mayday-–-carta-di-credito-clonata-su-uno-smartphone-fa-5-pieni-di-benzina-in-marocco:-come-e-stato-possibile?

Mayday – Carta di credito clonata su uno smartphone fa 5 pieni di benzina in Marocco: come è stato possibile?

di  – 07/04/2023 16:370

Mayday - Carta di credito clonata su uno smartphone fa 5 pieni di benzina in Marocco: come è stato possibile?

Una segnalazione arrivata in redazione racconta di una truffa subita da un nostro lettore sulla carta di credito. La particolarità è che i pagamenti truffaldini sono stati effettuati in modalità contactless da un telefono sconosciuto e che la banca nega ogni rimborso.

Questa è la storia di una truffa perpetrata attraverso una carta di credito, con addebiti di pagamenti mai effettuati, per lo meno dal lettore che ci ha raccontato la sua storia. Ecco le sue parole:

Cara redazione di DDAY.it,

Vi scrivo nell’ambito del servizio MayDay e vorrei sottoporvi il caso di una truffa che ho subito con la mia carta di credito VISA emessa da Deutsche Bank. Circa a metà gennaio, senza alcuna avvisaglia, ho ricevuto la notifica via SMS di cinque pagamenti uno dietro l’altro fatti con la mia carta di credito, che nel frattempo era ben custodita nel mio portafoglio, per un totale di poco superiore a 400 euro.

Ovviamente non si tratta di pagamenti che ho effettuato e, sospettando immediatamente di una truffa, ho bloccato la carta e ho fatto richiesta di rimborso alla banca, disconoscendo le transazioni. Purtroppo la banca mi ha risposto che i pagamenti risultavano regolari e non contestabili, dato che secondo loro sono stati autorizzati attraverso un device. Ma io non ho neppure caricato la carta sul borsellino del mio iPhone, quindi onestamente non capisco di cosa stiano parlando. Inoltre, come mi hanno anticipato (e poi ho avuto conferma anche dall’estratto conto), i pagamenti sembrano essere stati effettuati a Casablanca, in Marocco, dove non mi sono recato affatto (ero a casa mia in Italia). Si tratta quindi evidentemente di soldi sottrattimi dalla mia carta di credito senza alcun assenso da parte mia e mi irrita che l’istituto bancario non riconosca il rimborso. Per questo motivo – e non certo per la cifra modesta – ho deciso di far ricorso presso l’Arbitro Bancario e spero che mi venga data ragione. A voi invece chiedo aiuto per cercare di capire come sia stato possibile mettere in opera questa truffa e se il mio caso è isolato o se può essere di aiuto e indicazione per tutte le altre persone che dovessero trovarsi nella medesima situazione e che potrebbero essere esposti, senza saperlo, ai medesimi rischi. (Lettera firmata)

Il nostro lettore, insieme alla sua mail, ci ha inviato anche tutta la documentazione prodotta all’Arbitro Bancario, documentazione che ci è stata molto utile per inquadrare il problema e iniziare una serie di vere e proprie investigazioni per capire cosa sia accaduto. Infatti, il sistema bancario e gli schemi delle carte di credito comunicano come assolutamente sicuro, inviolato e inviolabile, il sistema di pagamento contactless o comunque con chip; e addirittura ancor più sicuro il pagamento attraverso smartphone (con Apple Pay o Google Pay) che adotta anche uno strato di sicurezza aggiuntivo costituito dalla generazione, a ogni transazione, di una carta di credito “fantoccio” che di fatto scherma quella principale.

Un pagamento effettuato con questi sistemi, proprio perché considerato assolutamente sicuro e quindi lecitamente autorizzato, quasi sempre non può essere contestato con successo dall’utente perché – così ritiene il sistema bancario – effettuato assolutamente con il consenso dell’interessato, visto che c’è sempre un sistema di conferma dell’assenso del pagamento, che sia biometrico, PIN o con sistemi a due fattori, per esempio tramite l’app della banca. Ma – e su questo non ci sentiamo di avere dubbi – il nostro lettore non è andato a Casablanca e men che meno vi ha fatto cinque acquisti uno dietro l’altro in pochi minuti. Quindi qualche cosa è successo e capire cosa è assolutamente importante. Non solo per le lecite esigenze del nostro lettore di vedersi rimborsato ma per capire fino a che punto ci si può fidare dei sistemi di pagamento elettronici con chip e come sia stata possibile la frode in questione.

