Ha fatto scalpore la foto-notizia pubblicata prima su Facebook oggi su Repubblica dei borseggiatori 2.0 che con molta facilità sono in grado di rubare i dati della carte di credito contactless (i tecnici dicono “sniffare”). Un metodo che sembra una novità, ma come aveva denunciato il nostro giornale era ben noto alle aziende che emettono queste carte già dal 2013, senza che siano stati presi provvedimenti.
LA NOSTRA INCHIESTA DI OTTOBRE
Le chiamano carte di ultima tecnologia ma sono potenzialmente vulnerabili. Migliaia di carte a rischio come ha scoperto il Test. E la cosa sconcertante è che i produttori lo sanno dal 2013. Raoul Chiesa, uno dei maggiori e più riconosciuti esperti a livello mondiale di infosecurity non lascia molto spazio agli equivoci: “Siamo riusciti a intercettare le transazioni di queste carte con un semplice dispositivo, banalissimo da riprodurre”. Ma procediamo con ordine.
In Italia ci sono circa 6 milioni di carte di credito e debito NFC, una nuova tecnologia che sta prendendo rapidamente piede dall’inizio del 2014. L’acronimo sta per Near Field Communication (comunicazioni ravvicinate). Queste carte vengono emesse da molte banche e da Poste Italiane. Il problema è che si possono sniffare, termine di gergo informatico che indica la possibilità di furto, in questo caso si tratterebbe di un attacco alla privacy, agli ultimi movimenti bancari con il rischio potenziale della sottrazione dei soldi. Un attacco indolore, e senza essere connessi a internet, è questa la nuova frontiera del cybercrimine: un “colpo” on-the-road: per subirlo potrebbe bastare essere a meno di un metro di distanza dall’“Hacker d’asfalto”, durante una passeggiata o in situazioni affollate.
Questa tecnologia è utilizzata principalmente per effettuare pagamenti rapidi, senza la necessità di digitare alcun pin, né firme: si passa la carta vicino al lettore, senza strisciarla. I sistemi principali in uso sono due, il payWave di Visa ed il PayPass di MasterCard. Il sistema è stato pensato appunto per piccoli pagamenti, la media in Europa è di circa 20 euro; le carte contactless o NFC-enabled sono riconoscibili dal logo, il simbolo internazionale del wi-fi presente sul fronte della carta. In Italia questa nuova prassi è usata negli esercizi commerciali più disparati: da McDonald’s alla catena Autogrill, da bar e caffetterie negli aeroporti, dalle biglietterie automatiche delle Ferrovie per acquisti sotto i 25 euro. Si possono adoperare, inoltre, per acquisti on line su Amazon e altri siti senza che venga richiesto il codice di sicurezza a 3 cifre scritto sul retro della carta, il CVC (Card Validation Code) o CVV (Card Validation Value).
SNIFFABILI
Raoul Chiesa, non è un semplice esperto di sicurezza informatica, è il primo esperto di sicurezza italiano a essere selezionato tramite chiamata ad personam, come membro del PSG (Permanent Stakeholders Group) l’Agenzia europea per la sicurezza delle reti e dell’informazione; uno dei pochi italiani che vanta consulenze per agenzie governative e per le Nazioni Unite UNICRI (United Nations Interregional Crime and Justice Research Institute), ha fondato in Italia la Security Brokers una società che si occupa di sicurezza. È proprio lui a spiegarci in modo chiaro e diretto che in questa tecnologia esiste un baco.
“Le carte NFC sono sniffabili, ovvero si possono intercettare dati-chiave delle carta di credito (nome e cognome del titolare, numero completo della carta e relativa scadenza e in molti casi l’elenco di tutte le ultime transazioni, incluse di date e importi), anche quando non la si sta utilizzando per una transazione”. Chiesa ci tiene a precisare come, invece, il codice CVV / CVC (il numero di tre cifre stampato dietro la carta) non venga intercettato. È su questo punto che l’esperto si sofferma, sorseggia un po’ d’acqua, fa una pausa, e da buon comunicatore, per non lasciare dubbi calibra parole molto chiare che suonano come una scure: “Un altro stereotipo sull’argomento è quello sul CVV. Seppur corrisponda a verità l’impossibilità di intercettare il CVV della carta, è altrettanto vero che la maggior parte dei siti di e-commerce non lo richiedono, facilitando quindi l’utilizzo della carta clonata per l’acquisiti di beni e servizi a basso costo”.
TUTTI SAPEVANO
È almeno dal 2012 che la comunità hacker (ovviamente parliamo degli ethical hacker, chi studia tutte le vulnerabilità dei sistemi per rafforzare la sicurezza informatica) ha pubblicamente mostrato i risultati delle proprie ricerche. Uno dei primi fu il francese Renaud Lifchitz durante la conferenza “Hackito Ergo Sum” a Parigi. I software per sniffare i dati di carte di credito NFC iniziavano a essere molti, seppur disponibili solo per sistemi Linux. Sistemi open source, gratuiti insomma, e accessibili a tutti indistintamente.
“Nel corso di questi anni prosegue Chiesa mi è capitato personalmente di confrontarmi con diversi soggetti del mondo NFC, dai costruttori di Pos “NFC-enabled” sino ad alcune istituzioni finanziarie. Ricordo come, inizialmente, le loro risposte generassero in me e nel mio team una sorta di fastidio, arrivando talvolta a rasentare vero e proprio sconcerto: i nostri interlocutori negavano il problema e, dopo che dimostravamo le nostre affermazioni con i fatti, attraverso esempi concreti e davanti ai loro occhi, negavano l’evidenza”. Nonostante gli errori e le falle delle carte di credito NFC siano, oramai da anni, sotto gli occhi di tutti, secondo Chiesa l’atteggiamento rimane lo stesso: minimizzare i rischi potenziali.
A distanza di tre anni, oggi basta una semplice ricerca su Google per trovare addirittura app per smartphone specialmente Android così come software per Windows. Esistono app specifiche, ad esempio per intercettare “transit tickets”, cioè carte NFC utilizzate per i trasporti, come autobus, treni, metropolitane. E si tratta solo di un esempio, l’unico limite è la creatività (e le necessità) di chi ha “adattato” il software originale a comprendere ed estrarre dalla carta NFC specifici dati, in funzione delle differenti implementazioni della tecnologia NFC da parte degli operatori di mercato e dei singoli paesi.