Luca Annunziata

La truffa invisibile dell'ATM

La miniaturizzazione dei dispositivi impiegati per truccare i bancomat procede spedita. Ponendo nuove sfide agli utenti e alle banche su entrambe le sponde dell'Atlantico

« Indietro
Foto 1 di 5

Roma - Gli apparecchi che rubano preziose informazioni dai bancomat si vanno facendo sempre più subdoli e invisibili. A confermarlo è un comunicato di EAST, European ATM Security Team, che sottolinea come la competenza tecnologica dei cracker degli ATM si vada facendo sempre più avanzata: gli apparecchi risultano ormai pressoché invisibili, e l'adozione di nuovi formati consente anche di ridurre i rischi di venire catturati.

Molto spesso, come riporta anche Brian Krebs sul suo blog, è diventato comune cannibalizzare l'elettronica di un cellulare o di un lettore MP3 per costruire nuovi dispositivi da inglobare nella struttura dei bancomat esistente. La miniaturizzazione dei cellulari permette di ridurre le dimensioni di questi apparecchi fino a renderli poco più grandi della batteria che li alimenta: in questo modo si possono nascondere gli skimmer, i dispositivi che leggono la banda magnetica, direttamente nella fenditura in cui si inseriscono le carte; allo stesso modo, le telecamere utilizzate per spiare i movimenti della dita e registrare i numeri che formano la sequenza del PIN si mascherano adeguatamente nella cornice dello schermo.

Adottare un cellulare come base di partenza per costruire l'elettronica della clonazione ha un altro vantaggio: le informazioni raccolte - dati, audio, video, foto - possono essere spedite direttamente via connessione 3G ai malintenzionati. Questi ultimi, una volta piazzato gli skimmer e le telecamere, non devono neppure più tornare "sulla scena del delitto": uno stratagemma che diminuisce drasticamente il rischio di essere catturati o identificati, al prezzo di rinunciare di volta in volta all'hardware installato che tuttavia varrà molto meno di quanto sarà possibile sottrarre con le informazioni rubate.
A dire la verità, i progressi effettuati in materia di sicurezza delle carte e dei bancomat in questi anni sarebbero piuttosto significativi: è raro che in Europa non si utilizzi il chip presente sulle carte denominate EMV (acronimo per Eurocard, MasterCard e Visa) invece che la vecchia banda magnetica per abilitare i pagamenti e autorizzare le transazioni. Il chip delle carte EMV rende molto più complicato il lavoro dei ladri, e da solo costituirebbe un importante deterrente: purtroppo lo stesso progresso non è avvenuto sull'altra sponda dell'Atlantico, e negli USA e nel resto delle Americhe l'utilizzo della banda magnetica è ancora il meccanismo più utilizzato per l'impiego di bancomat e carte di credito nei pagamenti. Questo significa che le informazioni rubate in Europa vengono vendute alle gang d'oltreoceano, e saranno queste ultime a sfruttarle per effettuare le truffe con le carte clonate.

Esistono solo due accorgimenti per tentare di mettersi al sicuro da questo tipo di furti di informazioni. Naturalmente il più ovvio è cercare di individuare eventuali bancomat manomessi prima del prelievo, ma si tratta di una misura sempre meno efficace vista la progressiva miniaturizzazione dei dispositivi qui descritta. La seconda, incredibilmente molto efficace nella sua semplicità, consiste semplicemente nel coprire le proprie dita con l'altra mano mentre si digita il codice PIN: quello che l'occhio elettronico non vede, il ladro non può rubare.

Luca Annunziata
Notizie collegate
24 Commenti alla Notizia La truffa invisibile dell'ATM
Ordina
  • La lettura del pin registrando con la telecamera è una leggenda metropolitana. Il pin è sulla banda magnetica criptato ma essendo di pochi caratteri si ricava.

