Paoblog.net

Il tempo che ti piace buttare, non è buttato. (J. Lennon)

Non si capisce se le carte “contact less” sono sicure oppure no, ma nel dubbio…

Articolo aggiornato dopo la pubblicazione

Questo post di fatto è il seguito del precedente  Il sistema ContactLess per pagare senza il Pin, non mi convince… nel quale avevo espresso i miei dubbi sulla sicurezza della carte dotate della funzione Contact Less identificata sulla carta da questo simbolo

cless_zoom_carta2

Ed ecco che guardando un servizio di Striscia ho visto la dimostrazione pratica di come sia facile rubare, utilizzando una certa App per lo smartphone, i dati delle carte di credito Contact Less; è sufficiente appoggiare il telefono, nascosto ad esempio da un giornale, su borse, valigie o sfiorando la giacca, come ha fatto l’inviato.

Screenshot 2015-11-01 09.27.55

A questo punto l’inviato di Striscia è andato a parlare con un ispettore di polizia che ha confermato il tutto e che ha spiegato che per ovviare a questo rischio è possibile utilizzare dei portafogli schermati che si trovano sul web oppure utilizzare un foglio di stagnola da copra la carta sui due lati, per impedire la trasmissione dei dati.

Screenshot 2015-11-01 09.29.38

Di questa cosa ne avevo scritto nel post citato in apertura, ma non ci avevo dato peso, dato che in quel momento non avevo una carta con questa funzione che mi sono ritrovato imposta da Cartasì in quella nuova ritirata il mese successivo alla pubblicazione del post.

L’altro ieri ero a pranzo al Globe Bistrot e mentre pagavo l’aperitivo, ho fatto vedere all’amico Gigi la carta stagnola che avevo inserito nel portafogli che, una volta chiuso, la scherma da entrambi i lati. Di sicuro la cosa è più complicata per chi usa un portacarte a sè.

DSCN0821

Mentre gli spiegavo il tutto, sgrana gli occhi  e mi fa: ma forse anche la mia carta è di questo tipo e si reca a prendere il portafogli, lo apre ed eccola lì, la sua carta Contact Less, fornita d’ufficio dalla banca, come successe al Testimone.

Va da sè che ha subito preso il rotolo d’alluminio e tagliato una striscia da inserire nel portafoglio, sotto gli occhi sorpresi di alcuni clienti. 🙂

Aggiornamento del 03.11.2015

Facendo un’ulteriore ricerca in rete ho letto un articolo (qui in sintesi) sul sito della Polizia che smentisce in parte quanto detto sopra, tuttavia dopo aver letto mi sono fatto una domanda:  Se rubare questi dati non serve a niente, perchè farlo?

Questo in sintesi l’articolo della P.S.

Recenti servizi televisivi hanno fornito informazioni inesatte relative ad una presunta vulnerabilità delle nuove carte di credito che utilizzano la tecnologia denominata CONTACTLESS O PAYPASS.

Vero è, infatti, che le carte contacteless adottano una particolare tecnologia che le rende leggibili con qualsiasi dispositivo (tipo smartphone).

In tal senso, le società emittenti ed intermediarie di carte di credito si stanno già adoperando per eliminare l’inconveniente.

Ma è altrettanto vero che i dati così ottenuti, non possono in alcun modo essere utilizzati per acquisti presso esercizi fisici né tantomeno on line.

Come detto, che senso ha perdere tempo per rubare dati che non si possono utilizzare?

Resta il fatto, però, che in pochi minuti ho trovato diversi articoli che raccontano cose diverse; io la verità non la so, ma nel dubbio mi tengo la stagnola nel portafoglio. 😉

Comunque sia, se le banche volessero darmi più sicurezza (e comodità) per gli acquisti nei negozi fisici potrebbero emettere le carte con stampata del titolare, in modo da evitare di aprire la borsa per tirare fuori il documento di identità quando sei alla cassa.

carta credito

Aggiornamento dell’8 novembre 2018

Recentemente a Mi Manda Rai 3 si è parlato di carte clonate e di contact less e l’ex-Generale Rapetto della GdF, noto esperto del settore crimini informatici & C.,presente in studio ha parlato del rischio di furto di dati tramite apparecchi appositi, per cui si torna daccapo.

Leggi anche:

Il tema della sicurezza sembra farsi ancora più delicato in materia di NFC, stando a quanto spiegato da Raoul Chiesa, ethical hacker che ha fondato Security Brokers, azienda specializzata nella fornitura di servizi di ICT Security e Cyber Defense.

Nel protocollo NFC «esiste un baco che permette di rubare facilmente dati sensibili, movimenti bancari e soldi delle persone», ha detto Chiesa in un’intervista concessa di recente al Corriere della Sera.

«Non sembra esserci un identikit della vittima tipo e per essere esposti al furto basta passare vicino al cybercriminale dotato di un apposito lettore. Quindi ad esempio metro, stazioni, aree di sosta e aeroporti diventano chiaramente luoghi a rischio», ha aggiunto l’esperto.