Visa: i pagamenti sono avvenuti tramite Google Pay

In prima battuta, abbiamo sentito VISA per provare a capire cosa possa essere successo. La società ci ha così risposto:

Le transazioni contestate sembrano derivare dall’inserimento della carta del titolare in un wallet di Google Pay. Spetta alle società emittenti autenticare il titolare della carta in questa situazione (nel momento in cui la carta viene caricata sul wallet), per cui bisognerebbe domandare alla società emittente come ha gestito questa autenticazione e quale processo ha seguito per valutare la controversia segnalata dal titolare della carta.

In termini generali, un consumatore è protetto nel caso in cui la carta di debito o di credito Visa venga smarrita, rubata o utilizzata in modo fraudolento, online o offline. Se il titolare della carta pensa che la sua carta sia stata utilizzata in modo fraudolento, deve segnalare immediatamente qualsiasi pagamento non autorizzato alla banca o all’ente emittente. Visa valuta le segnalazioni di frode presentate dai propri clienti per assicurarsi che vengano verificate e che eventuali contestazioni di addebito siano esaminate correttamente.

Dall’esperienza del nostro utente, però, il consumatore è protetto fino a un certo punto, visto l’esito della richiesta di rimborso a Deutsche Bank che è stata rigettata proprio in forza del tipo di pagamento.

Perché i pagamenti via chip o contactless sono (sarebbero) incontestabili

Al di là della teoria esposta da Visa, la pratica sembra assai diversa. Infatti, i pagamenti avvenuti via contactless, in quanto digitalmente firmati dal cliente, non verrebbero considerati contestabili dagli istituti bancari. Questo è quanto è successo infatti al nostro lettore e online è pieno di segnalazioni analoghe. Proviamo a capire perché.

È infatti noto che le banche, in caso di addebiti errati o fraudolenti sulle carte di credito, restituiscano il maltolto e questo per decenni è stato alla base della serenità degli utenti – almeno di quelli che si sono fidati – di adottare la cosiddetta “plastic money”. In effetti il sistema dei primordi non era molto blindato: il sistema di autenticazione che rendeva il pagamento valido era la firma sul cedolino, inizialmente quello fatto con la “macchinetta” a trasferimento in carta carbone dei numeri stampigliati sulla carta (per questo sono stati per anni e in parte sono ancora adesso in rilievo). Una firma che spesso si trasforma in uno scarabocchio. Se la firma non c’è o non corrisponde, il pagamento può essere contestato e quindi si ottiene il riaccredito della somma. Se per esempio un hotel al quale abbiamo dato i riferimenti della nostra carta di credito per una prenotazione, ci addebita una cifra non pattuita o addirittura lo fa a distanza dal nostro soggiorno, è ovviamente possibile contestarla perché non c’è stata da parte nostra alcun assenso formale e in quel caso è stato l’albergatore a inserire l’addebito (o meglio a bloccare la cifra) senza chiederci alcuna conferma. Ma cosa succede con i pagamenti con chip o contactless, dove neppure dobbiamo firmare?

I pagamenti contactless o via chip richiedono sempre una conferma del cliente tramite un altro mezzo: un PIN, per esempio; o il rilevamento di una “firma” biometrica (il volto per esempio) per i pagamenti via smartphone; o una conferma alla transazione attraverso l’app della Banca o del circuito che gestisce la carta. Insomma, una firma, ben più sicura di quella a penna, c’è e vale. E per questo motivo queste transazioni sono considerate dalle banche come regolarmente autorizzate dal cliente e quindi valide e non contestabili. Da qui la risposta, spiazzante per un utente onesto, data dalla banca in questione al nostro lettore: “Nessuna contraffazione della carta, rimborso negato”.