    Dovremmo usare carte con il solo chip oppure avere la possibilità di attivare l'uso della carta per determinati paesi solo nel periodo che ci serve. Mi cloni la banda magnetica ma non puoi rubarmi perchè la transazione non va a buon fine
    non+autenticato
  • - Scritto da: Pippo
    > La lettura del pin registrando con la telecamera
    > è una leggenda metropolitana. Il pin è sulla
    > banda magnetica criptato ma essendo di pochi
    > caratteri si
    > ricava.
    >
    > Dovremmo usare carte con il solo chip oppure
    > avere la possibilità di attivare l'uso della
    > carta per determinati paesi solo nel periodo che
    > ci serve. Mi cloni la banda magnetica ma non puoi
    > rubarmi perchè la transazione non va a buon
    > fine
    credo tu abbia letto troppo "Donna Moderna"...
    non+autenticato
  • ogni tot giorni vado in banca e prelevo il necessario direttamente dallo sportello (con cassiere umano). Pago con contanti e se devo tracciare il pagamento tramite assegno, bancomat solo in caso di emergenza e carta di credito solo in super-emergenza (una volta i 15 anni).
    non+autenticato
  • - Scritto da: ...
    > ogni tot giorni vado in banca e prelevo il
    > necessario direttamente dallo sportello (con
    > cassiere umano). Pago con contanti e se devo
    > tracciare il pagamento tramite assegno, bancomat
    > solo in caso di emergenza e carta di credito solo
    > in super-emergenza (una volta i 15
    > anni).

    Grazie, continua pure cosi', e convinci quanta piu' gente possibile.
    Non sai che gioia mi date, quando vi vedo tutti in fila al casello a pagare in contanti mentre io imbocco l'uscita che si paga con la carta.
  • hahahahaha concordo!!! Nel 2014 paga coi contanti e SE NE VANTA PURE!!!
    Mamma mia, andiamo avanti come i gamberi qui. Ma va bene così, per ognuno che piange, un altro ride
    non+autenticato
  • prelevi? e a che serve? qua ormai si parla di pagamenti pos per cifre superiori ai 30 euro!!!

    ormai è finita, il contante verrà bandito entro un paio d'anni

    ovviamene le truffe via pos sono già uno strumento usatissimo, aumenteranno ancora di più
    non+autenticato
  • Al momento il pagamento con pos ancora non è obbligatorio e non c'è nessuna sanzione se il commerciante si rifiuta di usare...
  • - Scritto da: dpluca
    > Al momento il pagamento con pos ancora non è
    > obbligatorio e non c'è nessuna sanzione se il
    > commerciante si rifiuta di
    > usare...

    Certo, ma il cliente non e' obbligato a pagare.
    Quindi se tu commerciante esponi l'adesivo che accetti i pagamenti pos, io pago col pos.
    Se tu non lo esponi, io vado al negozio di fronte.

    Se lo esponi ma poi mi dici che non funziona, e' un problema tuo, non mio.
  • - Scritto da: panda rossa
    > - Scritto da: dpluca
    > > Al momento il pagamento con pos ancora non è
    > > obbligatorio e non c'è nessuna sanzione se il
    > > commerciante si rifiuta di
    > > usare...
    >
    > Certo, ma il cliente non e' obbligato a pagare.

    per la verità, non è obbligato a comprare...
    non+autenticato
  • - Scritto da: Osvy
    > - Scritto da: panda rossa
    > > - Scritto da: dpluca
    > > > Al momento il pagamento con pos ancora non
    > è
    > > > obbligatorio e non c'è nessuna sanzione se
    > il
    > > > commerciante si rifiuta di
    > > > usare...
    > >
    > > Certo, ma il cliente non e' obbligato a pagare.
    >
    > per la verità, non è obbligato a comprare...
    Per lui sono la stessa cosaA bocca aperta
    non+autenticato
  • - Scritto da: Osvy
    > - Scritto da: panda rossa
    > > - Scritto da: dpluca
    > > > Al momento il pagamento con pos ancora non
    > è
    > > > obbligatorio e non c'è nessuna sanzione se
    > il
    > > > commerciante si rifiuta di
    > > > usare...
    > >
    > > Certo, ma il cliente non e' obbligato a pagare.
    >
    > per la verità, non è obbligato a comprare...

    E nel caso di un ristorante, dove uno ha gia' mangiato?
  • - Scritto da: panda rossa
    > - Scritto da: Osvy
    > > > Certo, ma il cliente non e' obbligato a
    > pagare.
    > >
    > > per la verità, non è obbligato a comprare...
    >
    > E nel caso di un ristorante, dove uno ha gia'
    > mangiato?

