NFC card skimming and stripping - spogliano

Carte NFC clonate: come vi “spogliano” sulla pista da ballo

Era una notte buia e focosa quando Rob è andato in discoteca. Musica pulsante, una compagna di ballo provocante, un po’ di movimenti sexy in pista e un ritorno a casa molto, molto tardi. Tutto molto bello finché, qualche settimana dopo, non ha ricevuto l’estratto conto con tre misteriosi prelievi da 19,99 euro effettuati in quella serata. Strano, visto che aveva pagato tutti i drink in contanti. Dev’essere successo qualcosa di piuttosto insolito.

Truffato sulla pista da ballo

Questo scenario da incubo ruota attorno al portafoglio di Rob e alla carta di pagamento contenuta all’interno. Il suo bancomat era predisposto per i pagamenti contactless. Pagare non è mai stato così facile: basta posizionare la carta alla distanza di circa un centimetro dal lettore e non c’è bisogno di perdere tempo a inserire il PIN. Dato che questi pagamenti hanno un limite di 20 euro, cosa potrà mai andare storto? In questo caso, durante la nottata in discoteca di Rob, qualcosa è andato storto. La domanda è se si tratta di pura immaginazione o potrebbe succedere anche a voi… in una discoteca, in metropolitana o in qualsiasi zona affollata?

Breve presentazione della tecnologia NFC

NFC card skimming and stripping - in-post

Per fare un passo indietro, NFC è la sigla di Near Field Communication (comunicazione in prossimità). Si tratta di un sistema di scambio di piccole informazioni tra dispositivi a una frequenza di 13,56 MHz. Quando un dispositivo può inviare o ricevere informazioni, ad esempio dal sistema Google Pay o dal lettore di carte NFC alla cassa, è un dispositivo attivo. Se è come la vostra carta bancomat abilitata per i pagamenti via NFC e trasmette solo informazioni limitate sul tuo conto, si dice che è un dispositivo passivo.

Abbiamo tutti e tre i componenti principali dello scenario criminoso di Rob: carte NFC, lettori NFC da pochi soldi e aumento delle distanze di trasmissione dell’NFC.

  1. Carta abilitata ai pagamenti via NFC: la carta di Rob era abilitata per i pagamenti contactless, probabilmente come la vostra. Questo tipo di tessere sta diventando sempre più comune. Secondo la Deutsche Bundesbank, la maggior parte delle carte di pagamento di istituti internazionali dispone di una funzione di pagamento contactless.
  2. Lettore NFC: si tratta di un dispositivo molto più piccolo del registratore di cassa medio. Gli ultimissimi modelli hanno le dimensioni di uno smartphone. In realtà, con qualche modifica e alcuni software aggiuntivi, anche il vostro telefono potrebbe funzionare da lettore di carte NFC.
  3. Distanze di trasmissione: ufficialmente, l’NFC Forum afferma che, per scambiare informazioni, i due dispositivi non devono trovarsi a più di quattro centimetri di distanza. Alcuni ricercatori hanno invece affermato di poter estendere il raggio di comunicazione fino a 80 cm, ovvero una distanza ben superiore quella tenuta ballando un tango.

Attenzione a non farvi spogliare

Il mondo della sicurezza è pieno di minacce che non si traducono in realtà. A prima vista, la truffa dell’NFC è una di queste. Internet pullula di articoli che descrivono questo sistema come il prossimo grande veicolo di frodi. Dato che questa ondata di criminalità non arriva, The Register ha definito la lettura delle informazioni delle carte NFC come “facile e inutile”.

Poi però accadono cose strane. Secondo Financial Fraud Action UK, nel 2016 sono aumentate sia le frodi che le spese con carte contactless. Nel 2016 sono stati rubati quasi 7 milioni di sterline, contro i 2,8 milioni dell’anno precedente, mentre le spese sono salite da 7,75 miliardi a 25,2 miliardi di sterline. Un rapido sguardo ai dati del Regno Unito mostra che il tasso di frode è rimasto praticamente invariato, ma che sono in corso alcune attività illegali.

L’ultimo ballo inizia tra un istante

Due sembrano essere le ragioni principali per cui questa ondata di criminalità contactless non si è ancora concretizzata:

  1. Limitate possibilità di commercializzazione: un truffatore dovrebbe creare un’entità commerciale per trasformare i dati di carte NFC ottenuti in modo illecito in denaro proveniente dalla banca. Si tratterebbe di un rischio notevole.
  2. Scarse potenzialità di ricavi: con i limiti per i pagamenti contactless compresi tra i 20 e i 30 euro, non c’è molto da guadagnare da ogni singola transazione, considerato il rischio.

Non abbassate ancora la guardia

Se una delle due condizioni cambia, potrebbe generarsi un’ondata di criminalità. Gli hacker potrebbero imparare a riscuotere i pagamenti NFC dalla banca con la stessa facilità con cui una volta ricevevano i pagamenti per gli SMS premium. Oppure, le banche potrebbero decidere che il limite dei 20 euro è troppo restrittivo e innalzarlo a 150 euro. Quando si verificherà uno di questi cambiamenti, farete meglio a tenere il portafoglio in una gabbia di Faraday o ad avvolgerlo in un foglio di alluminio.

Questo articolo è disponibile anche in: IngleseTedescoFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.