Apri originale

Quando succede – anticipiamo l’obiezione – che un sistema contactless non chieda né PIN né altre conferme per pagamenti di entità contenuta, è perché il circuito delle carte di credito di fa carico dei possibili rischi di frode pur di facilitare e rendere più fluido l’utilizzo dei sistemi di pagamento elettronici, aumentandone così l’incidenza.

Kaspersky: “Le carte con chip possono essere clonate, il contactless è più sicuro”

Prima di addentrarci nella nostra “investigazione” per venire a capo del problema, abbiamo provato a sentire Kaspersky, la società celebre per i propri antivirus ma che si occupa di cybersecurity a 360 gradi e che in passato aveva affrontato il tema della sicurezza dei pagamenti con carta di credito con chip e contacless.

Il nostro interlocutore è Fabio Assolini che è il Responsabile Latin America del Global Research & Analysis Team di Kaspersky.

DDAY.it: Come funziona il sistema di pagamento con carta di credito contactless?

Fabio Assolini: “La tecnologia contactless è basata sulla “tokenizzazione”. Questo vuol dire che ogni transazione si basa su un token univoco e generato per quel pagamento specifico.
Tutti i sistemi di pagamento contactless hanno un microchip integrato che comunica con un lettore attraverso onde radio. Il chip è normalmente un’antenna annegata nella plastica del device e permette lo scambio di informazioni tra due apparecchi dotati di NFC attraverso il protocollo RFID
“.

DDAY.it: Può essere considerato un sistema sicuro?

Assolini: “Si tratta certamente di un modo sicuro di pagare. Fino ad ora non abbiamo osservato metodi in grado di violare la sicurezza di questo sistema. Anche Prilex, uno scam che abbiamo studiato in passato, non è in grado di violare la sicurezza dei sistemi contactless, ma solo di inibirli, costringendo quindi l’utente a inserire la card nel POS invece di fare la transazione senza contatto“.

DDAY.it: La sicurezza dei sistemi contactless è la stessa indipendentemente dal POS presso il quale si paga o ci sono diversi livelli di sicurezza?

Assolini: “C’è un set di regole finalizzato a rendere sicuri i pagamenti. Queste regole sono chiamate PCI-DSS (Payment Card Industry Data Security Standard) e si appoggiano a una serie di standard tecnici da supportare, in particolare il framework EMV (prende il nome da Eurocard, Mastercard e Visa, le società che hanno creato lo standard). Sfortunatamente non tutte le società emittenti delle carte e delle reti di pagamento seguono pedissequamente tutte le regole o le implementano correttamente, lasciando spazio ai tentativi di frode“.

DDAY.it: È possibile clonare una carta con chip?

Assolini: “Sì, è possibile catturare i dati delle carte con chip e PIN e clonarle. Nella nostra prima pubblicazione riguardante Prilex nel 2018 abbiamo affrontato proprio un caso simile. Ma questo non vuol dire che lo strato di sicurezza dello standard EMV sia stato violato. Come dicevo, non tutti gli attori della filiera implementano compiutamente tutte le regole lasciando così spazio per i criminali per rendere possibili le frodi. Un esempio è il EMV Reply Attack, noto sin dal 2014 ma ancora sfrtuttato in un attacco contro una banca tedesca verso la fine del 2019; ma si tratta in questi casi di pagamenti con l’inserimento della carta con chip nel POS. Se invece parliamo di pagamenti contactless, la tecnologia è diversa e al momento non sono noti attacchi capaci di violarla, ma riescono solo ad inibirla, come dicevo, spingendo così verso il meno sicuro pagamento con chip“.

DDAY.it: Con una carta clonata si riescono a fare pagamenti fraudolenti anche senza conoscere il PIN?

Assolini: “Sì, è possibile. All’inizio i criminali clonavano fisicamente la carta, scrivendo le informazioni in una carta vuota e programmabile.

Ma adesso, con l’avvento degli acquisti via Internet (dove spesso non viene richiesto di inserire il PIN) i criminali catturano i dati della carta di credito e li usano per spese online. Attualmente, la maggior parte delle carte di credito catturate da malware caricati sui POS, come Prilex, sono rivenduto ad altri criminali e usati in acquisti online“.

