Carte contactless: un bug permette di superare il limite di 25 euro
Un gruppo di ricerca britannico mostra che è possibile aggirare il limite dei 25 euro delle carte contactless. Per Visa, però, non ci sono rischi concreti
Le carte di credito contactless del circuito Visa potrebbero avere dei problemi di sicurezza. Questo, almeno, è quanto sostengono dei ricercatori di sicurezza che, in collaborazione con la redazione britannica di Forbes, sono riusciti a effettuare pagamenti anche sopra i 25 euro senza immettere alcun PIN.
In particolare, le carte sarebbero hackerabili tramite attacchi “man in the middle”, che consentirebbero di “prelevare” più denaro di quanto prevede la soglia di sicurezza. Stando ad esperimenti condotti “in laboratorio” dai ricercatori, non c’è limite all’importo che si può far uscire dalla carta con questo sistema e, quindi, il rischio di frodi è altissimo. Inoltre, sebbene questa frode sia stata simulata nel Regno Unito, essa è possibile ovunque perché si baserebbe su vulnerabilità insite nel modo in cui avvengono le transazioni contactless. Ma, rispondendo a Forbes, Visa ritiene che non ci sia un pericolo reale per gli utenti e le lorocarte contatcless e, di conseguenza, non è previsto alcun “fix“.
Come funziona la truffa delle carte contactless
Per sbloccare sulle carte contactless i pagamenti senza PIN sopra i 25 euro i ricercatori hanno utilizzato un hardware appositamente costruito per intercettare e modificare le comunicazioni tra la scheda e il lettore. Ad esempio, si può far credere alla carta che la verifica, ad esempio l’inserimento del PIN, non è necessaria, anche se l’importo richiesto è superiore a 30 sterline (la truffa è stata provata in Inghilterra, ma funziona ovunque nel mondo). In questo modo il lettore della carta autorizza transazioni di qualunque importo.
È anche possibile utilizzare uno smartphone per toccare una carta e clonarla per un breve periodo: lo smartphone riesce a intercettare il cosiddetto “crittogramma di pagamento” dalla carta che garantisce l’autenticità dei pagamenti futuri. Il crittogramma può essere inviato ad un secondo telefono, che simula un pagamento mobile tramite la carta clonata. Gli hacker possono quindi andare oltre l’importo massimo facendo lo stesso attacco man in the middle descritto prima.
VISA: nessun rischio concreto
Un portavoce di VISA conferma l’esistenza di questa vulnerabilità nel circuito, ma ridimensiona notevolmente il rischio per i titolari delle carte contactless: “Una limitazione fondamentale di questo tipo di attacco è che richiede una carta rubata fisicamente che non è stata ancora segnalata all’emittente della carta. Inoltre, la transazione deve superare le convalide dell’emittente e i protocolli di rilevazione. Non è un approccio di frode scalabile che in genere vediamo impiegare ai criminali nel mondo reale“.
