La clonazione delle carte di credito è un problema piuttosto diffuso. Ci sono diverse tecniche che usano i cyber criminali per entrare in possesso delle informazioni relative alle carte di credito. Analizziamo quali sono le più diffuse e che cosa si può fare per evitare brutte sorprese.

Il primo punto da chiarire è come fanno i criminali informatici a clonare le carte. Usano i cosiddetti skimmer, inizialmente dispositivi hardware progettati per rubare le informazioni sulle carte di credito. Svolgono il "lavoro sporco" quando i consumatori effettuano transazioni presso sportelli bancomat, pompe di benzina e altri terminali di pagamento.

Di recente il termine skimmer è stato esteso ai software e al codice dannoso. Servono per ottenere lo stesso obiettivo, ma tramite i siti web di e-commerce. In pratica, intercettano i dati delle carte di credito immessi durante gli acquisti online.
A prescindere dalla natura hardware o software, gli skimmer sono strumenti per operare delle frodi. I dati acquisiti vengono utilizzati per clonare le carte di credito fisiche o per eseguire transazioni fraudolente con i dati sottratti.

Come funzionano gli skimmer

Gli skimmer fisici sono progettati per essere montati su modelli specifici di sportelli bancomat, macchine per il checkout automatico o altri terminali di pagamento. Sono progettati per passare inosservati, per questo hanno diverse forme e dimensioni a seconda del dispositivo che il criminale intende usare per i suoi scopi.

Denominatori comuni a tutti i modelli sono un dispositivo per la lettura delle carte (un piccolo circuito integrato alimentato a batteria), e una fotocamera. Il dispositivo per la lettura delle carte è avvolto in un involucro in plastica o in metallo. Ha la stessa forma del lettore legittimo di schede installato sullo sportello. Tramite questo componente i criminali ottengono una copia delle informazioni codificate sulla striscia magnetica della carta. Il procedimento non interferisce con la transazione reale che l'utente sta tentando di eseguire. In questo modo l'azione fraudolenta passa inosservata.

La fotocamera (o un PIN pad falso) servono invece per rubare il PIN dell'utente. Questo elemento, insieme ai dati dalla banda magnetica, serve ai criminali per eseguire transazioni non autorizzate.

Oltre alle versioni esterne, esistono declinazioni interne degli skimmer, che si installano dentro agli sportelli automatici. L'installazione viene eseguita da tecnici corrotti o praticando dei fori nella copertura degli sportelli automatici, poi nascosti con adesivi ad hoc.

Shimmer

Per contrastare gli skimmer, in quasi tutti i paesi sono attive da tempo le carte di credito con microchip. Il problema delle frodi tuttavia si è solo spostato a un livello superiore. I criminali, infatti, messi da parte gli skimmer hanno sviluppati i shimmer, ossia variazioni skimmer più sofisticate. Sono abbastanza sottili da poter essere inseriti nello slot di lettura delle carte. Sono progettati per leggere i dati dai chip delle carte. La buona notizia è che sembra siano efficaci solo su implementazioni errate degli standard Europy, Mastercard e Visa.

Come difendersi dagli skimmer

Non esiste un modo univoco per difendersi, a causa della varietà di dispositivi in circolazione. Si possono però seguire dei consigli generali:

• evitare gli sportelli automatici installati all'esterno di edifici o in aree scarsamente illuminate. I criminali tendono a prediligere proprio questo tipo di obiettivi.
• Se possibile, non prelevare contanti dagli sportelli automatici durante i fine settimana. Storicamente i criminali tendono a installare gli skimmer nel week-end, quando hanno meno probabilità di essere visti.
• Prima di prelevare, provare a spostare o tirare il lettore di schede e il PIN pad. Se si staccano, significa con buona approssimazione che sono stati manomessi. I criminali in genere usano colla di bassa qualità, da qui la facilità di staccarli.
• Dare uno sguardo alla ricerca di fori o pezzi di plastica o metallo che sembrano fuori posto. Possono essere segnali d'allarme anche componenti di un colore che non corrisponde al resto del bancomat, adesivi che non sono allineati correttamente, eccetera.
• Quando si digital il PIN, coprire il PIN pad con una mano. In questo modo se c'è una videocamera nascosta non riuscirà a svolgere il suo compito.
• Nei pagamenti POS, se la carta dispone del microchip, meglio prediligere sempre questo metodo invece di "strisciare" la carta.
• La regola d'oro che tutti dovrebbero seguire è tenere d'occhio gli estratti conto delle carte, e attivare le notifiche basate su app o SMS per ogni transazione. In questo modo la frode sarà smascherata prontamente. L'assicurazione bancaria provvederà poi alla restituzione di quanto sottratto indebitamente.