Secondo Chiesa, il problema, in Italia, è che il protocollo NFC è stato applicato alle transazioni economiche senza aver implementato la criptatura. «Senza autenticazione né cifratura è possibile rubare in chiaro tutti i dati e poi con quelli ad esempio effettuare acquisti su Amazon.

Fonte

Il sistema NFC può comunque consentire il furto delle credenziali di pagamento, anche se non si arriva a manomettere la transazione stessa.

Fino ad ora, queste informazioni non erano considerate sufficienti per compromettere la sicurezza di una carta di credito. Di recente, però, questo mito è stato sfatato dal gruppo di consumatori Which?.

Gli esperti di Which? hanno testato varie carte contactless emesse da alcuni enti bancari britannici. Con l’aiuto di un lettore NFC e un software gratuito sono riusciti a decifrare il numero della carta e la data di scadenza.

Si potrebbe pensare che non c’è da preoccuparsi in quanto serve comunque il numero CVV per effettuare un acquisto online.

La triste verità, invece, è che molti shop online non richiedono il numero CVV. Gli esperti di Which? sono riusciti ad acquistare una TV da tremila sterline presso uno dei principali rivenditori online.

Fonte

4 commenti su “Non si capisce se le carte “contact less” sono sicure oppure no, ma nel dubbio…

  1. £@
    3 novembre 2015

    Il problema pero’ è un altro….
    ( Se sei dotato di telfonino con tecnologia NFC puoi verificarlo sa solo)
    ….al quale Io ho dovuto provvedera andando in banca.

    Ovvero, la semplice carta stagnola o il portafogli schermato NON bastano, anzi.
    Dato che questi proteggono solamente se chi vuole rubare la carta contactless si trova a più di 1-2cm, va da se’ che se lo appoggiano alla borsetta e il portafogli si trova esattamente dietro.. lo fregano lo stesso.

    La soluzione è sostituire la stagnola con un foglio di carta protettiva specifica, che a me l’ha data la banca, dato che la consegna gratuitamente insieme alla carta sottoforma di busta.

    Ma che si può procurare su internet basta usare le partole Foglio e RFID.

  2. stefano664Stefano Mologni
    5 novembre 2015

    Ciao Paolo,
    incuriosito da questo articolo ho provato ad approfondire un po’ il discorso. Innanzi tutto ho provato a leggere le mie carte di credito con la app utilizzata nel servizio di Striscia, per vedere quali dati si possono recuperare. Effettivamente restituisce in chiaro il numero della carta e la scadenza che, però, sono insufficienti per un pagamento. Inoltre vengono restituiti i log dei pagamenti, che però riportano solo gli importi.

    Un po’ di analisi sul funzionamento del sistema mia ha chiarito i dubbi. Per effettuare il pagamento la carta restituisce un codice usa e getta che il gestore utilizza per validare la transazione. Di conseguenza non è possibile, leggendo la carta a distanza, clonarla, ma al massimo ottenere una transazione valida.

    Inoltre il sistema dei pagamenti contactless, proprio per evitare problemi, limita i pagamenti a 25€ di importo, e tutti i gestori forniscono la possibilità di ricevere un SMS per ogni transazione. Il problema, qui, è semmai di etica, perché viene fornito un alert su SMS a pagamento. Insomma, è un sistema che, per essere comodo e semplice lascia qualche possibilità di truffa (ma anche con una carta normale basta una fotocopia per fare acquisti on-line), perché non inserire OBBLIGATORIAMENTE gli alert ed in maniera gratuita? Possibilmente su doppio canale (SMS + e-mail) riportando in calce le informazioni di blocco carta?

    L’unico vero rischio è quello di essere avvicinati da un malintenzionato con un POS, ma in ogni caso si può fare una transazione alla volta e bisogna essere davvero vicini, e credo che chiunque si insospettirebbe con un malintenzionato che si muove come nel servizio di Striscia.

    Stefano

    • paoblog
      5 novembre 2015

      per quanto riguarda l’sms, ad esempio, con la carta gestita da altra società mi arrivava per qualsiasi importo, mentre ora con Cartasì c’è la possibilità di inserire l’importo da cui far scattare l’invio dell’sms, ma con importo minimo di 2 €.

      Per contro, l’amico Gigi citato nel post mi diceva che la sua banca manda gli sms solo per spese superiori a 15 €.

      • stefano664
        5 novembre 2015

        Infatti ritengo che in generale l’unica soluzione di sicurezza reale che non comprometta la funzionalità del sistema (vale anche per le chiavette dei conti on-line) è l’informativa immediata dell’operazione.

        E’ chiaro che se ottengo immediatamente un SMS che mi dice che è stata fatta un’operazione e a cui magari posso rispondere con una parola chiave per un blocco temporaneo della carta (in attesa poi di chiamare il numero verde), ho fatto un gran lavoro. Se poi l’assicurazione della carta copre anche la spesa fraudolenta in caso di blocco tempestivo il sistema è coperto al 100%.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: