Questa sera la trasmissione Patti Chiari della radiotelevisione svizzera di lingua italiana si occuperà di truffe effettuate tramite carte di credito, sia online sia offline. Verrà interpellato anche Ross Anderson, quello della tecnica per scavalcare il PIN delle carte di credito. Io farò un’apparizioncella per dare qualche dritta su come difendersi da questo genere di trappola.
Smishing deriva da SMS e phishing: è la tecnica d’inganno informatico che consiste nell’ottenere informazioni personali mandando alla vittima un SMS appositamente confezionato, che usa spesso tecniche psicologiche per indurre la vittima a rispondere.
Nell’esempio qui accanto, il messaggio fa leva sulle angosce sanitarie per spingere la vittima a cliccare sul link, dove l’aspetta probabilmente una finta pagina delle autorità che le chiederà informazioni personali utili per estorsioni, ricatti o furti di denaro.
Un altro esempio è un messaggio che sembra provenire dalla vostra banca, o da un servizio di pagamento online, e vi invita a scaricare la nuova versione dell’app di sicurezza, che in realtà è un’app creata dai truffatori e nella quale la vittima immetterà le proprie credenziali, dandole così ai criminali.
Mycard.ch ha pubblicato un avviso sul problema dello smishing che spiega bene che “I messaggi di questo genere devono essere ignorati e cancellati senza
che vi sia alcuna interazione con il mittente. Nessuna banca invia ai
propri clienti un SMS di questo tipo senza che vi sia una specifica
richiesta a monte. Allo stesso modo non userebbe mai un SMS per spedirvi
un link relativo all’e-banking.”
Il sito pubblica anche cinque regole di protezione:
1. Non cliccate mai su un link che avete ricevuto tramite un messaggio di testo inviato da un numero sconosciuto o da un’azienda con cui non avete nulla a che fare.
2. Verificate sempre il numero del mittente con occhio critico. Se effettuate una breve ricerca online sul numero sospetto, spesso potete scoprire che si tratta di un numero sconosciuto utilizzato con intenti fraudolenti.
3. Domandatevi sempre se un SMS sia la forma di comunicazione appropriata in quella situazione specifica. Non capiterà mai che, in caso di problemi, un istituto finanziario o un rivenditore online, ad esempio, vi chiedano tramite SMS di fornire i vostri dati.
4. Diffidate in partenza messaggi da cui si evince una particolare urgenza (subito o urgentemente) e in cui vi viene chiesto di inserire i vostri dati personali.
5. Se ricevete un SMS non in risposta a una vostra richiesta da un’azienda che apparentemente conoscete, contattatela tramite un altro canale e informatevi sull’autenticità della richiesta.
Da parte mia aggiungo di non fidarsi del numero del mittente, che è estremamente facile da falsificare.
 |
| Immagine esemplificativa. Credit: Fortinet. |
Ultimo aggiornamento: 2020/10/06 4:10.
Ho a che fare con un caso insolito di furto di denaro tramite carta di credito. La vittima è stata attirata con l’inganno su un sito di phishing, che ha visitato con il proprio iPhone (recente e aggiornato). Ha immesso nel sito il numero e il CVV della carta. Già così è una brutta situazione, lo so.
Ma il suo conto bancario è protetto da un sistema di sicurezza che include un SMS di verifica contenente un PIN usa e getta, per cui la transazione fraudolenta non può andare in porto se non viene digitato questo PIN.
Qui sta il mistero: l’SMS è arrivato alla vittima, che giura di non averlo digitato, ma la transazione è stata completata lo stesso come se il PIN fosse stato immesso manualmente. Alla società che gestisce la carta di credito risulta che il PIN sia stato immesso e quindi la transazione è andata in porto: i truffatori hanno rubato il denaro dalla carta della vittima e la banca si è rifiutata di risarcire perché stando ai suoi log la vittima ha usato l’SMS di validazione.
Subito dopo è arrivata una seconda transazione fraudolenta, con relativo PIN proveniente dalla società emettitrice della carta di credito, ma i truffatori non sono riusciti a prelevare altro denaro perché nel frattempo la società emettritrice aveva bloccato la carta.
