I nuovi Pos sono un problema per i dati delle carte: i rischi dei dispositivi troppo smart
Appoggi la carta, la lucina diventa verde e sul display compare "transazione eseguita correttamente". Con il Pos si paga ormai ogni cosa, è comodo, veloce, riduce l'impatto ambientale ed è trasparente (riduce infatti il fenomeno dell'evasione fiscale). C'è solo un problema: i nuovi Smart Post potrebbero sottrarre le informazioni di carte di credito e Bancomat. Jacopo Jannone, ingegnere informatico, ha rilevato le vulnerabilità dei POS basati su sistema operativo Android. “I vecchi dispositivi con tastierino e display a cristalli liquidi hanno funzionalità limitate e una struttura molto semplice. Le nuove generazioni di POS sono invece dei dispositivi molto simili a un qualsiasi smartphone", ha spiegato Jannone a Wired.
"Questo significa che hanno un sistema operativo Android e, in particolare, permettono livelli di interazione molto più complessi, per esempio il collegamento tramite usb. Sono proprio queste caratteristiche che aumentano a dismisura la superficie di attacco di un eventuale cyber criminale”. Sarà quindi molto più semplice intercettare e trasmettere le informazioni delle carte durante le transazioni.
Dallo skimming ai nuovi Smart Post
Finora il principale problema per le carte di credito, debito, o bancomat è stato lo skimming. La truffa è "analogica" e funziona in modo molto semplice. L'obiettivo è clonare i dati della carta di credito e salvare il Pin che l’utente usa per sbloccarla. Vengono infatti applicati sui lettori apparecchi mimetizzati, si chiamano skimmer (da qui il nome della truffa).
I dispositivi possono essere miniaturizzati e nascosti in due modi. Il finto lettore spesso viene applicato dove inseriamo la carta di debito o credito, la camera per registrare il Pin invece viene installata sotto un finto pannello di protezione. In alternativa vengono usate anche finte tastiere posizionate sopra quelle vere, in grado di registrare il codice.
Come funziona la nuova truffa per rubare i dati delle carte
Per rubare i dati con nuovi POS, verrà invece messa in atto una truffa più simile a un attacco hacker. I dispositivi potranno infatti essere modificati in modo tale da memorizzare i dati della carta e inviare le informazioni ai criminali. "La maggior parte delle informazioni che identificano carte di credito e Bancomat, come il numero di serie e la data di scadenza, sono visibili sulla carta stessa", ha spiegato Jannone.
I dati quindi "potrebbero essere sottratti senza troppi problemi anche con strumenti ‘analogici’, per esempio una semplice fotografia. Le cose cambiano per quanto riguarda il PIN. La catena di vulnerabilità che ho individuato permette infatti di registrarlo nel momento in cui viene digitato”. Per portare a termine l'attacco però è necessario l'accesso fisico al terminale, quindi sarò impossibile compromettere da remoto le carte.
Gli scenari di attacco previsti da Jannone sono due: la compromissione interna, l'operatore stesso potrebbe modificare il dispositivo, e un attacco alla supply chain, quindi la manomissione dei dispositivi durante la distribuzione. “Nel Proof of Concept che ho realizzato il collegamento per sottrarre i dati richiede un collegamento alla stessa rete wi-fi del dispositivo” specifica Jannone. “Non è escluso, però, che sia possibile mettere a punto varianti dell’attacco che consentano una trasmissione via web”.
