Sono sufficienti due smartphone e l’accesso fisico a una carta di credito per svuotare il conto del suo malcapitato proprietario, trasferendo somme ingenti senza nemmeno dover inserire un PIN. L’esperimento di laboratorio è stato realizzato per dimostrare una possibile vulnerabilità con la quale attaccare carte di credito con scopo truffaldino. Interessate, secondo quanto rivelato dai ricercatori, le carte del circuito Visa con chip per i pagamenti in modalità contactless. A lanciare l’allarme i laboratori di ETH Zürich che hanno scoperto la falla, avvisando chi di dovere in modo da potervi porre rimedio.
Update
Una precisazione è necessaria ai fini della corretta percezione del rischio: l’attacco, pur verificato in linea teorica attraverso una simulazione di laboratorio, è in realtà molto complessa da realizzarsi nel mondo reale e, soprattutto, la spiegazione seguente non contempla tutti quei fattori di verifica e controllo che nel mondo reale sono in grado di anestetizzare i fattori di rischio evidenziati. Nessun attacco è stato fin qui registrato, né agli effetti è possibile immaginare attacchi su larga scala basati su questa vulnerabilità.
Carte di credito a rischio: ecco cosa è stato scoperto
Il procedimento è quello mostrato in pochi secondi nel filmato seguente. Il malintenzionato digita su un primo smartphone la cifra da trasferire, in questo caso 200 franchi svizzeri (pari a circa 185 euro), poi avvicina alla carta di credito uno degli altri telefoni definito “POS emulator” acquisendo una serie di informazioni della tessera e trasmettendole immediatamente a un altro device che a sua volta funge da “Card emulator”. Quest’ultimo, avvicinato al POS vero e proprio, porta a termine l’acquisizione senza richiedere alcun codice di sicurezza.
Ciò è reso possibile dall’impiego di un protocollo di pagamento modificato ad hoc per bypassare il controllo solitamente imposto per i trasferimenti di somme superiori a 25-30 euro. Stando a quanto reso noto le carte accettate da altri circuiti (Mastercard su tutti) non sono interessate dalla falla.
La buona notizia è che sono già in fase di distribuzione gli aggiornamenti per i terminali impiegati dai mercanti a livello globale, così da impedire la dinamica. Rimane però da capire quanto ci sarà da attendere prima che il rollout possa raggiungere ogni singolo POS. Inoltre, il problema potrebbe non tanto riguardare quelli presenti in negozi e attività commerciali, ma quelli in dotazione a chi eventualmente a conoscenza della procedura intende sfruttarla per truffe e raggiri. Nel frattempo il consiglio migliore è quello di sempre: tenere la propria carta di credito al sicuro, sotto stretto controllo.
Aggiornamento
Questo lo statement ufficiale con il quale VISA spiega quanto verificato, approfondendo in particolar modo la reale entità di un rischio che, nel mondo reale, sarebbe molto inferiore rispetto a quanto illustrato:
Visa considera con la massima serietà tutte le minacce alla sicurezza dei pagamenti e apprezza l’impegno da parte del settore e del mondo accademico per rafforzare la sicurezza delle transazioni. I consumatori possono continuare a fidarsi delle carte Visa e ad utilizzarle senza timore.
Gli schemi di frodi per fasi sono stati studiati per circa dieci anni e in questo periodo non sono mai state registrate segnalazioni di tali reati nella realtà. I test sviluppati per progetti di ricerca possono risultare legittimi in fase di simulazione, ma nel mondo reale questi schemi si sono dimostrati irrealizzabili per i truffatori.
Le carte contactless sono molto sicure. Utilizzando la stessa tecnologia sicura di EMV Chip, le carte contactless sono estremamente efficaci nel prevenire le contraffazioni grazie ad un codice monouso che impedisce il riutilizzo di dati compromessi per realizzare una frode. In Europa, inoltre, nel 2019, il tasso di frodi con uso di carte contactless Visa è diminuito del 21% rispetto al 2018.