L’ipotesi prevalente, per ora, è che il sito dei truffatori contenesse del software per leggere gli SMS ricevuti dalla vittima, forse usando la funzione OTP Autofill, come quando ci si iscrive ad alcuni social network e il PIN di autenticazione viene letto automaticamente dall’app del social network.
Se avete teorie migliori, segnalatele nei commenti. Grazie!
Stanno già arrivando le prime ipotesi:
Ho provato con l’iPhone a loggarmi su Amazon con 2F abilitato: cliccando sul campo di immissione del codice OTP dopo aver ricevuto l’SMS il codice compare più in basso, cliccandoci sopra il codice viene immesso nel campo senza doverlo digitare. pic.twitter.com/Mh3jf3dWF7
— PierGiggi (@pierchiodo) October 4, 2020
Questo è riferito a questa funzione:
— quellaltro (@ggalt5) October 5, 2020
Dai commenti cito questo articolo di Benthamsgaze che parla del Security Code AutoFill di iOS 12 e segnala la pericolosità degli SMS di autenticazione per le transazioni:
SMS based OTP, whether used for 2FA or transaction authentication,
has been criticised for not being the most secure choice of technology.
For example, in recent years the National Institute of Standards and
Technology (NIST) initially publicly criticised SMS
as a communication medium for secure authentication, labelling it as
insecure and unsuitable for strong authentication. However more
recently, they have softened their language and instead deprecated SMS 2FA. Yet, it’s still considered secure enough to be used for Strong Customer Authentication under the new EU Payment Service Directive 2.[…] Examples in which Security Code AutoFill could pose a
risk to online banking security include a Man-in-the-Middle attack on
the user accessing online banking from Safari on their MacBook,
injecting the required input field tag if necessary, or where a
malicious website or app accesses the bank’s legitimate online banking
service.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Sono arrivate tante segnalazioni a proposito delle mail, ricevute da clienti EasyJet, nelle quali la compagnia aerea annuncia di aver subìto un “incidente di sicurezza informatica” che ha coinvolto circa nove milioni di clienti, di cui 480.000 in Svizzera.
La mail proviene effettivamente da Easyjet e include un link personalizzato che porta a una pagina del sito della compagnia aerea che contiene le stesse informazioni.
Il testo è piuttosto rassicurante e solitamente dice che “I dati del tuo passaporto e carta di credito non sono stati coinvoli [sic], ma sono state consultate informazioni del luogo di partenza, la destinazione di viaggio, la data di partenza, il numero di riferimento della prenotazione, la data di prenotazione e il valore della prenotazione.”
Ma il testo non è uguale per tutti: se l’avete ricevuto, leggetelo attentamente, perché l’esperto di sicurezza informatica Graham Cluley segnala che alcuni clienti hanno ricevuto una variante della mail che dice chiaramente che sono stati trafugati anche “dettagli di carte di credito (compresa la scadenza e il CVV)”. Se è questa la vostra versione, vi conviene far bloccare subito la carta di credito che avete usato e che è indicata nella mail.
Un altro aspetto interessante è che la fuga di dati è stata annunciata il 19 maggio, ma non viene precisato il momento in cui è avvenuto effettivamente l’attacco, che a quanto pare risale a un paio di mesi prima: chi ha ricevuto la mail con l’allerta riguardante la carta di credito l’ha infatti vista comparire nella propria casella di posta a fine marzo.
Ma come è possibile che EasyJet si sia fatta rubare i CVV? Questi dati normalmente non vengono conservati dai negozi online, e quindi è molto strano che la compagnia parli di trafugamento di questi codici di autorizzazione. L’ipotesi più probabile è che il sito di Easyjet sia stato attaccato e alterato in modo da installarvi un software (per esempio Magecart) che intercettava i dati di pagamento durante le prenotazioni. Non sarebbe la prima volta: la stessa cosa è successa a British Airways a ottobre 2018.
Comunque stiano le cose, resta valido il consiglio della compagnia aerea di fare molta attenzione a possibili tentativi di furto di password o dati personali da parte di truffatori che si spacciano per EasyJet via mail o per telefono. Conoscendo la spavalderia dei criminali, è probabile che tentino addirittura di presentarsi come addetti ai rimborsi e vi chiedano i dati della carta di credito per un presunto risarcimento. Non cascateci.
