Tirate fuori la carta di credito e capovolgetela.
Se sul lato posteriore c'è un contrassegno con la dicitura "Paypass" , "Blink" , un triangolo con archi nidificati al suo interno (
il simbolo universale per i dati senza fili) o altre icone oscure, allora questo tipo di carta è vulnerabile agli attacchi di hacker-borseggiatori, almeno è quanto dice Kristin Paget.
Come ha mostrato su un palcoscenico di Washington , si possono leggere tutti i dati di cui si hanno bisogno per fare una transazione fraudolenta, con attrezzature che costano poche centinaia di euro, e farlo in maniera "invisibile" attraverso il portafogli, la borsa o le tasche.
Alla conferenza di hacker Shmoocon, Paget era intenzionata a dimostrare in maniera indiscutibile ciò che gli hacker sanno da molto tempo e che invece il settore delle carte di credito ha ripetutamente minimizzato e negato: la tecnologia
RFID può essere comoda e a buon mercato, ma allo stesso tempo aumenta il rischio di transazioni fraudolente .
Con un lettore di carte di credito RFID Vivotech comprato su ebay per 50 dollari, Paget con un solo passaggio ha ottenuto, grazie alla collaborazione di un volontario salito sul palco, il numero della carta, la data di scadenza, e il numero CVV usato per le transazioni "contactless" cioè per pagamenti al telefono o su internet.
Subito dopo, ha usato un macchinario da 300 dollari per clonare i dati della carta di credito usata in precedenza, in una nuova carta di credito vuota. Dopo con un
accessorio per l'iPhone, che permette a chiunque di strisciare una carta e ricevere i pagamenti, si è accreditata 15 dollari, che stavano sulla carta del volontario, usando la nuova carta contraffatta che aveva appena creato.
Ha anche dato 20 dollari in contanti al ragazzo che era salito sul palco, (per evitare ogni accusa di frode illegale).
Se qualcuno ancora dubitasse che il trucco funzioni, Paget ha accidentalmente fatto apparire per un attimo il numero della carta di credito del volontario sullo schermo di fronte al pubblico formato da centinaia di hacker e ricarcatori di sicurezza. "Eri intenzionato ad annullare quella scheda, vero?". Ha aggiunto un po' imbarazzata.
Carte contactless sono molto più comuni di quanto protrebbe sembrare: secondo l'associazione Smart Card, sono in circolazione circa 100 milioni di carte RFID-enabled.
Visa chiama il suo sitema payWave, MasterCard PayPass, Discover Zip e American Express la chiama Expresspay .
Facendo un alzata di mano tra il pubblico di Shmoocon lì presente, diverse centinaia di partecipanti avevano la carta contactless e circa un quarto di coloro che non sapevano che tipo di carta avessero, fino a quando non hanno controllato .
Paget, un noto ricercatore per la sicurezza per la Recursion Ventures, che era conosciuto come Christopher Page, fino a quando non ha cambiato sesso lo scorso maggio, usava un semplice metodo per il suo hackeraggio: simulando un POS (point-of-sale) tra la contactless e il suo lettore di carte RFID .
In una pratica versione del raggiro, Paget, dice, un truffatore potrebbe semplicemente sbattere contro la vittima con quel lettore in una tasca del cappotto e avviare la scansione del segnale RFID in maniera invisibile attraverso la pelle del portafogli o la stoffa dei pantaloni.
Paget ha letto la carta che si trovava nel portafogli del giornalista attraverso la tasca posteriore senza neanche toccarlo e con successo ha ottenuto tutte le informazioni contenute nella carta di credito.
Lo schema, Paget fa notare, non comporta alcun bug nascosto nel sistema, ma piuttosto che qualsiasi lettore RFID in commercio sia in grado di leggere i dati da una carta con la stessa facilità di un dispositivo POS che si trova in qualsiasi negozio. "Qualsiasi cifratutra o altra garanzia ci possa essere, non importa" dice. "Il lettore sputa fuori solo il numero come se fossi il punto vendita del terminale, il che è totalmente stupido. Questo è un trucco terribilmente semplice, ma funziona."
Il tipo di attaccao, ha dimostrato Paget, è tutt'altro che nuovo. L'industria della sicurezza sapeva sin dal 2006 che le carte di credito contactless possono essere lette in modalità wireless senza conoscere il propietario. Ma nelle versioni attuali delle carte, il nome dell'utente, il PIN e le tre cifre CVV sul retro della carta non sono inclusi nella modalità senza fili, quelle che l'industria sostiene è che il tipo di attacco non è molto pratico.