Se lo skimmer è un software

Gli attacchi digitali prendono di mira il software dei sistemi e delle piattaforme di pagamento. Qualsiasi software che gestisce i dati senza crittografia può essere preso di mira dai malware che scansionano i dati. I malware per POS sono noti come RAM scraping. Sono stati protagonisti di alcuni dei più grandi furti di dati di carte di credito nella storia.

Il successo è dovuto al fatto che i terminali POS non sono molto diversi dagli altri computer. Anzi, molti usano Windows ed eseguono applicazioni che registrano le transazioni. I cyber criminali ottengono l'accesso ai sistemi tramite credenziali rubate. Oppure sfruttano le vulnerabilità software impiegando malware che scansionano la memoria. Quello che cercano sono schemi corrispondenti alle informazioni delle carte di credito. Per questo si chiamano RAM scraping.
Fino a poco tempo fa i dati delle carte non venivano crittografati nel passaggio dal lettore di schede all'applicazione eseguita in locale. È in questa fase che i criminali informatici acquisivano i dati. Negli ultimi anni i POS hanno iniziato a disporre di crittografia point-to-point. Protegge proprio la connessione tra il lettore di carte e il processore di pagamento.

Come sempre, all'evolversi delle difese i criminali informatici corrisponde un'evoluzione delle tecniche di attacco. È così che i criminali informatici hanno spostato la loro attenzione sul processo di checkout sui siti di e-commerce. In questo caso gli attaccanti immettono codice JavaScript dannoso nei siti di shopping online.

L'obiettivo è sempre lo stesso: acquisire informazioni sulle carte quando gli utenti inseriscono i dati nelle pagine di pagamento. Come per i sistemi POS, c'era un punto nella catena di transazioni in cui i dati non erano protetti. Questa falla ha permesso di danneggiare centinaia di migliaia di siti Web, inclusi marchi di alto profilo.

Come proteggersi dagli skimmer software

I consumatori non possono fare molto per prevenire direttamente tali attacchi, perché non hanno alcun controllo sul software. La responsabilità di adottare metodi di difesa efficaci spetta quindi ai commercianti e ai loro fornitori.

Dato che le azioni fraudolente iniettano codice JavaScript dannoso, i programmi di sicurezza degli endpoint che controllano il traffico Web possono rilevare gli attacchi. Il problema è che gli aggressori cambiano continuamente i malware impiegati per cercare di farla franca.

Inoltre, statisticamente questi attacchi tendono a colpire maggiormente i piccoli commercianti online, che non hanno le risorse per investire in costose soluzioni di sicurezza lato server. Questo però non esenta del tutto dal rischio i grandi venditori: in passato molti sono caduti vittime.

Le accortezze dalla parte dell'utente sono poche ma importanti.

• Come detto sopra, monitorare gli estratti conto e attivare le notifiche delle transazioni.
• Usare l'autenticazione a più fattori, che peraltro sarà presto obbligatoria grazie alla direttiva europea PSD2.
• Preferire servizi quali Google Pay e Apple Pay, che utilizzano la tokenizzazione. È un meccanismo che trasmette al commerciante un numero di carta temporaneo anziché quello reale della carta. In questo modo il numero della carta reale non viene mai esposto.
• Pagare con servizi quali PayPal, che non richiede mai l'inserimento dei dati della carta di credito.