In uno dei nostri ultimi post “Giocare con le carte… di credito: i ladri dei Bancomat” abbiamo osservato insieme a voi quanto sia facile per un criminare clonare la nostra carta di credito e rubarci soldi. La ragione principale per cui ancora oggi succedono queste cose è per via del rudimentale sistema di sicurezza delle carte di credito che è ancora quello degli anni settanta. La data sulle carte di credito è scritta in “testo visibile” e il PIN è molto corto e perció sensibile al furto, e queste sono le misure di sicurezza che proteggono il nostro conto in banca.
Ovviamente le banche, che di fatto perdono un sacco di soldi per via di questo genere di truffe e clonazioni, cercano di fare del loro meglio per introdurre e offrire ai clienti le più avanzate tecnologie di sicurezza.
Fino ad ora, il progetto che ha avuto più successo è quello delle carte di credito con chip. In seguito alla grande proliferazione in Europa e in Canada, il numero dei casi di clonazione in queste aree è diminuito drasticamente. I ladri che usano i dispositivi skimmer hanno deciso di emigrare negli Stati Uniti ed in Asia alla ricerca di un po’ di fortuna dato che in queste zone le carte con chip non sono ancora così diffuse.
Va comunque detto che il chip è un passo in avanti in termini di protezione delle carte di credito, ma non ci può proteggere da tutte le minacce, dato che le tecniche di skimming evolvono continuamente. Forse in futuro useremo altri tipi di carte di credito.
Come potrebbero essere? Diamoci un’occhiata!
Password e codici
La prima idea, e forse la più ovvia, è aggiungere alcuni livelli di sicurezza, come il doppio fattore di autenticazione ampiamente utilizzato su Internet.
Per quanto riguarda Internet, la misura funziona. Quando acquistate qualcosa online, oltre al security code o CVV2 che si trova nel rovescio della carta di credito, il proprietario della carta di credito poi inserirà un codice usa e getta generato automaticamente e inviatogli via SMS al cellulare o stampato su di una tesserina che il cliente riceverà a casa oppure generato grazie ad un piccolo hardware token che gli ha dato la banca. Il secondo fattore di autenticazione potrebbe essere usato persino per le transazioni off-line quando vengono coinvolte grandi somme di denaro.
Le carte di credito con display utilizzano un metodo di autenticazione simile. Queste carte di credito includono un mini-computer, piccolo schermo LCD e una tastiera digitale. Oltre alle password usa e getta, sarà capace di mostrare il saldo, la lista movimenti e così via.
Card with keypad adds additional layer of #security http://t.co/5G9O5L1DvH READ how #MasterCard adopted tech http://t.co/CzCD2X8ZYV
— Mastercard News (@MastercardNews) March 17, 2014
Nonostante le carte di credito interattive sono disponibili da circa 5 anni, solo poche banche europee e statunitensi, ed alcune asiatiche, la offrono ai loro clienti.
Le carte di credito on demand
Dynamic, una compagnia americana, offre persino una soluzione ancora più esotica. La carta di credito non avrà una banda magnetica fissa, nel senso letterale del termine. Verrà generata dinamicamente da un hardware integrato, on demand, e l’utente, prima di tutto, dovrà inserire la password mediante una tastiera integrata.
Nick Brazzi from @Lynda calls our security-focused interactive payment card his favorite tech at #CES2015. http://t.co/WrNdM9IbDf
— Dynamics Inc (@dynamicsinc) January 8, 2015
Se il cliente sbaglia la password, la banda magnetica non verrà generata e di conseguenza la stransazione non verrà eseguita. Inoltre, questo genere di carte di credito non hanno un codice di cifre ordinario di 16 numeri: una parte della sequenza numerica non viene stampata sulla tessera, ma viene mostrata solo sul display una volta che il proprietario abbia inserito la password.
Mi presti il tuo dito?
