Alfonso Maruccia

Carte di credito, è facile indovinare

Ricercatori identificano un nuovo veicolo di attacco "facilitato" contro il network finanziario di Visa, un problema che coinvolge una quantità enorme di esercenti online e che non sembra destinato a risolversi nell'immediato

Roma - Dagli esperti della Newscastle University arriva un nuovo studio sulla fragilità dello scenario dei pagamenti online sui siti di e-commerce, un lavoro di ricerca che si concentra in particolare sul network finanziario di Visa e sull'ipotesi che esso faciliti, ancorché in maniera involontaria, la proliferazione di frodi economiche ai danni degli utenti e di Visa stessa.

I ricercatori hanno investigato sui sistemi di pagamenti adottati dai 400 siti di commercio elettronico più importanti secondo la classifica Alexa, verificando la possibilità di condurre un attacco di tipo "forza bruta" con cui provare a indovinare un numero di carta di credito valido attraverso una serie estremamente ampia di tentativi.

Al momento il circuito Visa non identifica una valanga di richieste di autenticazione come illegittime o inusuali, spiegano i ricercatori, e l'attacco è altresì facilitato dal fatto che "diversi siti Web presentano diversi campi per identificare il proprietario di una carta": il risultato è una "falla" di sistema, che prima o poi permetterebbe a un malintenzionato (o una gang di cyber-criminali) di identificare una carta di credito valida per rubare denaro e non solo.
L'attacco distribuito ideato dai ricercatori britannici è "paurosamente facile" da portare a compimento e può richiedere un minimo di sei secondi per l'identificazione di un account finanziario valido, anche se Visa prova a gettare acqua sul fuoco parlando dei "livelli aggiuntivi di prevenzione delle frodi" integrati nel sistema di pagamento che i ricercatori non hanno preso in considerazione nel loro studio.

Resta il pericolo dell'ennesima possibilità di azione a disposizione dei cyber-criminali, un'azione che tra l'altro sarebbe già stata messa in pratica sotto forme similari durante l'attacco all'istituto bancario britannico Tesco Bank: alle migliaia di account colpiti con furti di denaro non sono evidentemente serviti i livelli di protezione aggiuntiva di cui parla Visa.

Alfonso Maruccia
Notizie collegate
  • AttualitàUK, cyber-rapina alla banca20mila correntisti di Tesco Bank si sono visti sottrarre denaro dai propri conti. Per il momento l'istituto bancario mantiene il riserbo sulle dinamiche dell'attacco subito, ma avvia i risarcimenti
10 Commenti alla Notizia Carte di credito, è facile indovinare
Ordina
  • e chemmenefrega ammé!
    io ciò Carta SI!

    (cit. Maccio)
    Akiro
    1906
  • Bitcoin e in particola la blockchain
  • ma se chiedono conferma con l'SMS, come fanno a bucare quello?
    non+autenticato
  • infatti il numero valido da tenere "segreto" non lo e' troppo visto che per usarlo va comunque dato a destra e manca, in aggiunta in codice di 3 cifre del retro; tutto cio probabilmente puo' cascare se uno simula transazioni a caso (in mancanza di un sistema centralizzato di controllo)
    oltretutto per la maggior parte delle carte, c''e anche una password online.

    la vera sicurezza pero sta nel fatto che dietro contestazione la transazione venga annullata (che include l'SMS di avviso altrimenti inutile..)
    se supportano adeguatamente l'annullamento dietro contestazione direi che il sistema e' accettabile.
    QUESTO e' centrale.
    non+autenticato
  • Vale a dire il fatto che di banche ce ne sono tante e si suppone abbian interesse a farsi concorrenza; chi fa pagamenti elettronici... Bé abbiamo Visa, Mastercard e un paio di "minori" multinazionali e qualche circuito nazionale.

    Questo è il grosso problema e più la moneta elettronica sarà diffusa più sarà grave. Un sistema di pagamento gestito da 4 gatti gatti significa che colpendo o controllando i 4 gatti si blocca o controlla tutta la società
    non+autenticato
  • Una grande idea chiedere un parere ad un'azienda che ha tutto da perdere per la pubblicità negativa.
    E' ovvio che minimizzeranno.
    Sembra di vedere quelle coglionate sui media, quando chiedono ad un politico indagato se ha veramente fatto quello di cui è accusato.

    Il problema non sono le vulnerabilità, che esisteranno sempre, a meno di irrigidire fino all'inutilizzabilità ogni sistema di pagamento.
    Il fattore essenziale è quello di poter risolvere le vulnerabilità in tempi ristrettissimi, così da limitare i danni.
    non+autenticato
  • - Scritto da: ringo
    > Una grande idea chiedere un parere ad un'azienda
    > che ha tutto da perdere per la pubblicità
    > negativa.
    > E' ovvio che minimizzeranno.
    > Sembra di vedere quelle coglionate sui media,
    > quando chiedono ad un politico indagato se ha
    > veramente fatto quello di cui è
    > accusato.
    >
    > Il problema non sono le vulnerabilità, che
    > esisteranno sempre, a meno di irrigidire fino
    > all'inutilizzabilità ogni sistema di
    > pagamento.
    > Il fattore essenziale è quello di poter risolvere
    > le vulnerabilità in tempi ristrettissimi, così da
    > limitare i
    > danni.

