Ricordo vividamente il momento in cui ho capito quanto siano tristemente insicure le carte di credito e di debito. Ho visto come qualcuno ha preso un comune lettore di banda magnetica USB e l’ha inserito in un computer, che l’ha riconosciuto come una tastiera. Hanno aperto un elaboratore di testi e hanno strisciato la carta. Una serie di numeri appariva doverosamente nel file di testo. Era tutto: Le informazioni della carta erano state rubate.
Quella stessa tecnologia è maturata e miniaturizzata. Minuscoli “skimmer” possono essere attaccati ai bancomat e ai terminali di pagamento per scremare i dati dalla banda magnetica della carta (chiamata “magstripe”). Ancora più piccoli “shimmer” sono inseriti nei lettori di carte per attaccare i chip delle carte più recenti. Ora c’è anche una versione digitale chiamata e-skimming che ruba i dati dai siti di pagamento. Fortunatamente, ci sono molti modi per proteggersi da questi attacchi.
Che cosa sono gli skimmer?
Gli skimmer sono piccoli lettori di carte maligni nascosti nei lettori di carte legittimi che raccolgono dati da ogni persona che striscia le loro carte. Dopo aver lasciato che l’hardware sorseggi i dati per qualche tempo, un ladro si fermerà alla macchina compromessa per prendere il file contenente tutti i dati rubati. Con queste informazioni, può creare carte clonate o semplicemente commettere una frode. Forse la parte più spaventosa è che gli skimmer spesso non impediscono al bancomat o al lettore di carte di credito di funzionare correttamente, rendendoli più difficili da rilevare. Il più delle volte, gli aggressori mettono anche una telecamera nascosta da qualche parte nelle vicinanze per registrare i numeri di identificazione personale, o PIN, utilizzati per accedere ai conti. La telecamera può essere nel lettore di carte, montata in cima al bancomat, o anche nel soffitto. Alcuni criminali arrivano al punto di installare falsi PIN pad sopra le tastiere attuali per catturare il PIN direttamente, bypassando la necessità di una telecamera.
Questa foto è un vero skimmer in uso su un bancomat. Vedete quello strano e ingombrante pezzo giallo? Quello è lo skimmer. Questo è facile da individuare perché ha un colore e un materiale diverso dal resto della macchina, ma ci sono altri segni rivelatori. Sotto la fessura dove inserisci la tua carta ci sono delle frecce in rilievo sull’involucro di plastica della macchina. Puoi vedere come le frecce grigie sono molto vicine all’alloggiamento giallo del lettore, quasi sovrapposte. Questo è un segno che uno skimmer è stato installato sopra il lettore esistente, dato che il vero lettore di carte avrebbe un po’ di spazio tra la fessura della carta e le frecce.
I produttori di bancomat non hanno preso questo tipo di frode con leggerezza. I nuovi bancomat vantano robuste difese contro la manomissione, a volte includendo sistemi radar destinati a rilevare oggetti inseriti o attaccati al bancomat. Tuttavia, un ricercatore alla conferenza sulla sicurezza Black Hat è stato in grado di utilizzare il dispositivo radar di bordo di un bancomat per catturare i PIN come parte di una truffa elaborata.
Gli skimmer sono ancora una minaccia?
Durante la ricerca di un aggiornamento di questo articolo, abbiamo contattato Kaspersky Labs, e i rappresentanti della società ci hanno detto qualcosa di sorprendente: gli attacchi di skimming sono in calo. “Lo skimming era ed è ancora una cosa rara”, ha detto il portavoce di Kaspersky.
Il rappresentante di Kaspersky ha citato le statistiche dell’UE dalla European Association for Secure Transactions (EAST) come indicative di una tendenza più ampia. L’EAST ha riportato un minimo storico negli attacchi di skimmer, scendendo da 1.496 incidenti nell’aprile 2020 a 321 incidenti nell’ottobre dello stesso anno. Gli effetti di COVID-19 potrebbero avere qualcosa a che fare con questo calo, ma è comunque drammatico.
Questo non significa che lo skimming sia sparito, naturalmente. Recentemente, nel gennaio 2021, una grande truffa di skimming è stata scoperta nel New Jersey. Ha coinvolto attacchi a più di 1.000 clienti della banca, con i criminali che hanno tentato di fare fuori più di 1,5 milioni di dollari.
Da Skimmer a Shimmer
Quando le banche statunitensi si sono finalmente messe al passo con il resto del mondo e hanno iniziato a emettere carte con chip, è stato un grande vantaggio per la sicurezza dei consumatori. Queste carte con chip, o carte EMV, offrono una sicurezza più robusta delle penosamente semplici strisce magnetiche delle vecchie carte di pagamento. Ma i ladri imparano in fretta, e hanno avuto anni per perfezionare gli attacchi in Europa e in Canada che prendono di mira le carte con chip.
Invece degli skimmer, che stanno sopra i lettori di strisce magnetiche, gli shimmer sono all’interno dei lettori di carte. Questi sono dispositivi molto, molto sottili e non possono essere visti dall’esterno. Quando fai scorrere la tua carta, lo shimmer legge i dati dal chip sulla tua carta, nello stesso modo in cui uno skimmer legge i dati sulla banda magnetica della tua carta.