Randy Vanderhoof, direttore esecutivo del gruppo industriale della Smart Card Alliance, sottolinea che, nonostante le precendenti ricerche riguardo gli attacchi wireless, non sono mai stati segnalati reali pericoli riguardo questo tipo di frode. "Abbiamo sei anni di storia, cento milioni di utenti di questo genere di carta di credito e non abbiamo mai visto casi documentati di questo tipo di transiazioni fraudolente. Il motivo per cui credo che sia solo un caso a se stante, è che per un criminale sia molto difficile monetizzare questo tipo di frode", dice Vanderhoof. "La premessa che questa sia una nuova minaccia è assolutamente falsa e non è supportata dalla dimostrazione [di Paget]".
Infatti, le carte contactless non offrono un sistema di sicurezza come le carte tradizionali: oltre alle 16 cifre e la data di scadenza della carta, le carte sono impostate per offrire il codice CVV una sola volta per ogni scansione. I codici possono essere utilizzati per una sola transazione e devono essere utilizzati secondo l'ordine in cui sono generati. Se un processore di pagamento rileva operazioni multiple con lo stesso codice o se i codici sono utilizzati nell'ordine sbagliato, si disabilita la scheda. Così se un truffatore di carte contactless puo usare una solo volta il codice rubato e se la vittima utilizza di nuovo la scheda prima che il ladro abbia tempo di effetturare un pagamento fraudolento, tutte le transazioni sulla carta vengono bloccate.
"La verità è che i consumatori dovrebbero abbracciare questa nuova tecnologia perchè li renderebbe più sicuri".
dice Vanderhoof. "Gli sforzi per cercare di screditare l'uso della tecnologia dei chip nelle carte è solo per rendere gli utenti della tecnologia già esistente più vulnerabili."
Paget dice che il cambio di CVV ogni volta significa solo che il truffatore avrebbe bisogno di rubare a più vitttime piuttosto che defraudare una singola vittima più volte. Il truffatore potrebbe stare in una stazione affollata, per esempio, leggendo i numeri di carta di molti passanti e inviandoli ad un complice che effettua il resto del sistema di frode in tempo reale. "Invece di una persona che vede molte transazioni fraudelnte sul proprio conto, si avrebbero una cinquantina di persone che vedono una sola transazione sulla propria carta e forse non ne accorgerebbero neanche".
"L'industria delle carte di credito dice che questo non è possibile, ma le informazioni che ti stanno dando non sono complete. Ho bisogno di dimostrare sul palco e provare che quello che dico è vero, così che loro debbano accettare la realtà dei problemi ."
Ora come si risolvono i problemi? Forse la soluzione più semplice, Paget consiglia, è quella di friggere il chip RFID della tua carta di credito nel forno a microonde. Questa, però, è una cosa più complessa di quanto possa sembrare. "Tre secondi nel forno a microonde si distrugge il chip, cinque secondi e si brucia "
L'azienda di Paget ha lavorato ad una solizione più sofisticata: una carta di credito a forma di dispositivo di protezione conosciuto come GuardBunny, si infila nel portafogli insieme alle altre carte e cosi blocca qualsiasi potenziale truffatore RFID. Paget dice che il dispositivo, che rimane un prototipo e non ha ancora una tabella di marcia per la vendita, blocca i segnali RFID in maniera molto più efficace di quanto fanno le schermature dei portafogli oggi in commercio. Si trovano disponibili in commercio carte o passaporti che bloccano il segnale RFID semplicemente con uno scudo di alluminio o acciaio . Guardbunny al contrario, riflette il segnale RFID del lettore tramite i suoi chip e oscura il segnale radio in maniera efficace.
Ciò significa che anche i più potenti lettori RFID, probabilmente, non riescono a raccogliere i segnali delle carte nelle vicinanze.
Meglio ancora, quando Guardbunny rileva il segnale di un elttore RFID, emette un suono acuto e un bagliore dagli occhi dell'icona a forma di coniglio, per avvertire di eventuali borseggiatori contactless nelle vicinanze.
Paget ammette che alcuni lettori più potenti potrebbero aggirare la protezione del Guardbunny. " Si può sconfiggere questa cosa. Ma si tratta di costruire il propio lettore personale" dice. "Questo è molto meglio contro i cattivi ragazzi, che spendere 50 dollari su eBay."