DDAY.it: A cosa deve stare attento un cittadino per evitare di vedersi la carta clonata?

Assolini: Quando si fanno pagamenti online, è consigliabile generare un numero di carta di credito virtuale utilizzabile per un acquisto singolo. Se si compra qualcosa in negozio, invece, è raccomandato di pagare in maniera contactless con la card o con lo smartphone piuttosto che inserire la carta del POS“.

Una cosa abbiamo capito chiaramente: i pagamenti con il chip a inserimento nel POS sono più a rischio, mentre quelli contactless e ancor di più quelli attraverso lo smartphone sono decisamente sicuri. E allora cosa è successo al nostro lettore?

Sulle tracce dei truffatori: i soldi rubati sono cinque pieni di benzina in un self service di Casablanca

Come spesso accade, non è semplice capire dai pochi caratteri che descrivono la transazione sull’estratto conto, dove siano state fatte le cinque spese contestate dal nostro lettore.

Di certo il prefisso “Petrofan” era suggestivo di qualcosa legato al petrolio e quindi ai carburanti: i distributori di benzina, soprattutto quelli aperti 24 ore su 24, sono spesso oggetto di truffe, soprattutto in caso di furto di carta con il classico (e deprecabile) post-it con il PIN tenuto nel portafoglio. In effetti, la riga completa è “PETROFAN S-S GHANDI CASABLANCA”.

Ebbene, con un po’ di ricerche, abbiamo ricostruito che il “luogo del delitto” è stato un benzinaio su boulevard Ghandi a Casablanca, in Marocco, appunto un self service (da cui la sigla “S-S”).

Ok, il nostro lettore certamente non è andato a Casablanca e men che meno vi ha fatto il pieno per cinque volte di fila. E allora cosa può essere successo?

Colpisce, per certi versi, che il pagamento sia avvenuto, secondo quanto scritto dall’Istituto, attraverso “registrazione della sua carta sul suo dispositivo personale che ha consentito il pagamento in modalità contactless“. Ma la carta, almeno consapevolmente, non è mai stata inserita sul telefono del nostro lettore e men che meno il suo smartphone è andato a fare un giro in Marocco: va bene il “contactless”, ma comunque si tratta di un pagamento di prossimità. Il telefono che ha pagato era certamente a Casablanca.

Da interlocuzioni che abbiamo avuto con Deutsche Bank, abbiamo poi scoperto che i pagamenti sono avvenuti attraverso Google Pay (come confermato anche da Visa) e quindi con uno smartphone Android (non posseduto dal nostro lettore) e non con Apple Pay (ha un iPhone senza carte di credito nel wallet).

Le possibili spiegazioni dell’accaduto

Non possiamo stabilire con certezza come siano andate le cose. Certamente i truffatori hanno caricato la carta del nostro malcapitato lettore su un proprio smartphone Android. Per farlo, però, è necessario un sistema di autenticazione a due fattori. Secondo le informazioni da noi raccolte e incrociate, la carta è stata caricata sul telefono dei truffatori una decina di giorni prima del misfatto: certamente si tratta di un Android e il sistema di pagamento è stato attivato autorizzazione con OTP (password numerica temporanea) inviata via SMS al telefono dell’utente registrato in anagrafica. Abbiamo confrontato i numeri di telefono e corrispondono, ma il nostro utente non ha traccia di questi SMS.

A questo punto – volendo essere agnostici – le ipotesi possibili sono due: qualcuno ha trovato come aggirare il sistema e “intercettare” gli SMS con una sorta di spoofing della SIM, eventualità che però ci pare remota. Un’altra ipotesi, anch’essa remota, potrebbe essere un basista all’interno dell’ente emittente della carta in grado di inibire il reale recapito degli SMS e di leggerne il contenuto.

