Visa contactless hackerata
Pensi che il limite di 25€ per i pagamenti contactless ti proteggerà da grandi furti? Fai attenzione, anche una carta Visa contactless può essere hackerata.
Alcuni hackers hanno trovato un modo di aggirare quel limite sulle carte Visa. Il loro hack, potrebbe permettere ai criminali di svuotare i conti con un solo tocco e sostengono che non hanno nemmeno bisogno di rubare la carta di credito.
Da parte di Visa viene fatto poco per affrontare questa nuova minaccia di frode.
In genere, se una banca vede più pagamenti contactless da 25€, la carta smetterà di funzionare, poiché i sistemi di rilevamento delle frodi sospettano che sia nelle mani di un ladro. Ma se è possibile effettuare grandi transazioni in un solo colpo, aumenta il potenziale per frodi significative.
I ladri di carte ora possono effettuare pagamenti maggiori di quanto non potessero fare prima. Ma ora, non hanno nemmeno bisogno di rubare la carta.
Questi criminali potrebbero, ad esempio, ricevere un pagamento da una carta, quando l’utente non sta guardando, con il proprio dispositivo di pagamento mobile. E’ anche possibile fare una lettura di pagamento, da una carta di credito, utilizzando un telefono cellulare, inviare i dati a un altro telefono ed effettuare un pagamento da quel secondo dispositivo andando oltre il limite.
Visto che si tratta di pagamenti contactless, affinché l’hacking funzioni, tutti i truffatori devono essere vicini alla loro vittima.
Ciò significa che se hai trovato la carta di qualcuno o se qualcuno ha rubato la tua carta, non dovrebbero conoscere il tuo PIN, non dovrebbero impersonare la tua firma e potrebbero effettuare un pagamento per un valore molto elevato aggirando il limite della carta contactless .
Dovrebbero esserci delle limitazioni su quanto un hacker può rubare.
In realtà possiamo effettuare pagamenti di valore ragionevolmente elevato, oltre i 100€ senza alcun rilevamento
Il limite fissato sulle carte Visa contactless può essere infranto.
Visa non sta pianificando di aggiornare i propri sistemi per far fronte all’hacking. Il gigante del settore finanziario ha sostenuto che un simile hack non si sarebbe verificato nel mondo reale in quanto i criminali avrebbero dovuto mettere le mani sulla carta e questo non accade di frequente.
Una limitazione fondamentale di questo tipo di attacco è che richiede una carta rubata fisicamente che non è stata ancora segnalata all’emittente della carta stessa
ha detto un portavoce di Visa, rilevando che Visa lavora costantemente per migliorare la sua tecnologia di rilevamento delle frodi .
Allo stesso modo, la transazione deve superare le convalide dell’emittente e i protocolli di rilevazione. Non è un approccio di frode scalabile che in genere vediamo impiegare nel mondo reale.
Gli hackers non sono d’accordo sul fatto che il “truffatore” avrebbe dovuto rubare la carta.
E’ stato dimostrato che la Visa contactless può essere hackerata senza rubarla fisicamente, l’hacker deve solo avvicinarsi abbastanza alla carta della vittima per un breve periodo di tempo per ricevere un pagamento.
Il portavoce di Visa ha inoltre affermato che il tasso globale di frode contactless di Visa è diminuito del 33% tra il 2017 e il 2018 ed in Europa del 40%. E Visa non mai registrato un caso di frode contactless in cui la carta non era stata rubata.
Come funziona l’hack che infrange il limite della carta contactless ?
Per eseguire il loro hack, gli hackers hanno utilizzato un hardware specializzato per intercettare ed inserire messaggi nelle comunicazioni tra la scheda ed il lettore. Ad esempio, potevano dire alla carta che la verifica, come un PIN, non era necessaria, anche se l’importo richiesto era superiore a 25€. Hanno quindi detto al terminale che la verifica è già stata effettuata.
Gli hackers hanno affermato che questi controlli non sono stati resi obbligatori da Visa, come lo erano stati dai suoi concorrenti. Visa afferma comunque che gli emittenti di carte sono in definitiva responsabili della convalida delle transazioni.
- Per l’attacco con due cellulari, è possibile utilizzare uno smartphone per “toccare” una carta e clonarla efficacemente per un breve periodo.
- Quel primo cellulare prende quello che è noto come un “crittogramma di pagamento” dalla carta. Questa è essenzialmente una firma che dovrebbe garantire l’autenticità dei pagamenti futuri.
- Il crittogramma viene inviato al secondo telefono, che simula la carta come se stesse effettuando un pagamento mobile.
- Gli hacker possono quindi andare oltre il limite ripetendo lo stesso attacco di prima.
Potrebbe non esserci una “soluzione rapida” per questo attacco, anche se i fornitori di servizi di pagamento richiedono l’autenticazione per pagamenti superiori a 25 €, se la carta ed il lettore sono sensibili ad un attacco “man-in-the-middle” il sistema crederà che l’autenticazione è già avvenuta.
Il limite della carta contactless diventa inutile se l’emittente crede di aver ricevuto l’autorizzazione
Per quanto riguarda ciò che i titolari di carta possono fare per proteggersi, è fondamentale mantenere le carte fisicamente sicure. Per chiunque sia preoccupato della “lettura” della carta attraverso il portafoglio, ci sono cover (per carta di credito) che possono impedire questa funzione. Un’altra soluzione economica è quella di utilizzare una cover del telefono con la stessa protezione. E il monitoraggio delle transazioni potrebbe aiutare i consumatori a rilevare transazioni fraudolente prima delle banche.
Anche il miglioramento della sicurezza bancaria e nuove normative dovrebbero migliorare col tempo. Nel caso in cui i pagamenti contactless diventino comuni, è molto probabile che i fornitori di servizi di pagamento imparino rapidamente a riconoscerli e bloccarli.
Anche le nuove norme UE in arrivo potrebbero rivelarsi un vantaggio. A partire da settembre 2019, le banche dovranno assicurarsi che sia richiesto un PIN quando i pagamenti totali contactless superano il valore di 100 € o quando sono state effettuate cinque transazioni contactless in un giorno.