Superare il codice PIN
Se si desidera pagare importi elevati con una carta di credito alla cassa, di solito è necessario confermare l'operazione con un codice PIN. I ricercatori di Fare ricerca all'ETH hanno scoperto che il sistema di alcune carte di credito può essere aggirato.
Le carte di credito che possono essere utilizzate per i pagamenti senza contatto sono molto popolari. Possono essere utilizzate per pagare piccoli importi in modo rapido e semplice alla cassa. Allo stesso tempo, sono considerate sicure perché somme maggiori possono essere addebitate solo dopo aver inserito un codice di sicurezza.
La base per la maggior parte di queste transazioni è lo standard EMV, utilizzato da Chi siamo per oltre nove miliardi di carte in tutto il mondo. Questo standard è stato sviluppato negli anni '90 dalle tre principali società Europay, Mastercard e Visa (da cui il nome EMV). Sebbene sia stato rivisto più volte da allora, il complesso insieme di regole presenta diversi punti deboli che possono essere sfruttati.
Ricerca mirata dei punti deboli
Dopo che altri specialisti della sicurezza hanno già scoperto falle nello standard, gli scienziati dell'ETH di Zurigo segnalano ora un'altra grave vulnerabilità della sicurezza. I ricercatori dell'ETH presenteranno il loro lavoro, attualmente disponibile come preprint, all'IEEE Symposium on Security and Privacy 2021.
Come primo passo, David Basin, professore di sicurezza delle informazioni, Ralf Sasse, personale scientifico del Dipartimento di informatica, e Jorge Toro-Pozo, ricercatore post-dottorando nel gruppo di Basin, hanno esaminato gli elementi centrali dello standard EMV utilizzando un modello appositamente sviluppato. Si sono resi conto che esiste una lacuna critica nel verbale utilizzato dalla società di carte di credito Visa.
La suddetta vulnerabilità consente ai truffatori di addebitare su carte smarrite o rubate importi che in realtà dovrebbero essere confermati con un codice PIN. "Il codice PIN è praticamente inutile con queste carte", riassume Toro. Poiché altre società come Mastercard, American Express o JCB utilizzano un verbale diverso da quello di Visa, queste carte non sono interessate dalla vulnerabilità menzionata. Tuttavia, la falla potrebbe esistere anche nelle carte di Discover e UnionPay, che utilizzano un verbale simile a quello di Visa.
Fingere il possesso legittimo
I ricercatori sono riusciti a dimostrare che la vulnerabilità può essere effettivamente sfruttata nella pratica, anche se richiede un certo sforzo. Hanno scritto un'applicazione Android che hanno installato su due telefoni cellulari abilitati all'NFC. I due dispositivi sono quindi in grado di leggere i dati dal chip della carta di credito e di scambiare informazioni con i terminali di pagamento. Tra l'altro, per installare questa applicazione i ricercatori non hanno dovuto superare particolari ostacoli di sicurezza del sistema operativo Android.
Se si vuole addebitare denaro sulla carta di credito di un'altra persona senza autorizzazione, bisogna prima leggere i dati necessari dalla carta di credito con il primo cellulare e trasmetterli al secondo cellulare. Il secondo cellulare viene quindi utilizzato per addebitare l'importo desiderato alla cassa, come fanno oggi molti titolari di carte di credito. L'app simula il legittimo possesso della carta di credito, in modo che il venditore non si accorga che l'acquirente non è autorizzato a effettuare la transazione. Il fattore decisivo è che l'app inganna il sistema di sicurezza della carta: Anche se l'importo è superiore al limite che può essere pagato senza PIN, non viene richiesto alcun codice.
Prova pratica superata
Utilizzando le proprie carte di credito, i ricercatori hanno potuto dimostrare in diversi negozi che il sistema di frode funziona davvero. "La frode funziona con carte di debito e di credito emesse in diversi Paesi e in diverse valute", spiega Toro. I ricercatori hanno già informato Visa della vulnerabilità e hanno anche proposto una soluzione concreta al problema. "Richiede tre aggiunte al verbale che potrebbero essere installate sui terminali di pagamento con il prossimo aggiornamento del software", spiega Toro. "L'impegno sarebbe minimo. Le carte non devono essere sostituite e tutte le aggiunte sono compatibili con lo standard EMV".