3D Secure è il protocollo utilizzato per autorizzare le transazioni online con carte di credito, debito e prepagate (le implementazioni più note sono Mastercard SecureCode e Verified by VISA). Gli esperti di Gemini Advisory hanno scoperto nel dark web diverse discussioni tra cybercriminali sulle tecniche scelte per eludere il protocollo ed effettuare acquisti fraudolenti.
3D Secure e rischi per la sicurezza
Le tecniche sono utilizzate principalmente per eludere la prima versione del 3D Secure che prevede l’inserimento di un codice ricevuto tramite SMS per completare le transazioni. Uno dei metodi prevede l’uso dell’ingegneria sociale. Alcune delle carte di credito rubate e vendute nel dark web contengono diversi dati dell’utente (nome, indirizzo, numero di telefono e altri). Con queste informazioni, i cybercriminali contattano la vittima fingendosi dipendenti della banca per ottenere il codice.
Un simile metodo potrebbe funzionare anche con la seconda versione di 3D Secure che prevede l’autorizzazione della transazione mediante app per smartphone. In questo caso viene sfruttato un attacco di SIM swapping. Altri metodi prevedono la creazione di un sito identico all’originale (l’utente viene ingannato e inserisce i dati), l’uso di PayPal (basta aggiungere la carta di credito rubata all’account) o l’installazione di un malware (nascosto in app Android pubblicate sul Google Play Store) sullo smartphone che intercetta il codice inviato via SMS.
La seconda versione di 3D Secure consente l’uso dei dati biometrici (ad esempio l’impronta digitale) per autorizzare le transazioni, quindi i rischi sono inferiori (per il momento). In Europa è prevista dalla direttiva PSD2, ma in altri paesi è ancora molto diffusa la prima versione del protocollo.