Giocare con le carte… di credito: i ladri dei Bancomat (Seconda parte)

Nella prima parte abbiamo parlato delle tecniche utilizzate dai ladri di carte di credito. Oggi descriveremo come i cybercriminali eseguono i loro metodi più rischiosi.

Nel primo articolo di questa mini-guida abbiamo parlato delle tecniche utilizzate dai ladri di carte di credito. Oggi racconteremo un altro aspetto del problema, ovvero descriveremo come i cybercriminali eseguono i loro “trucchi” più rischiosi.

Le tecniche di skimming

Per portare a termine una truffa di questo tipo, non viene richiesto un alto livello di specializzazione. Tuttavia, alcune operazioni (tra cui l’installazione dell’hardware) sono piuttosto rischiose. Per questo a volte alcune vengono delegate a specialisti “esterni”.
Un professionista qualificato impiega circa 30 secondi per installare l’attrezzatura che consente di effettuare un attacco di skimming, che si porta a termine solamente eseguendo delle operazioni preparatorie come raccogliere informazioni, fare sopralluoghi e analizzare la posizione delle videocamere di sorveglianza, oltre a identificare le ore più tranquille per agire. Tutto questo viene accompagnato dall’aiuto di un “assistente” che si posiziona in prossimità del luogo di interesse.

Ladro all’opera mentre monta uno skimmer. Foto: wtsp.com

Un cybercriminale specializzato è difficile che venga colto con le mani nel sacco. Un uomo pacato e ben vestito potrebbe affermare di aver notato qualcosa di strano al bancomat e di voler avere una conferma dei propri sospetti prima di chiamare la polizia. In casi come questi è difficile provare la truffa, soprattutto se il cybercriminale ha avuto il tempo di sbarazzarsi della colla e dei dispositivi installati. Per questo motivo le banche consigliano agli utenti di non toccare nulla di sospetto e di chiamare immediatamente la polizia.
Oltre ai bancomat, i truffatori sono interessati a tutti quei terminali che accettano carte di credito. Parliamo, ad esempio, dei dispositivi presenti nelle stazioni di servizio, delle macchinette che vendono biglietti di trasporto e dei distributori automatici in generale. La gente è meno diffidente nei confronti di questi dispositivi (molto di più quando si parla di bancomat) e quindi agisce con minore attenzione.

La raccolta

Dopo aver installato l’hardware, i cybercriminali si mettono subito all’opera per la seconda fase, la cosiddetta “raccolta”. Devono essere abbastanza veloci per clonare il maggior numero di carte di credito prima che venga scoperta la truffa: quando la banca si accorge di essere vittima di una campagna di skimming, è più probabile che le carte colpite vengano bloccate. Per osservare da vicino l’andamento della situazione, un complice rimane appostato in macchina o in un bar vicino allo sportello bancomat.

Se nessuno nota nulla di strano, la truffa può proseguire fino a quando non si esaurisce completamente la batteria dell’apparecchiatura utilizzata per lo skimming e nel frattempo si possono rubare migliaia di credenziali.

Se nessuno nota nulla di strano, la truffa può proseguire fino a quando non si esaurisce completamente la batteria dell’apparecchiatura utilizzata per lo skimming e nel frattempo è possibile rubare migliaia di credenziali.

I cybercriminali più avidi disinstallano l’apparecchiatura e i più intelligenti la lasciano lì per non correre il rischio di essere acciuffati. In ogni caso, una truffa del genere può portare a guadagnare migliaia di dollari e il costo delle apparcchiature viene ampiamente coperto.
Ritirare il denaro dalle carte clonate è una parte molto rischiosa del lavoro del cybercriminale, per questo spesso si tratta di un’operazione affidata ad esterni (molte persone in realtà), i cosiddetti “muli”.

A volte i muli consegnano solo il denaro ai cybercriminali, prendendo una percentuale del ricavato. In altri casi, invece, i muli acquistano pacchetti di bande magnetiche delle carte rubate e agiscono in autonomia, spesso in altre parti del mondo.

La precisione è tutto

Il motivo per cui è così facile rubare del denaro dalle carte di credito risiede nel fatto che le tecnologie di sicurezza impiegate sono ormai datate. Le prime bande magnetiche delle carte di credito sono nate un paio di generazioni fa, a metà del secolo scorso, quando non si sapeva ancora come rubare o clonare le credenziali bancarie e le carte.

I dati registrati nella banda magnetica sono protetti soltanto da un vulnerabile codice PIN che serve per giustificare le transazioni. Nel frattempo sono state implementati altri sistemi di sicurezza ma rimangono ancora opzionali.

Non serve aggiungere che i sistemi di pagamento e le banche stesse stanno creando da anni varie soluzioni a questo problema. Le carte EMV più sicure, dotate di una banda magnetica e di un chip, sono in uso da vent’anni ormai.

Un chip non può essere clonato come una banda magnetica. Il bancomat richiede il chip della carta per creare un codice usa e getta che può essere rubato ma comunque non sarà possibile effettuare transazioni.

I ricercatori che si occupano di sicurezza IT hanno riscontrato numerose vulnerabilità nelle carte EMV ma sono più difficili da sfruttare. Questi cambiamenti potrebbero mettere in crisi i cybercriminali; tuttavia,il processo di migrazione alle carte EMV è lungo, complesso, caro e coinvolge un gran numero di attori.