    Sappiamo tutti qui che sei pronto a litigare col mondo...
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: Osvy
    > > - Scritto da: panda rossa
    > > > - Scritto da: dpluca
    > > > > Al momento il pagamento con pos
    > ancora
    > non
    > > è
    > > > > obbligatorio e non c'è nessuna
    > sanzione
    > se
    > > il
    > > > > commerciante si rifiuta di
    > > > > usare...
    > > >
    > > > Certo, ma il cliente non e' obbligato a
    > pagare.
    > >
    > > per la verità, non è obbligato a comprare...
    >
    > E nel caso di un ristorante, dove uno ha gia'
    > mangiato?

    Puoi sempre vomitargli indietro tutto sulla cassa.
    krane
    22544
  • Utilissime le carte col chip, ma quasi tutte hanno *anche* la banda magnetica (per essere compatibili con eventuali vecchi lettori) cosi' una carta clonata puo funzionare sui vecchi lettori, non credo esista un db delle carte che hanno anche il chip, sarebbe chiedere troppo: vedo che molti lettori doppi pagomancomat accettano la strisciata da una carta con chip e banda.

    suggerite la copertura con la mano (pensavo di essere l'unico paranoico a farlo, ma tra informatici la sfiducia e' al top..): non e' agevolissima perche finisce che si batte il codice errato, comunque con un po di manualita'..

    con le banche la sicurezza e' ancora troppo bassa. all'estero gli atm sono cassaforti sparse qua e la, ma da noi gli atm sono a fianco delle filiali, non prevedono un controllo regolare?

    se ci aggiungiamo il livello apparentemente quasi dilettantistico con cui vediamo talvolta affrontati classici attacchi di ingegneria sociale sui conti online, con tutti i dati privati in giro, ai tempi di facebook..
    manca una legislazione abbastanza precisa da costringere la banche ad affrontare la cosa in modo adeguato (pagando qualcuno a lavorarci). Tutto ricade sullo sbattimento dei clienti, al limite rimborsano dopo un po, e tutti zitti: vogliono o no mettere una pezza a questa situazione?
    non+autenticato
  • - Scritto da: rudy
    > con le banche la sicurezza e' ancora troppo
    > bassa. all'estero gli atm sono cassaforti sparse
    > qua e la, ma da noi gli atm sono a fianco delle
    > filiali, non prevedono un controllo
    > regolare?
    ...e sulla maggior parte ci gira ancora WindowsXP...una sicurezza!!!
    non+autenticato
  • - Scritto da: rudy
    > suggerite la copertura con la mano (pensavo di
    > essere l'unico paranoico a farlo, ma tra
    > informatici la sfiducia e' al top..): non e'
    > agevolissima perche finisce che si batte il
    > codice errato, comunque con un po di manualita'..

    lo faccio anche io, ma oggettivamente è scomoda:
    i numeri non li vedono "loro" ma non li vedo nemmeno io...

    > con le banche la sicurezza e' ancora troppo
    > bassa. all'estero gli atm sono cassaforti sparse
    > qua e la, ma da noi gli atm sono a fianco delle
    > filiali, non prevedono un controllo regolare?

    e chi ti dice che non lo fanno? L'articolo segnala un problema, non dice mica cosa fanno le banche

    > se ci aggiungiamo il livello apparentemente quasi
    > dilettantistico con cui vediamo talvolta
    > affrontati classici attacchi di ingegneria
    > sociale sui conti online, con tutti i dati
    > privati in giro, ai tempi di facebook..

    chi è causa del suo mal...

    > manca una legislazione abbastanza precisa da
    > costringere la banche ad affrontare la cosa in
    > modo adeguato (pagando qualcuno a lavorarci).

    noooo!!! Non ti bastano tutte le leggi che ci sono già???...
    Le banche "devono" già affrontare le cose in modo adeguato: si chiama "diligenza professionale", superiore a quella "del buon padre di famiglia". Non c'è bisogno di altro

    > Tutto ricade sullo sbattimento dei clienti, al
    > limite rimborsano dopo un po, e tutti zitti:
    > vogliono o no mettere una pezza a questa
    > situazione?

    beh, se almeno rimborsano, ti pare poco???
    non+autenticato