Attualità

Le Iene e la storia delle carte di credito contactless

iene carta di credito contactless furto - 2

Ieri sera le Iene hanno mandato in onda un servizio sulle falle nella sicurezza delle carte di credito contactless. Si tratta di carte di credito (ma esistono anche i Bancomat) che consentono di effettuare i pagamenti semplicemente avvicinandole e appoggiandole sopra il lettore del terminale POS per pagamenti generalmente non superiori ai 30 euro. Grazie a questo sistema non è più necessario strisciare la banda magnetica della carta o inserire il lato del chip nel lettore. I pagamenti diventano così più veloci, ma saranno sicuri? Secondo le Iene la risposta è no.

Le Iene e la storia delle carte credito a rischio di next-quotidiano

Quanto sono sicure le carte di credito contactless?

Nel servizio di ieri della iena Nicolò De Vitiis vediamo infatti come sia relativamente semplice rubare i dati di una carta di credito contactless semplicemente utilizzando una app dello smartphone che sfrutta le funzionalità NFC (Near Field Communication) e lo trasforma in un lettore di carte contactless. Avvicinando il telefono alla carta della vittima è possibile quindi carpire i dati della carta di credito per poterli poi utilizzare in seguito per fare acquisti. E De Vitiis ci mostra empiricamente come questo sia realmente possibile e alla portata di tutti, nel video infatti ci fa vedere che il tentativo di rubare i dati della carta di credito dell’operatore delle Iene riesce perfettamente, peccato però che l’uomo avesse messo la carta di credito nella tasca posteriore dei jeans senza metterla nel portafoglio. Un’eventualità che difficilmente corrisponde ad una situazione reale. Il punto è che per poter leggere i dati di una carta di credito in questo modo è necessario avvicinarsi davvero molto, in pratica la carta deve quasi toccare il dispositivo di lettura. Nell’esempio mostrato dalle Iene è vero che il furto dei dati riesce, grazie al fatto che avviene in metropolitana dove le persone sono molto vicine l’una all’altra e i contatti involontari sono spesso inevitabili. Il problema però e che la carta è al di fuori del portafoglio.

iene carta di credito contactless furto - 1
Il complice delle Iene mentre infila la carta di credito contactless in tasca

Carlo De Micheli, il consulente di sicurezza informatica intervistato delle Iene spiega che un problema di sicurezza esiste davvero, i dati non sono criptati, ma negli esempi pratici fatti a casa di De Micheli (le Iene riusciranno ad acquistare un prodotto su Amazon grazie ai dati “rubati” alla carta) la carta viene sempre appoggiata direttamente sopra il lettore, sia esso quello del cellulare o un dispositivo esterno. Come mostra questo video di Bufale.net è invece quasi impossibile (se non del tutto) riuscire a registrare i dati della carta contactless se questa si trova all’interno di un normale portafoglio. Probabilmente è quindi ancora più difficile rubare i dati di una carta all’interno di un portafoglio che a sua volta è riposto in una borsa.

Questo non significa che i consigli delle Iene (comprare un portafoglio “schermato” e della propria banca quando viene effettuato un pagamento) non servano a nulla: si tratta di precauzioni utili ma il tono di allarmismo del servizio non è giustificato dai reali rischi di questa tecnologia. Bisogna fare alcune precisazioni, le app utilizzate per leggere le carte tramite NFC non consentono di ottenere il codice di sicurezza (il CVV) della carta. Quindi la carta di credito non potrà essere utilizzata ovunque ma solo presso quei negozi online dove non viene richiesto il codice di controllo che si trova sul retro della carta di credito. Come spiegava qualche tempo fa Michele Nasi su IlSoftware.it:

Le transazioni contactless, inoltre, utilizzando lo standard EMV: ogni volta che la carta viene usata, il circuito integrato (chip) genera un codice di autorizzazione univoco che non può essere nuovamente sfruttato per successive attività.
In altre parole, tutte le successive transazioni non possono usare lo stesso codice “usa e getta” adoperato nelle precedenti.

Questo significa che il ladro non potrà utilizzare la carta ovunque a meno di non avere accesso anche ai dati crittografati contenuti nel server della vostra banca, come ha spiegato Alexander Taratorin, di Raiffeisen Bank a Kaspersky Lab:

In teoria, è possibile creare un terminale in grado di leggere i dati NFC di una carta direttamente dal portafoglio. Tuttavia, questo terminale dovrebbe utilizzare chiavi crittografiche prese dalla banca che accetta la transazione e dal sistema di pagamento. Le chiavi crittografiche vengono emesse dalla banca il che vuol dire che sarebbe facile rintracciare la truffa o effettuare delle indagini.

C’è inoltre un’altra possibilità teorica per rubare i dati di una carta che sfrutta direttamente il telefono della vittima. In questo caso l’hacker deve prima convincere il suo bersaglio ad installare un App che conterrà un trojan o un malware in grado di utilizzare la funzionalità NFC per leggere i dati delle carte contactless che si trovano nel raggio d’azione del telefono e successivamente inviarli al ladro. Il tutto senza nemmeno bisogno di avvicinarvi alle vostre tasche. Si tratta di un tipo di attacco diverso da quello illustrato nel servizio delle Iene e anche in questo caso c’è un modo molto semplice per difendersi: non installare App di dubbia provenienza e disattivare il NFC quando non è necessario utilizzarlo. Insomma le carte di credito contactless sono sicure quanto ogni altra carta di credito o Bancomat (che ad esempio possono essere clonati), il che non significa che siano sicure al 100%, certo, implementare un sistema di crittografia nel chip RFID delle carte sicuramente renderebbe la vita più difficile ai malintenzionati.