Questo cambiamento interesserebbe tantissimi aspetti: sistemi di pagamento, banche acquirer, produttori di terminali POS o bancomat e tanto altro. Per questo motivo molti paesi, compresi i mercati già ben sviluppati, preferiscono continuare a usare carte di credito non EMV “vecchio stampo”.

In ogni caso, si può rubare denaro anche da una carta EMV. Proprio per consentire la compatibilità con i vecchi terminali e garantire una certa flessibilità, si può comunque portare a termine una transazione senza l’uso del chip grazie alla banda magnetica.

Da quanto indica lo European ATM Security Team, negli Stati Uniti dove è stato avviato un programma di diffusione su scala nazionale del sistema EMV, l’attività di skimming dei cybercriminali è anche più intensa. I paesi in cui si incorre maggiormente in pericolo di truffa sono Indonesia e Tailandia per l’Asia, Bulgaria e Romania per l’Europa.

La banca potrebbe concedere il rimborso del denaro rubato dai cybercriminali mediante lo skimming, soprattutto se la responsabilità cade su attori esterni, come il proprietario del bancomat o una compagnia di assicurazioni. In ogni caso, la maggior parte delle volte a risponderne sono soprattutto i proprietari delle carte di credito.

Come sempre, quando abbiamo un problema, dobbiamo sbrigarcela da soli.

Regole per la sopravvivenza

Non ci sono regole che ci proteggano al 100% dagli attacchi di skimming; tuttavia, seguendo alcuni consigli, possiamo ridurre i rischi:

1. Se la nostra carta di credito non è dotata del chip EMV, sarebbe meglio non usarla. Di solito, su richiesta le banche sostituiscono la vecchia carta di credito con una più moderna. Il chip non garantisce totale sicurezza, ma aiuta molto;
2. Abilitiamo le notifiche via SMS per le nostre transazioni. Prima veniamo a sapere di un furto sulla nostra carta, maggiori probabilità abbiamo di avere indietro il denaro;
3. Se non viaggiamo tanto per il mondo, un’idea potrebbe essere limitare l’area d’uso della carta (se poi andiamo all’estero, possiamo attivare l’operatività della nostra carta per il paese in cui ci stiamo dirigendo). Si tratta di una misura di sicurezza che ha efficacia provata in molti paesi europei;
4. Meglio non usare le carte dove abbiamo depositato molto denaro. Meno le usiamo (soprattutto all’estero), meno pericoli corriamo. Per operazioni “rischiose” potremmo optare per un’altra carta dove abbiamo trasferito una quantità minima di denaro;


5. Se dobbiamo ritirare denaro da un bancomat, scegliamo i terminali ubicati in luoghi sicuri e ben illuminati, ad esempio gli sportelli che si trovano all’interno dell’istituto bancario. Evitiamo, invece, quegli sportelli isolati o confinati agli angoli dei centri commerciali;
6. Quando digitiamo il codice PIN, cerchiamo di stare attaccati il più possibile al terminale e copriamo il tastierino con la mano. È probabile, infatti, che i cybercriminali ci stiano vigilando dall’alto con una telecamera per scoprire il PIN. Non dimentichiamo di cambiare regolarmente il codice PIN (presso un bancomat di cui siamo sicuri o direttamente con l’aiuto di un impiegato in succursale), soprattutto dopo aver effettuato transazioni che comportano un certo rischio;
7. Stiamo sempre all’erta cercando movimenti strani vicino allo sportello bancomat. Non tutti i ladri sono dei professionisti o non è detto che utilizzino le attrezzature adatte. E ricordiamoci di non passare mai la carta in quel sistema per “pulire” la banda magnetica che spesso si trova vicino agli sportelli (sembra strano ma in molti ci cascano);
8. Contiamo sempre le banconote che ci consegna il terminale. Ci sono alcune “trappole” che trattengono le banconote. Se il bancomat non ci restituisce la carta, potrebbe essere una fase dell’attacco di skimming; in questo caso, dobbiamo chiamare immediatamente la banca e non allontanarci dal terminale. Truffe di questo genere accadono spesso in quei paesi europei che hanno adottato il chip EMV, in quanto i cybercriminali hanno bisogno di avere il chip per rubare il denaro;
9. Vigiliamo sempre la nostra carta di credito quando dobbiamo effettuare dei pagamenti al ristorante o in un negozio. Ci sono degli scanner di piccoli dimensioni che si usano per clonare le carte di credito e il codice PIN è facile da bypassare;


10. Non mostriamo la nostra carta di credito a sconosciuti, né tantomeno inviamo o postiamo fotografie della tessera, anche se solo di una delle due facce della carta. Molti siti Internet consentono di effettuare transazioni anche senza inserire il codice CVV2 che si trova sul retro della carta e, ovviamente, non adottano il sistema di autenticazione a doppio fattore (grazie il quale viene inviato per SMS un codice usa e getta).

Per il resto, rimaniamo sempre vigili. La carta di credito è davvero molto utile ma a volte questa comodità ci si può ritorcere contro. E il consiglio di sempre: meglio apparire ridicoli e paranoici che essere truffati e rimanere al verde.

Consigli