La password dovrebbe essere una grande misura protettiva per la tua carta di credito, ma è inutile se la persona in questione non la tiene con la dovuta segretezza. Tutti noi abbiamo sentito parlare di persone che hanno scritto il PIN in un bigliettino nel portafoglio accanto al Bancomat e poi hanno perso il portafoglio.
L’autenticazione biometrica è una soluzione radicale a questo problema. Zwipe, un’azienda norvegese, insieme a Mastercard, sta lavorando ad un trial di una carta di credito con scanner dell’impronta digitale. L’unica cosa di cui avete bisogno è approvare la transazione collocando il vostro dito nell’apposito sensore… Così facendo il vostro dito si strasforma nel PIN!
La tecnologia quantica ci aiuta
Al di là delle ricerche, i computer quantici rimangono un sogno che deve ancora diventare realtà. Tuttavia, possiamo già anticipare che alcune delle funzionalità che si possono sviluppare grazie alla tecnologia quantica serviranno per creare indentificatori immuni allo spoofing.
I ricercatori olandesi dell’Università di Twente e la Eindhoven University of Technology stanno cercando di dar vita ad un sistema di sicurezza quantum-based per le carte di credito e gli ID personali. Nonostantete l’idea al momento esista solo a livello di laboratorio, il modello del sistema di sicurezza basato sulla tecnologia quantica è stato sviluppato sotto il nome di Quantum Secure Authentication (QSA).
Security researchers are using quantum physics for fraud-proof credit cards: Quantum-Secure Authentication me… http://t.co/JTuB8EUxOb
— The INQUIRER (@INQ) December 18, 2014
Una piccolissima parte della carta di credito viene coperta da un sottilissimo strato di ossido di zinco. Poi questa parte viene bombardata da protoni emessi via laser. Il processo altera le proprietà ottiche di uno strato della particella, realizzando una chiave unica.
Quindi se uno sottopone la carta di credito ad un segnale luminoso attraverso una sequenza di impusi laser (per esempio, “domanda”), questi ricevono un modello riflesso definito (per esempio, “risposta”). La combinazione di “domanda-risposta” viene immagazzinata nel data system della banca e viene utilizzata per autenticare una chiave.
Se un criminale cerca di manomettere la combinazione domanda e risposta durante la transazione, non ci riuscirà. Ogni rivelatore fotoelettrico aggiuntivo impiantato nel sistema potrebbe distruggere lo stato quantico di almeno una parte dei protoni e corromperà l’intero processo hacker.
Un altro modo per hackerare questo sistema di sicurezza sarebbe la falsificazione della carta di credito. Per poter produrre una copia esatta della carta, bisognerebbe riprodurre la forma, la localizzazione e altri parametri delle nano-particelle, ma è quasi impossibile farlo per via della complessità del processo.
Gli sviluppatori del progetto QSA hanno affermato che, indipendentemente della difficoltà della progetto, questa tecnologia è realtivamente semplice ed economica e si fonda su metodi e tecnologie facili da reperire.
La fretta è cattiva consigliera
È abbastanza improbabile che le banche implementino presto questi nuovi sistemi di sicurezza. Il settore bancario è piuttosto conservatore e vanno con calma quando si tratta di introdurre novità.
Detto questo, noi siamo abbastanza sicuri che queste novità verranno introdotte prima in quei servizi “non bancari”, tra cui, per esempio, nuovi sistemi di pagamento come Apple Pay o Google Wallet, o servizi “misteriosi” ma promettenti come Coin, Wocket e Plastc (ve ne parleremo in un altro momento).
Infine, è fondamentale che tutti sforzi non siano vani o che le tecnologia poi non possano essere usate per via di imperfezioni nel processo, come spesso succede nello standard EMV delle carte di credito. A questo proposito il problema di sicurezza principale riguarda il fatto che se il terminale non sarà in grado di leggere i dati da un chip sicuro, si dovrà ritornare alla buon vecchia banda magnetica che non è stata eliminata proprio per questo. In tal caso gli sforzi saranno stati inutili.