Tirare fuori la carta di credito Unicredit, SanPaolo, BNL o altra dal portafogli e inserire le varie informazioni per effettuare un acquisto richiede al massimo un minuto. Veloce? Sì, ma comunque dieci volte il tempo necessario ad un hacker per piratare questa carta. È stato stimato in effetti che non ci vogliono più di sei secondi per indovinare le informazioni di una carta di credito utilizzando una semplice connessione internet e un bot, grazie alla tecnica del “mass guessing”, letteralmente “indovino di massa”.
Il primo passo consiste nel procurarsi il numero di una carta a sedici cifre. Non è un’impresa complicata, dato che questi numeri si trovano su internet per meno di un dollaro. È sufficiente in seguito indovinare la data di scadenza della carta e il codice di sicurezza a tre cifre che si trova sul retro (CVV2), informazioni utilizzate dalla maggior parte dei siti di e-commerce per verificare la validità delle carte di credito.
È estremamente facile per i bot provare alcune combinazioni
Per fare ciò, gli hacker possono utilizzare un bot che si connetterà a decine di siti di e-commerce diversi per provare alcune combinazioni. Indovinare il mese e l’anno di scadenza della carta, la cui validità può protrarsi in genere fino a cinque anni, richiede quindi una sessantina di tentativi al massimo. Quanto al codice di sicurezza a tre cifre, ci sono solo 1000 risposte possibili. La maggior parte dei siti autorizzano dai 4 ai 50 tentativi mancati prima di allarmarsi, mentre alcuni non impongono alcun limite. È quindi abbastanza semplice per i bot tentare centinaia di combinazioni utilizzando un gran numero di siti differenti.
La diversità dei siti di pagamento indebolisce il sistema di sicurezza
Il vero punto di forza del sistema è la diversità dei siti di pagamento, che chiedono varie informazioni oltre al numero della carta di credito, come la data di scadenza, l’indirizzo del proprietario o il codice di sicurezza a tre cifre. È stato osservato che la diversità dei siti di pagamento è un punto vulnerabile che può essere sfruttato. In altre parole, più i venditori aggiungono campi di verifica credendo rinforzare il sistema, più quest’ultimo si ritrova indebolito.
Alcuni hacker possono piratare i bancomat a distanza
Oltre al metodo online per sottrarre le informazioni della carta di credito, alcuni hacker dispongono di un mezzo per derubare i soldi del correntista direttamente presso l’ATM. Generalmente, i criminali aggiungono un piccolo dispositivo nella fessura per inserire la carta, che scannerizza il numero della carta di credito che l’utilizzatore inserisce per ritirare del denaro. Una telecamera permette in seguito di recuperare il codice.
Ma questo processo sta per lasciare il posto ad un metodo ancora più pernicioso. Una squadra di hacker russi ha messo a punto un programma che permette di sottrarre del denaro senza lasciare alcuna traccia e senza che sia necessaria una presenza fisica. Un malware denominato “Backdoor.Win32.Skimer” può essere installato attraverso il sistema interno della banca. Una volta in posizione, consente un accesso totale all’ATM. Inserendo una semplice tessera magnetica, gli hacker possono prelevare qualunque somma di denaro essi desiderino.