Come clonano le carte di credito e come evitarlo

Sui mercati neri del Dark Web si possono acquistare i dati di carte di credito clonate per poche decine di dollari. Per una legge dell’economia quando qualcosa costa poco significa che l’offerta è molto alta. In altre parole significa che rubare le informazioni di una carte di credito non è poi tanto difficile. Per capire se le cose stanno realmente così ci siamo rivolti ad Alessandro Curioni, esperto in materia di sicurezza informatica e presidente di DI.GI. Academy.

«In effetti ci sono molte tecniche per appropriarsi dei dati di una carta di credito. La più nota utilizza gli skimmer. Si tratta di strumenti che copiano al loro interno i dati memorizzati sulla banda magnetica e di solito vengono posizionati all’interno della fessura di Atm, i bancomat sono il tipo più diffuso, oppure all’interno dei Pos, gli apparecchi utilizzati per i pagamenti nei negozi. Dopo qualche tempo il criminale recupera lo skimmer e collegandolo a un computer scarica i dati delle carte. Per evitare questo tipo di truffa è consigliabile effettuare operazioni bancomat in sportelli protetti, quelli ricavati all’interno delle filiali, che di solito sono videosorvegliati. Evitare le operazioni su Atm isolati. Quando si paga in un negozio è bene essere sempre presenti alla transazione per evitare che la carta sia utilizzata impropriamente. Considerate che ci sono stati casi di clonazioni effettuate fotografando fronte e retro la carta con un smartphone. Su molti siti di commercio elettronico, infatti, per concludere un acquisto sono sufficienti i dati visibili sulla carta stessa».

Quindi mai perdere di vista il bancomat?

«Non soltanto la carta, ma anche gli scontrini. Teoricamente la ricevuta dell’avvenuta transazione potrebbe permettere a un delinquente di ricostruire i dati della carta. E’ preferibile evitare di liberarsene in luoghi pubblici. Questa tecnica viene chiamata trashing, letteralmente frugare nella spazzatura».

Da qualche anno si stanno diffondendo le carte contactless. Anche quelle sono a rischio?

«Il fatto di non dovere inserire codici o firme rende molto rapida l’operazione, tuttavia anche queste carte sono vulnerabili. Nel momento in cui si avvicina la carta al Pos si attiva il microchip della carta stessa e avviene uno scambio di dati, durante il quale vengono trasmessi i dati della carta. Proprio in quel momento, disponendo di un’antenna radio, precisamente Rfid, è possibile intercettare la comunicazione. Il dispositivo disturberà lo scambio di dati per indurre l’utilizzatore a ripetere più volte l’operazione. In questo modo il criminale avrà più possibilità di carpire i dati della carta. Per evitare la truffa si dovrebbe evitare di insistere nell’eseguire un’operazione contactless, qualora non vada a buon fine la prima.

Tenete conto che la portata degli apparecchi per intercettare queste comunicazioni arriva fino a dodici metri. Quindi il malvivente non ha necessità di stare accanto a voi. Molto vicino, invece, deve trovarsi per attivare la carta che tenete in borsa o nel portafogli. Esistono infatti dei dispositivi portatili che permettono di accendere il sistema contactless e quindi avviare una trasmissione di dati fasulla. Diciamo che si tratta di un borseggio virtuale, che possiamo evitare prestando attenzione quando siamo in luoghi affollati e conservando le carte all’interno di contenitori metallici che disturbano la trasmissione dei dati».

Fino a questo momento abbiamo parlato di truffe nel mondo reale, su internet quale è la situazione?

«Escludendo i furti massivi che vengono talvolta effettuati ai danni dei siti di commercio elettronico, rispetto ai quali come consumatori non possiamo farci nulla, il furto della carta avviene attraverso tre diverse modalità. La prima parte da un email di phishing, un messaggio truffaldino che, di solito per ragioni di sicurezza ci chiede di inserire i dati della carta credito in una pagina web controllata dai criminali. Per evitare questo tipo di trappola si deve ricordare che gli emettitori di carte di credito non inviano normalmente questo tipo di richieste. La seconda modalità è legata all’intercettazione del traffico di rete.

Per evitare di cadere vittime di questa truffa si dovrebbe utilizzare la carta soltanto su connessioni di tipo https, che potete notare sulla barra di navigazione del vostro browser. La «s», infatti, indica che la trasmissione avviene su un canale cifrato, quindi protetto da occhi indiscreti. La terza richiede che il malvivente crei un sito fasullo di commercio elettronico, inducendo gli utenti a effettuarvi acquisti. È buona norma fare shopping on line soltanto su siti noti e conosciuti».

Un ultimo consiglio?

«Ne propongo due. Il primo è di attivare il sistema di avviso dell’uso della carta tramite sms o posta elettronica. Il secondo è stare sempre con gli occhi bene aperti. Come ho scritto nel mio libro Come pesci nella Rete – Guida per non essere le sardine di Internet, i criminali valutano l’economia dello sforzo. Di conseguenza le nostre speranze di non essere truffati dipendono da quanto riusciamo a rendergli la vita difficile».