Ci sono alcune differenze chiave, tuttavia. Per esempio, la sicurezza integrata che viene con EMV significa che gli attaccanti possono ottenere solo le stesse informazioni che otterrebbero da uno skimmer. Sul suo blog, il ricercatore di sicurezza Brian Krebs spiega che “Anche se i dati che sono tipicamente memorizzati sulla banda magnetica di una carta sono replicati all’interno del chip sulle carte abilitate al chip, il chip contiene ulteriori componenti di sicurezza che non si trovano su una banda magnetica”. Questo significa che i ladri non potrebbero duplicare il chip EMV, ma potrebbero usare i dati dal chip per clonare la banda magnetica o usare le sue informazioni per qualche altra frode.
Il rappresentante di Kaspersky con cui abbiamo parlato era inequivocabile nella sua fiducia per le carte con chip. “EMV non è ancora rotto”, ha detto Kaspersky a PCMag. “Gli unici hacker EMV di successo sono in condizioni di laboratorio.”
Il vero problema è che gli shimmer sono nascosti all’interno delle macchine delle vittime. Lo shimmer raffigurato qui sotto è stato trovato in Canada e segnalato alla RCMP (link Internet Archive). È poco più di un circuito integrato stampato su un sottile foglio di plastica.
Image credit: Coquitlam RCMP
Check for Tampering
Checking for tampering on a point-of-sale device can be difficult. La maggior parte di noi non è in fila al negozio di alimentari abbastanza a lungo per dare al lettore un buon controllo. È anche più difficile per i ladri attaccare queste macchine, poiché non sono lasciate incustodite. I bancomat, d’altra parte, sono spesso lasciati incustoditi nei vestiboli o anche all’aperto, rendendoli obiettivi più facili.
Mentre la maggior parte di questo articolo parla dei bancomat, tenete a mente che anche le stazioni di servizio, le stazioni di pagamento per il trasporto pubblico e altre macchine incustodite sono pronte per gli attacchi. I nostri consigli si applicano anche in queste circostanze.
Quando ti avvicini a un bancomat, controlla alcuni segni evidenti di manomissione nella parte superiore del bancomat, vicino agli altoparlanti, il lato dello schermo, il lettore di carte stesso e la tastiera. Se qualcosa sembra diverso, come un colore o un materiale diverso, una grafica che non è allineata correttamente, o qualsiasi altra cosa che non sembra giusta, non usare quel bancomat.
Se sei in banca, è una buona idea dare un’occhiata veloce al bancomat accanto al tuo e confrontarli. Se ci sono differenze evidenti, non usare nessuno dei due – invece, segnala alla tua banca la manomissione sospetta. Per esempio, se un bancomat ha un’entrata lampeggiante per mostrare dove dovresti inserire la carta bancomat e l’altro bancomat ha un semplice slot, sai che qualcosa non va. La maggior parte degli skimmer sono incollati sopra il lettore esistente e oscureranno l’indicatore lampeggiante.
Se la tastiera non sembra giusta – troppo spessa o fuori centro, forse – allora potrebbe esserci una sovrapposizione per lo scippo del PIN. Non usarla. Cerca altri segni di manomissione come buchi che potrebbero nascondere una telecamera, o bolle di colla di un intervento frettoloso alla macchina.
Anche se non puoi vedere nessuna differenza visiva, spingi tutto. I bancomat sono costruiti solidamente e generalmente non hanno parti allentate. I lettori di carte di credito hanno più variazioni, ma comunque: tira le parti sporgenti come il lettore di carte. Guarda se la tastiera è saldamente attaccata e solo un pezzo. Se qualcosa si muove quando lo spingi, preoccupati.
Pensa alla tua transazione
Ogni volta che inserisci il PIN di una carta di debito, supponi che ci sia qualcuno che guarda. Forse è sopra le tue spalle o attraverso una telecamera nascosta. Anche se il bancomat o la macchina di pagamento sembra a posto, copriti la mano mentre inserisci il PIN. Ottenere il PIN è essenziale. Senza di esso, i criminali sono limitati in ciò che possono fare con i dati rubati.
I criminali spesso installano skimmer su bancomat che non si trovano in luoghi troppo frequentati, perché non vogliono essere osservati mentre installano hardware dannoso o raccolgono i dati raccolti (anche se ci sono sempre eccezioni). I bancomat interni sono generalmente più sicuri da usare rispetto a quelli esterni, dato che gli aggressori possono accedere alle macchine esterne senza essere visti. Fermati e considera la sicurezza del bancomat prima di usarlo.
Quando possibile, non usare la striscia magnetica della tua carta per eseguire la transazione. La maggior parte dei terminali di pagamento ora usa la striscia magnetica come ripiego e ti chiederà di inserire il tuo chip invece di strisciare la carta. Se il terminale della carta di credito accetta transazioni NFC, considera l’uso di Apple Pay, Samsung Pay o Android Pay.