Di solito le tecniche di furto dei dati delle carte di credito richiedono l’uso di qualche componente elettronico: uno skimmer per leggere i dati durante l’inserimento nella fessura di un dispositivo di pagamento o un sensore a distanza per catturare i dati di una carta contactless non schermata.
Yusuke Taniguchi, invece, ha usato una tecnica molto differente. Durante il suo lavoro alle casse di un centro commerciale a Koto City, in Giappone, il trentaquattrenne ha semplicemente memorizzato man mano i dati delle carte di oltre 1300 clienti quando gli venivano affidate per la scansione, e poi li ha usati per fare acquisti di merci che poi rivendeva in un negozio di pegni per mantenersi.
Taniguchi ha infatti una memoria particolarmente vivace, che gli permetteva di ricordare il numero della carta, il nome del titolare, la scadenza della carta e il numero di sicurezza presente sul retro nel brevissimo tempo per il quale aveva in mano la carta, per poi trascrivere i dati su un blocco note.
L’uomo è stato acciuffato perché si faceva mandare le merci direttamente presso il proprio indirizzo di casa. La sua memoria prodigiosa, a quanto pare, non era associata a un genio altrettanto vivace.
Come ci si protegge da un commesso con una memoria fotografica del genere? Con la stessa tecnica usata per proteggersi dalle altre frodi: il monitoraggio delle proprie spese, tramite le apposite app o controllando il proprio estratto conto.
Se giocate a Clash of Clans, Clash Royale o a un altro dei tanti giochi online che hanno una “moneta” interna, fate molta attenzione alle offerte di chi vi propone di ottenere queste monete a prezzi scontati: potreste avere a che fare con dei riciclatori di carte di credito rubate e potreste trovarvi con l’account bloccato.
Lo segnala Kromtech Security, raccontando di aver scoperto su Internet un archivio di dati pubblicamente accessibile e contenente migliaia di dati di carte di credito. Ben presto gli esperti si sono resi conto che si trattava di un archivio gestito da ladri di carte di credito.
Questi ladri avevano creato un sistema automatico che creava degli account Apple ID finti usando i dati delle carte di credito rubate. Questi account venivano poi usati per acquistare gemme o altre monete virtuali nei giochi. Le gemme acquistate con le carte altrui venivano poi vendute a prezzo scontato a giocatori comuni, e in questo modo la banda otteneva soldi puliti.
La Supercell, che ha sviluppato Clash of Clans e Clash Royale ha avvisato i giocatori che chi compra gemme o diamanti da siti esterni può trovarsi permanentemente bandito dal gioco e rischia di dare a dei criminali il controllo del proprio account Apple ID o Google Play.
Fonte aggiuntiva: Tripwire.
Ultimo aggiornamento: 2019/02/01 15:05.
Per anni, Facebook ha saputo che nei giochi online del suo social network, come Angry Birds o PetVille, c’erano bambini che spendevano centinaia o migliaia di dollari e spesso si è rifiutata di rimborsare queste spese chiaramente non autorizzate dai genitori.
In un caso esemplare, un quindicenne ha accumulato debiti per 6500 dollari in un paio di settimane, a furia di giocare, e Facebook ha negato il rimborso. I dipendenti dell’azienda di Zuckerberg descrivevano questi giovani come whale: il termine che si usa nei casinò per identificare i giocatori che spendono grandi cifre. I polli da spennare, insomma.
Gillian: Would you refund this whale ticket? User is disputing ALL charges …
Michael: What’s the user’s total/lifetime spend?
Gillian: It’s $6,545 – but card was just added on Sept. 2. They are disputing all of it I believe. That user looks underage as well. Well, maybe not under 13.
Michael: Is the user writing in a parent, or is this user a 13ish year old.
Gillian: It’s a 13ish yr old. Says its 15. Looks a bit younger. She* not its. Lol.
Michael: … I wouldn’t refund
Gillian: Oh that’s fine. Cool. Agreed. Just double checking.