Più probabilmente –  viene da pensare – qualcun altro ha avuto fisicamente accesso per qualche minuto al telefono del nostro lettore, ovviamente sbloccato (o conoscendo il codice di sblocco), quanto basta per ricevere l’SMS con l’OTP, registrare sull’altro telefono la carta di credito (anche partendo dal numero, scadenza e nome intestatario) e soprattutto cancellare i messaggi, sia quello con il codice che quello della conferma di avvenuta registrazione, di cui al momento non c’è traccia. Pur avendo identificato il giorno in cui è stata caricata la carta sullo smartphone dei malfattori, il nostro lettore non è in grado di ricostruire chi possa aver intercettato e successivamente cancellato gli SMS in arrivo.

La carta sullo smartphone è sicurissima. Ma è troppo facile caricarla e se te la “fregano” non serve neppure il PIN

Una carta di credito virtualizzata sul telefono è certamente molto sicura. Infatti la transazione non viene fatta utilizzando i dati della carta originaria ma, semplificando, ne viene creata una virtuale che vive per il tempo della transazione e poi evapora, rendendo così non replicabile qualsiasi dato che dovesse mai essere sottratto, per qualsiasi motivo, come per esempio da un eventuale POS malevolo. Quindi è giusto dire che il pagamento via smartphone sia più sicuro della carta di credito fisica, che addirittura ha numero, scadenza, intestatario e codice di sicurezza stampigliati in bella vista.

La storia, alla fine della nostra segnalazione, sì è conclusa comunque bene: l’istituto bancario, che in un primo momento aveva negato il rimborso delle cinque transazioni contestate, ha ritenuto di voler comunque rimborsare il cliente da noi segnalato. Ringraziamo Deutsche Bank, anche a nome del nostro lettore.

Al di là del lieto fine, quello che invece questa storia ci insegna è che è molto fragile e vulnerabile il sistema di caricamento di una carta su un device. Infatti, se qualcuno, per qualsiasi motivo, è in grado di intercettare l’SMS con il codice di verifica che viene inviato una sola volta al telefono in anagrafica, allora può caricare sul proprio device una carta di terzi, conoscendone il numero e gli altri dati stampati sulla carta. Dì lì in avanti la carta sarà replicata sul device fuori dal controllo del legittimo intestatario e potrà effettuare pagamenti senza usare il PIN della carta ma usando il PIN o il riconoscimento biometrico dello smartphone. Che ovviamente è in possesso del truffatore. E, al di là di come sia sfuggito dal controllo del proprietario il codice SMS ricevuto, il problema di questa truffa è tutto qui: è troppo facile caricare una carta su un device, che poi potrà spendere senza avere necessità di nessun altro dato, nessuna OTP e nessuna verifica a due fattori.

Il lascito di questa vicenda: alcuni consigli per gli utenti

Quindi sono alcune importanti considerazioni che emergono da questa vicenda:

  • Lo smartphone e il suo codice di sblocco vanno custoditi con grande cura, anche se su di essi non è caricato alcun sistema di pagamento. Ma certamente l’accesso al telefono e ai suoi SMS può diventare la chiave di accesso al caricamento della carta sullo smartphone del truffatore.
  • Mai lasciare lo smartphone senza sistemi a codice o biometrici di blocco, anche se non si hanno sistemi di pagamento (altrimenti non è neppure possibile) e se non si ha “nulla da nascondere”
  • Non attivare (e disattivare subito se già fatto) la possibilità di leggere il contenuto dei messaggi nelle notifiche sulla home di uno smartphone non sbloccato. È come rendere visibile un’eventuale OTP ricevuta a tutti, anche senza sbloccare il telefono.
  • È ovvio che i circuiti delle carte e le banche vogliano favorire al massimo l’utilizzo della carta virtualizzata sul telefono: è così comoda che fa aumentare non poco i pagamenti elettronici. Ma è forse necessario che venga creata una procedura che renda più complesso il caricamento della card su smartphone e conseguentemente anche il “furto” virtuale (ma molto concreto sull’estratto conto) della carta di credito attraverso questo sistema.

© riproduzione riservata

Resta aggiornato sugli ultimi articoli di DDay.it

MobileMercatoScienza e futuro

0Commenti

 segui per ricevere le notifiche dei nuovi commenti

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *