > E pensa che quando gliel'ho fatto notare, il
    > > direttore mi ha pure detto "E allora?" !!!
    >
    >
    > ma se manca la password... che te ne fai di nome
    > e numero carta?

    mai fatto acquisti on-line ?
    non+autenticato

  • - Scritto da: Anonimo
    > ma se manca la password... che te ne fai di nome
    > e numero carta?

    Sara' ma e' quello che basta per utilizzare una carta di credito. Ora anno aggiunto il CCV2, ma a poco serve (puo' essere letto, e' sempre uguale, e' composto da poche cifre) e soprattutto non e' un codice di controllo richiesto (cioe' certi siti ve lo chiedono, altri no).

    Ma sopratutto nelle clausole contrattuali vi e' scritto che il titolare della carta di credito si impegna a pagare anche se la ricevuta non e' firmata!!
  • ...una società esterna per "archiviare" i pin ed i dati dei clienti??

    mah... no comment...
    non+autenticato

  • - Scritto da: Anonimo
    > ...una società esterna per "archiviare" i pin ed
    > i dati dei clienti??
    >
    > mah... no comment...
    si, archiviare il pin ed i dati del clienti ma per quanto al mese ? Deluso
    non+autenticato
  • :s
    francamente mi chiedo perchè non vengano alla luce le clonazioni in serie. Qui dalle mie parti hanno modificato i pos di un supermercato appena aperto e hanno clonato qualche centinaio di bancomat. Solo cercando in rete ho scoperto che erano successi episodi simili in giro.

    Saluti
    non+autenticato