    Le vulnerabilità on-line ci saranno sempre, e risolverle in tempi ragionevoli non mi tranquillizza più di tanto.

    Continuo a pensare che la mania dei pagamenti on-line e per assurdo addirittura in mobilità sia un'incoscienza dei rischi.

    Mi chiedo cosa ci vorrebbe a tagliare la testa al toro (meglio alla juve), evitando qualunque coinvolgimento di dati bancari in rete, rendendo fatturabili i pagamenti di ordini effettuati on-line esclusivamente addebitandoli su bolletta telefonica, previo accordo col gestore TLC: tanto non ha senso cazzeggiare con transazioni di denaro in mobilità, ed un hacker per fregarmi dovrebbe avere accesso fisico alla mia linea fissa dalla quale effettuare un ordine, il cui relativo bene verrebbe comunque inviato a casa mia. Certamente l'utente che utilizza tale forma di pagamento dovrebbe avere l'accortezza di spegnere il suo WiFi casalingo (quindi usare una onestissima connessione via cavo LAN) almeno per il periodo in cui effettua l'ordine.
  • - Scritto da: rockroll
    > - Scritto da: ringo
    > > Una grande idea chiedere un parere ad un'azienda
    > > che ha tutto da perdere per la pubblicità
    > > negativa.
    > > E' ovvio che minimizzeranno.
    > > Sembra di vedere quelle coglionate sui media,
    > > quando chiedono ad un politico indagato se ha
    > > veramente fatto quello di cui è
    > > accusato.
    > >
    > > Il problema non sono le vulnerabilità, che
    > > esisteranno sempre, a meno di irrigidire fino
    > > all'inutilizzabilità ogni sistema di
    > > pagamento.
    > > Il fattore essenziale è quello di poter
    > risolvere
    > > le vulnerabilità in tempi ristrettissimi, così
    > da
    > > limitare i
    > > danni.
    >
    > Le vulnerabilità on-line ci saranno sempre, e
    > risolverle in tempi ragionevoli non mi
    > tranquillizza più di
    > tanto.
    >
    > Continuo a pensare che la mania dei pagamenti
    > on-line e per assurdo addirittura in mobilità sia
    > un'incoscienza dei
    > rischi.
    >
    > Mi chiedo cosa ci vorrebbe a tagliare la testa al
    > toro (meglio alla juve), evitando qualunque
    > coinvolgimento di dati bancari in rete, rendendo
    > fatturabili i pagamenti di ordini effettuati
    > on-line esclusivamente addebitandoli su bolletta
    > telefonica, previo accordo col gestore TLC: tanto
    > non ha senso cazzeggiare con transazioni di
    > denaro in mobilità, ed un hacker per fregarmi
    > dovrebbe avere accesso fisico alla mia linea
    > fissa dalla quale effettuare un ordine, il cui
    > relativo bene verrebbe comunque inviato a casa
    > mia. Certamente l'utente che utilizza tale forma
    > di pagamento dovrebbe avere l'accortezza di
    > spegnere il suo WiFi casalingo (quindi usare una
    > onestissima connessione via cavo LAN) almeno per
    > il periodo in cui effettua
    > l'ordine.

    Peccato però che i maggiori compratori on-line e in mobilità siano i più grandi consumatori di reti wifi!
    non+autenticato
  • >
    > Mi chiedo cosa ci vorrebbe a tagliare la testa al
    > toro (meglio alla juve), evitando qualunque
    > coinvolgimento di dati bancari in rete, rendendo
    > fatturabili i pagamenti di ordini effettuati
    > on-line esclusivamente addebitandoli su bolletta
    > telefonica, previo accordo col gestore TLC

    Ma lo sai quante truffe ci sono state con questi sistemi?
    Questo è proprio uno dei sistemi più pericolosi.

    > non ha senso cazzeggiare con transazioni di
    > denaro in mobilità,

    Su questo sono d'accordo.

    > ed un hacker per fregarmi
    > dovrebbe avere accesso fisico alla mia linea
    > fissa dalla quale effettuare un ordine, il cui
    > relativo bene verrebbe comunque inviato a casa
    > mia.

    Esistono pagamenti online fatti tramite token che genera chiavi temporanee. Quelli sono i più sicuri. Se un hacker accede al tuo PC con la chiave temporanea non ci fa niente.
    non+autenticato
  • >
    > Il problema non sono le vulnerabilità, che
    > esisteranno sempre, a meno di irrigidire fino
    > all'inutilizzabilità ogni sistema di
    > pagamento.
    > Il fattore essenziale è quello di poter risolvere
    > le vulnerabilità in tempi ristrettissimi, così da
    > limitare i danni.

    Un'organizzazione tipo VISA che non fa altro che gestire miliardi di transazioni di pagamento dovrebbe avere i sistemi a regola d'arte.
    Come minimo ci dovrebbe essere o un sistema CEP o un sistema big data che correla i pagamenti in tempo reale. Se nello spazio di un minuto ti arrivano tre pagamenti da tre siti internet diversi come minimo fai scattare un allarme e blocchi le transazioni per mezzora. In questi casi si dovrebbe mandare un codice di errore di sistema generico mentre un operatore verifica le transazioni.
    non+autenticato