Non solo: Facebook commissionò un‘analisi interna per capire come mai nel 93% dei casi i risarcimenti alle carte di credito dei genitori dei giovani giocatori di Angry Birds erano dovuti al fatto che questi genitori non erano consapevoli che il gioco potesse causare addebiti senza chiedere password o autorizzazioni.
L’analisi fece emergere inoltre il fatto che l’età media dei giocatori di Angry Birds era di cinque anni. Ma Facebook decise di non intervenire, perché qualunque misura per avvisare i giocatori che stavano spendendo soldi veri rischiava di intaccare gli incassi, e anzi chiese agli sviluppatori di giochi di non ostacolare le spese fatte dai minorenni a insaputa dei genitori. In un promemoria interno, Facebook chiamò questa prassi con un nome eloquentissimo: Friendly Fraud, ossia “frode amichevole” oppure, per analogia con il termine friendly fire, “frode da fonte fidata”.
Da allora Facebook ha introdotto maggiori controlli sui pagamenti, ma sembra che per farlo sia stata necessaria l’azione legale collettiva che ha reso pubblici questi comportamenti interni dell’azienda. Resta da vedere se la mentalità aziendale è davvero cambiata.
Fonti: Revealnews, Il Post.
I criminali informatici non si fermano mai nella propria ricerca di nuove tecniche per rubarci dati che possono monetizzare.
Invece di infettare i dispositivi degli utenti e rubare i dati delle carte di credito usate durante lo shopping online, cosa difficile se l’utente ha installato antivirus e app di protezione antifrode, infettano i siti di shopping.
Ma l’infezione non avviene attaccando direttamente i siti commerciali, che di solito hanno protezioni piuttosto robuste: viene messa a segno attaccando le società che forniscono a questi siti gli script per la gestione dei pagamenti. Queste società spesso sono difese molto debolmente. Ai criminali basta entrarvi in modo da alterare a proprio favore gli script che poi i siti commerciali vanno a scaricare e incorporare.
Magecart, per esempio, è uno script alterato che viene installato fraudolentemente nei siti commerciali e intercetta i dati dei pagamenti effettuati tramite carte di credito: una delle sue vittime più illustri è stata British Airways, che ad agosto scorso si è fatta sottrarre i dati di 380.000 clienti con 22 righe di script. Ma anche Infowars, il sito del complottista Alex Jones, è stato colpito.
Rapid7 ha dei consigli tecnici per i gestori dei siti di e-commerce, ai quali spetta il compito di tenersi puliti; gli acquirenti possono solo vigilare sugli acquisti attivando per esempio i messaggi di allerta e verifica delle transazioni fatte con la carta di credito. Se il sito usato contiene script rubacarte, questi messaggi permetteranno di accorgersi che l’acquisto fatto è fraudolento e di bloccarlo.
Vale naturalmente, come sempre, la raccomandazione classica di fare acquisti solo in siti ben conosciuti e di non farsi sedurre da offerte troppo belle per essere vere.
Sono in circolazione vari attacchi informatici basati sullo stesso meccanismo psicologico: i truffatori fingono di essere un’azienda o un’organizzazione svizzera conosciuta e autorevole per conquistarsi la fiducia delle vittime e convincerle a cliccare su un link o aprire un documento.
GovCERT.ch, servizio gestito dalla Centrale d’annuncio e d’analisi per la sicurezza dell’informazione MELANI della Confederazione Svizzera, avvisa infatti che circola una mail che si spaccia per una comunicazione del servizio ferroviario RailService delle Ferrovie Federali Svizzere ma in realtà contiene un trojan molto conosciuto, Retefe, che tenta di infettare i computer di chi lo apre e viene usato per intercettare le transazioni bancarie online. La raccomandazione è di non aprire gli allegati e di cancellare il messaggio.
