Dagli esperti della Newscastle University arriva un nuovo studio sulla fragilità dello scenario dei pagamenti online sui siti di e-commerce, un lavoro di ricerca che si concentra in particolare sul network finanziario di Visa e sull’ipotesi che esso faciliti, ancorché in maniera involontaria, la proliferazione di frodi economiche ai danni degli utenti e di Visa stessa.
I ricercatori hanno investigato sui sistemi di pagamenti adottati dai 400 siti di commercio elettronico più importanti secondo la classifica Alexa, verificando la possibilità di condurre un attacco di tipo “forza bruta” con cui provare a indovinare un numero di carta di credito valido attraverso una serie estremamente ampia di tentativi.
Al momento il circuito Visa non identifica una valanga di richieste di autenticazione come illegittime o inusuali, spiegano i ricercatori , e l’attacco è altresì facilitato dal fatto che “diversi siti Web presentano diversi campi per identificare il proprietario di una carta”: il risultato è una “falla” di sistema, che prima o poi permetterebbe a un malintenzionato (o una gang di cyber-criminali) di identificare una carta di credito valida per rubare denaro e non solo.
L’attacco distribuito ideato dai ricercatori britannici è “paurosamente facile” da portare a compimento e può richiedere un minimo di sei secondi per l’identificazione di un account finanziario valido, anche se Visa prova a gettare acqua sul fuoco parlando dei “livelli aggiuntivi di prevenzione delle frodi” integrati nel sistema di pagamento che i ricercatori non hanno preso in considerazione nel loro studio.
Resta il pericolo dell’ennesima possibilità di azione a disposizione dei cyber-criminali, un’azione che tra l’altro sarebbe già stata messa in pratica sotto forme similari durante l’attacco all’istituto bancario britannico Tesco Bank: alle migliaia di account colpiti con furti di denaro non sono evidentemente serviti i livelli di protezione aggiuntiva di cui parla Visa.
Alfonso Maruccia