Di recente, gli Stati Uniti sono passati dall’utilizzare carte di credito e di debito con bande magnetiche insicure, a carte con Chip e PIN piu’sicure, che sono regolate dallo standard EMV. Questo è un grande passo in avanti per la sicurezza delle transazioni e la riduzione delle frodi concarte, e si potrebbe pensare che sia vicina la fine per le frodi che avvengono con le carte clonate
Tuttavia, i nostri ricercatori hanno recentemente scoperto che un gruppo di cyber-truffatori brasiliani ha sviluppato un modo per rubare i dati delle carte e clonare con successo carte con Chip e PIN. I nostri esperti hanno presentato la loro ricerca al Security Analyst Summit 2018, e qui in un breve post, cercheremo di spiegare questa ricerca complessa.
Fare Jackpot ai terminali ATM, e oltre
Durante la ricerca del malware che permette di fare jackpot agli sportelli ATM (Automated Teller Machine– ‘Macchina Distributrice Automatica’ aka Bancomat ) utilizzato da un gruppo brasiliano chiamato Prilex, i nostri ricercatori hanno scoperto una versione modificata di questo malware con alcune funzionalità aggiuntive che sono state utilizzate per infettare i point-of-service POS (punto di servizio/vendita)- e raccogliere i dati delle carte.
Questo malware era in grado di modificare il software POS per consentire a una terza parte di acquisire i dati trasmessi da un POS a una banca. Ecco come i truffatori ottenevano i dati della carta. In pratica, quando pagate in un negozio locale il cui terminale POS è infetto, i dati della vostra carta vengono trasferiti immediatamente ai criminali.
Tuttavia, avere i dati delle carte è solo metà della battaglia; per rubare denaro, essi dovevano anche essere in grado di clonare le carte, un processo reso più complicato dai chip e dalle loro molteplici autenticazioni.
Il gruppo Prilex ha sviluppato un’intera infrastruttura che consente ai suoi “clienti” di creare carte clonate, il che in teoria non dovrebbe essere possibile.
Per capire come sia stato possibile, dovreste prima voler dare un’occhiata a come funzionano le carte EMV. Per quanto riguarda la clonazione, cercheremo di mantenerla il più semplice possibile.
Come funziona lo standard Chip e PIN
Il chip sulla carta non è solo una memoria flash, ma anche un piccolo computer in grado di eseguire applicazioni. Quando il chip viene introdotto in un terminale POS, inizia una sequenza di passaggi.
Il primo passaggio è chiamato inizializzazione: il terminale riceve informazioni di base come il nome del titolare della carta, la data di scadenza della carta e l’elenco delle applicazioni che la carta è in grado di eseguire.
Il secondo è un passaggio facoltativo chiamato autenticazione dei dati. Qui, il terminale controlla se la carta sia autentica, un processo che implica la convalida della carta usando algoritmi crittografici. È più complicato di quanto si sembri qui.
Il terzo è un altro passaggio facoltativo chiamato verifica del titolare della carta; il titolare della carta deve fornire il codice PIN o una firma (a seconda di come la carta sia stata programmata). Questo passaggio viene utilizzato per garantire che la persona che cerchi di pagare con una carta sia effettivamente la stessa persona per la quale sia stata emessa la carta.
Quarto, avviene la transazione . Si noti che solo i passaggi 1 e 4 sono obbligatori. In altre parole, l’autenticazione e la verifica possono essere saltate – ed è qui che arrivano i brasiliani.
Fare Carding (scambiare illecitamente dati di carte di credito) illimitatamente
Quindi, abbiamo una carta in grado di eseguire applicazioni, e durante la sua prima stretta di mano, il POS chiede alla carta informazioni sulle app disponibili. Il numero e la complessità dei passaggi necessari per la transazione dipendono dalle applicazioni disponibili.
I clonatori di carte hanno creato un’applicazione Java per l’esecuzione delle carte. L’applicazione ha due capacità: in primo luogo, indica al terminale POS che non è necessario eseguire l’autenticazione dei dati. Ciò significa nessuna operazione di crittografia, risparmiando loro il compito pressoché impossibile di ottenere le chiavi crittografiche preventive della carta.
Ma questo lascia comunque l’autenticazione attraverso il PIN. Tuttavia, c’è un’ opzione nello standard EMV da scegliere come entità che controlla se il PIN è corretto … la vostra carta. O, più precisamente, un’app che funziona sulla vostra carta.
Avete letto bene: l’app dei cyber criminali può dire che un PIN è valido, indipendentemente dal codice PIN inserito. Ciò significa che il criminale che brandisce la carta può semplicemente inserire quattro cifre casuali – e saranno sempre accettate.
Frode della carta come servizio
L’infrastruttura Prilex ha creato, incluso l’applet (applicazione) Java descritta sopra, un’applicazione client chiamata “Daphne” per scrivere le informazioni sulle smart card (dispositivi di lettura / scrittura di smart card e smart card vuote sono economiche e completamente legali da acquistare). Viene utilizzata la stessa app per verificare la quantità di denaro che può essere prelevata dalla carta.
L’infrastruttura include anche il database con i numeri delle carte e altri dati. Non importa se la carta sia di debito o di credito; “Daphne” può creare cloni di entrambi. I truffatori vendono tutto come un pacchetto, per lo più ad altri criminali in Brasile, che poi creano e usano le carte clonate.
Conclusione
Secondo Aite’s 2016 Global Consumer Card Fraud report (la relazione globale sulle frodi di carte di consumatori di Aite nel 2016), è lecito ritenere che tutti gli utenti siano stati compromessi. Non importa se usate una carta con una striscia magnetica o una più sicura scheda Chip e PIN – se avete una carta, le vostre informazioni sono probabilmente state rubate.
Adesso che i criminali hanno sviluppato un metodo per clonare effettivamente le carte, questo inizia a sembrare una minaccia finanziaria molto seria. Se volete evitare di perdere ingenti somme di denaro attraverso la frode delle carte, vi consigliamo di fare quanto segue:
– Tenete d’occhio lo storico delle transazioni della vostra carta, utilizzando le notifiche push o SMS per dispositivi mobili. Se notate spese sospette, chiamate al più presto possibile la banca e bloccate la carta immediatamente.
– Usate AndroidPay o ApplePay se possibile; questi metodi non rivelano i dati della carta al POS. Ecco perché possono essere considerati più sicuri rispetto all’inserimento della carta in un POS.
– Usate una carta separata per i pagamenti su Internet, perché è ancora più probabile che questa carta sia compromessa rispetto a quella che usate nei negozi fisici. Non tenete grandi somme di denaro su quella carta.