Actuellement des fraudeurs envoient des faux e-mails au nom des CFF @RailService, contenant le cheval de Troie e-banking “Retefe”, ceci dans le but d’infecter les ordinateurs des citoyens de la Suisse romande. N’ouvrez pas les pièces jointes, mais supprimez les courriels. pic.twitter.com/tPgwJ6AOKr— GovCERT.ch (@GovCERT_CH) 4 ottobre 2018
GovCERT segnala anche altri truffatori, che diffondono mail nelle quali si spacciano per la polizia cantonale di Zurigo e fingono che ci siano delle violazioni legali nel sito del destinatario. Anche qui si consiglia di non aprire i messaggi e di cancellarli senza leggerli.
Bitte teilen – Warnung vor falschen Mails mit Absender KantonspolizeiSeit kurzem sind mehrere Spam-Mails mit dem Absender Kantonspolizei von einem unbekannten Urheber versendet worden. Wir empfehlen, die Mails nicht zu öffnen und ungelesen zu löschen. pic.twitter.com/AVvXXoNYL9
— Kantonspolizei Zürich (@KapoZuerich) 4 ottobre 2018
Nel mirino dei truffatori ci sono anche UBS e Postfinance: in questo caso il messaggio che viene ricevuto dalle vittime reca il logo dell’azienda e dice che la carta di credito della vittima è stata bloccata perché non è stata confermata e che bisogna cliccare sul pulsante incluso nel messaggio per effettuare la conferma, altrimenti ci saranno da pagare 84.99 franchi. Ma non è vero nulla: il pulsante porta a un sito-trappola che presumibilmente cerca di convincere la vittima a immettere i dati della propria carta ma è già stato segnalato e viene bloccato dai principali software di protezione.
Anche qui, la cosa migliore da fare è cestinare il messaggio.
Questo articolo vi arriva grazie alle gentili donazioni di “masdemma” e “vdemontis”. L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2010/02/18.
Quando andavo a scuola io, non facevamo ricerche così divertenti. Un gruppo di ricercatori dell’Università di Cambridge ha scoperto una falla ridicolmente facile da usare nel sistema di gestione “chip and pin” delle transazioni effettuate con carte di credito nei terminali dei negozi.
Secondo Ross Anderson, del Cambridge University Computer Laboratory, si tratta di “uno dei difetti più grandi mai scoperto nei sistemi di pagamento… in un sistema usato da centinaia di milioni di persone, decine di migliaia di banche e milioni di punti vendita”.
La falla permette al malfattore di usare una carta di credito rubata senza conoscerne il PIN. Il metodo, di cui non sono stati divulgati tutti i dettagli per ovvie ragioni, sembra essere un man in the middle: la carta rubata viene inserita in un lettore portatile collegato a un laptop sul quale gira un programma apposito scritto dai ricercatori di Cambridge. Il tutto è nascosto in un piccolo zaino, dal quale esce un cavetto, che viene dissimulato passandolo nella manica del manigoldo. Il cavetto si collega a una finta carta di credito, che è quella che viene infilata nel terminale del negozio al posto di quella vera.
La transazione avviene nel modo normale, avendo l’accortezza di non far notare il cavetto che sporge dalla carta (non è difficile), ma al momento della richiesta del PIN il criminale è libero di digitare quello che preferisce, anche “0000”, perché il software e la finta carta fanno credere al terminale che sia stato immesso il codice corretto. La ricevuta riporta l’indicazione che la transazione è stata verificata tramite PIN.
Il programma Newsnight della BBC ha realizzato un video in cui mostra questo trucco all’opera, naturalmente in condizioni controllate e con tutti i permessi del caso. Ha funzionato con due carte di credito e due di debito di quattro diversi istituti di credito britannici. Gli istituti, interpellati dalla BBC, hanno sottolineato che si tratta di un problema che riguarda l’intero settore e non è colpa di un singolo operatore e da quanto dicono sembra di capire che stiano già lavorando alla soluzione.
Ora resta da chiarire se il problema si estende anche alle carte di credito non britanniche. Considerato che le carte di credito estere funzionano anche nel Regno Unito, la cosa sembra altamente probabile. Un rimedio possibile è disporre il terminale di lettura delle carte in modo che il malfattore non possa dissimulare il cavetto coprendolo con la manica del maglione o della giacca.
La bozza dell’articolo dei ricercatori dell’Università di Cambridge è scaricabile qui come PDF.