Tutti parlano di HTTPS e di quanto sia importante fare attenzione quando si usa la carta di credito o il bancomat online: ma cosa vi fa credere che le vostre tessere siano sicure nel mondo offline? Parlo per esperienza personale, ma sono sicuro che sarà capitato a tutti di entrare in un supermercato, in un ristorante o in una stazione di servizio e di consegnare al dipendente, mai visto prima, la carta di credito da strisciare nel POS.
Dopo essermi laureato, ho lavoro un po’ come barista, prima di entrare a far parte del mondo della sicurezza informatica. Devo ammettere che all’epoca non conoscevo molto il settore IT; non sapevo cosa fosse un virus, né come agisse o perché qualcuno decidesse di inventarne uno. Tuttavia sapevo che un vecchio POS non poteva che creare problemi. Ancora oggi non sono sicuro al 100% di quello che accadde dopo aver strisciato la carta di credito nel POS. Quello che so è che ci fu un guasto e che iniziai ad avere seri dubbi su tutto il sistema (su quello che ora so che si chiama protocollo end-to-end).
Dopo vari tentativi, chiamammo Sam: 16 anni, studente liceale e hacker con l’hobby dell’informatica, lunghi capelli biondi, di moda all’epoca. Sam arrivò e risolse il problema. Solo lui e il suo amichetto Jesse, che lavorava in una paninoteca fino a quando non fu licenziato per aver rubato una bottiglia di liquore, sapevano risolvere il problema.
Con questo non voglio suggerirvi che si trattava di due delinquenti, né che il ristorante fosse decrepito. In realtà si trattava di un ristorante del tutto rispettabile e se la memoria non mi inganna, Sam si laureò in informato e Jesse è diventata una brava persona. Sebbene questo non sia la normalità, vi ho raccontato tutto questo per mostrarvi che è difficile sapere quello che succede dietro un bancone.
Come possiamo quindi proteggere la nostra carta di credito? C’è chi dice, scherzando, che dovremmo usare un portafoglio di piombo; altri affermano che dovremmo metterlo in una tasca inespugnabile, a prova di borseggiatore. Io credo che in realtà basta abbottonare bene la tasca posteriore dei pantaloni. Il ladro deve essere molto abile per poter riuscire a sfilare un portafoglio da una tasca abbottonata senza che io me ne accorga.
Ma borseggiatori a parte, è bene esaminare con attenzione la persona a cui consegni la carta di credito. Una volta mi è capitato di farmi tagliare i capelli a Boston, Massachusetts. Quando ho chiesto alla bella commessa se accettasse carte di credito, mi disse di no, ma che avrei potuto dare il numero del bancomat per telefono, a sua sorella (che possedeva un negozio in fondo alla strada) e pagare a lei. Ovviamente, ho gentilmente declinato l’offerta.
Torno a sottolineare che questi casi sono più unici che rari, ma il punto il seguente: in quei negozi che propongono soluzioni di questo tipo o che possiedono macchinette vecchie o in cattive condizioni, è decisamente meglio pagare in contanti.
E ora veniamo agli sportelli bancari. Se vi piacciono le storie dell’orrore, basta leggere il sito di Brian Krebs, giornalista specializzato in sicurezza IT eskimming. Fortunatamente l’intenzione di Krebs non è spaventare gli utenti, il suo sito è una preziosa risorsa, ricca di foto di skimmer e informazioni sul modo in cui questi ladri lavorano.
Uno skimmer ATM è un dispositivo che viene applicato negli sportelli bancari (in inglese ATM – Automated Teller Machine) e utilizzato per memorizzare i contenuti delle bande magnetiche delle carte di credito; uno skimmer è capace di rubare i dati non appena l’utente inserisca la carta nello sportello. Lo stesso dispositivo può essere applicato a un terminale POS e agli sportelli automatici delle stazioni di servizio self-service. Gli skimmer sono l’equivalente degli attacchi man-in-the-middle nel mondo online. Per maggiori informazioni vi consigliamo di vistare il sito di Krebs.
A questo punto se il ragazzo che ha hackerato il terminale POS o ha installato lo skimmer nello sportello bancario ha fatto un buon lavoro, ti accorgerai di esser stato vittima di una frode solo quando riceverai la notifica di violazione via posta (o posta elettronica). Tuttavia i ladri sono esseri umani e possono lasciare tracce. Prima di inserire la tessera, dai quindi un’occhiata al terminale e allo sportello bancario. La maggior parte degli skimmer sono invisibili a meno che non smonti lo sportello, ma io cerco di osservarli lo stesso. Muovo la tastiera per vedere se è ben fissata. Tocco lo schermo e do un’occhiata in giro per essere sicuro che nulla sia fuori posto. Osservate anche le telecamere: dovrebbero puntare sul viso dell’utente e non sulla tastiera. Io non prelievo mai da quei sportelli che si trovano sulla strada e cerco di evitare quelli che si trovano in zone buie, ovvero in aree in cui nessuno ti può vedere. Gli sportelli attigui a un banca sono in genere la migliore opzione perché gli impiegati bancari sanno riconoscere uno skimmer. Secondo Krebs, i servizi segreti americani avrebbero detto che grazie agli skimmer, nel 2008, sono stati rubati circa 1 miliardo di dollari – e il numero sarà probabilmente aumentato.
I ladri che manomettono i POS sono ancora più scaltri. È importante assicurarsi che l’involucro esterno sia completamente intatto e inalterato; i dispositivi compromessi hanno maggiori probabilità di immagazzinare e trasmettere dati di pagamento. Bisogna controllare il dispositivo in tutte le sue parti. Un esperto di sicurezza mi ha raccontato la storia di un criminale che, travestitosi da dipendente, ha detto ai commessi di una catena di negozi che era venuto per riparare il sistema POS. Al posto di riparare il dispositivo, ha installato uno skimmer e se ne è andato. Difficile dire se la storia sia vera o no, ma è sicuramente verosimile.
Consegnare la carta di credito a uno sconosciuto e un po’ come pubblicare online le foto del tuo bancomat. Se possibile, scegli la modalità ‘credito’ al posto che ‘debito’ o ‘bancomat’ (in base al paese e al suo funzionamento). In questo modo, se ti imbatti in uno sportello automatico manomesso con uno skimmer, il ladro non avrà il tuo PIN (nel caso la carta non lo richieda).
Purtroppo, nella maggior parte dei casi, l’utente da solo può fare ben poco per evitare queste frodi. Quello che si può fare è controllare spesso l’estratto conto della carta di credito. Alcune banche ti permettono di stabilire un limite di prelievo da sportello; in questo modo se qualcuno trucca lo sportello potrà prelevare una quantità limitata di denaro. Inoltre, è una buona idea usare diverse carte di credito o di debito da diverse banche. Preferisci che il ladro cloni la tua Mastercard senza limiti o una carta di credito con un limite di 1000 euro? Ovviamente questo si applica anche ai bancomat.
Lasciateci i vostri commenti o scriveteci su Facebook o Twitter.