Questi servizi di pagamento senza contatto tokenizzano le informazioni della tua carta di credito, quindi i tuoi dati reali non sono mai esposti. Se un criminale in qualche modo intercetta la transazione, otterrà solo un inutile numero di carta di credito virtuale. Alcuni dispositivi Samsung potrebbero emulare una transazione magstripe attraverso il telefono. Questa tecnologia è chiamata MST, ma ora è stata interrotta.
Uno scenario che spesso richiede l’uso della vostra banda magnetica è il pagamento del carburante alla pompa di benzina. Questi sono pieni di attacchi, perché molti non supportano ancora le transazioni EMV o NFC, e perché gli aggressori possono accedere alle pompe senza essere notati. È molto più sicuro entrare e pagare alla cassa. Se non c’è un cassiere in servizio, usa gli stessi consigli per usare i bancomat e indaga sul lettore di carte prima di usarlo.
Raccomandato dai nostri redattori
Da Skimmer a Shimmer a E-Skimmer
Non sorprende che ci sia un equivalente digitale chiamato e-skimming. L’hacking di British Airways del 2018 a quanto pare si è basato molto su queste tattiche.
Come ha spiegato Bogdan Botezatu, direttore di Threat Research and Reporting di Bitdefender, l’e-skimming è quando un aggressore inserisce un codice maligno in un sito di pagamento che ti strappa i dati della carta.
“Questi e-skimmer vengono aggiunti compromettendo le credenziali dell’account dell’amministratore del negozio online, il server di web hosting del negozio, o compromettendo direttamente il negozio in modo da distribuire copie contaminate del loro software”, ha spiegato Botezatu. Questo è simile a una pagina di phishing, tranne che la pagina è autentica – il codice della pagina è stato solo manomesso.
“Gli attacchi di e-skimming stanno diventando sempre più abili a eludere il rilevamento”, ha detto Botezatu. “Più tempo un aggressore mantiene questo punto d’appoggio, più carte di credito sono in grado di raccogliere.”
Combattere questo tipo di attacco è in definitiva fino alle aziende che gestiscono questi negozi. Ci sono alcune cose che i consumatori possono fare per proteggersi, però. Botezatu ha suggerito ai consumatori di usare un software di sicurezza sui loro computer, che ha detto che può rilevare il codice maligno e impedire l’inserimento delle informazioni.
In alternativa, si può evitare di inserire i dati della carta di credito con carte di credito virtuali. Questi sono numeri di carta di credito fittizi che sono collegati al vostro vero conto della carta di credito. Se una è compromessa, non dovrete ottenere una nuova carta di credito, ma solo generare un nuovo numero virtuale. Alcune banche, come Citi, offrono questa funzione, quindi chiedi alla tua se è disponibile. Se non è possibile ottenere una carta virtuale da una banca, Abine Blur offre carte di credito mascherate agli abbonati, che funzionano in modo simile. Anche Apple Pay e Google Pay sono accettati su alcuni siti web.
Un’altra opzione è quella di iscriversi agli avvisi della carta. Alcune banche invieranno un avviso push al tuo telefono ogni volta che la tua carta di debito viene utilizzata. Questo è comodo, dato che puoi identificare immediatamente gli acquisti fasulli. Se la tua banca fornisce un’opzione simile, prova ad attivarla. Le applicazioni di finanza personale come Mint.com possono aiutare a facilitare il compito di ordinare tutte le tue transazioni.
Stay Aware
Anche se fai tutto bene e controlli ogni centimetro di ogni macchina di pagamento che incontri (con grande dispiacere delle persone dietro di te in fila) puoi essere l’obiettivo di una frode. Ma fatevi coraggio: Se denunci il furto all’emittente della tua carta (per le carte di credito) o alla banca (dove hai il tuo conto) il prima possibile, non sarai ritenuto responsabile. Il tuo denaro ti sarà restituito. I clienti commerciali, d’altra parte, non hanno la stessa protezione legale e potrebbero avere più difficoltà a recuperare i loro soldi.
Inoltre, cerca di usare una carta di credito se ha senso per te. Una transazione di debito è un trasferimento di denaro immediato e a volte può richiedere più tempo per essere corretta. Le transazioni con carta di credito possono essere interrotte e annullate in qualsiasi momento. Ciò mette sotto pressione i commercianti per rendere più sicuri i loro bancomat e i terminali dei punti vendita. L’uso eccessivo del credito ha le sue insidie, però, quindi fate attenzione.
Infine, fate attenzione al vostro telefono. Le banche e le società di carte di credito hanno in genere politiche di rilevamento delle frodi molto attive e vi contatteranno immediatamente, di solito per telefono o SMS, se notano qualcosa di sospetto. Rispondere rapidamente può significare fermare gli attacchi prima che possano colpirti, quindi tieni il tuo telefono a portata di mano.
Ricorda: se c’è qualcosa che non va in un bancomat o in un lettore di carte di credito, non usarlo. Ogni volta che puoi, usa il chip invece della striscia sulla tua carta. Il tuo conto in banca ti ringrazierà.
Fahmida Y. Rashid ha contribuito a questa storia