Da Punto-Informatico.it :
Sono sufficienti due smartphone e l’accesso fisico a una carta di credito per svuotare il conto del suo malcapitato proprietario, trasferendo somme ingenti senza nemmeno dover inserire un PIN. Interessate a quanto pare tutte quelle del circuito Visa con chip per i pagamenti in modalità contactless. A lanciare l’allarme i ricercatori di ETH Zürich che hanno scoperto la falla, avvisando chi di dovere in modo da porvi rimedio.
Carte di credito Visa a rischio: tenerle al sicuro
Il procedimento è quello mostrato in pochi secondi nel filmato seguente. Il malintenzionato digita su un primo smartphone la cifra da trasferire, in questo caso 200 franchi svizzeri (pari a circa 185 euro), poi avvicina alla carta di credito uno degli altri telefoni definito “POS emulator” acquisendo una serie di informazioni della tessera e trasmettendole immediatamente a un altro device che a sua volta funge da “Card emulator”. Quest’ultimo, avvicinato al POS vero e proprio, porta a termine l’acquisizione senza richiedere alcun codice di sicurezza.
https://www.youtube.com/watch?v=JyUsMLxCCt8
Ciò è reso possibile dall’impiego di un protocollo di pagamento modificato ad hoc per bypassare il controllo solitamente imposto per i trasferimenti di somme superiori a 25-30 euro. Stando a quanto reso noto le carte accettate da altri circuiti (Mastercard su tutti) non sono interessate dalla falla.
La buona notizia è che sono già in fase di distribuzione gli aggiornamenti per i terminali impiegati dai mercanti a livello globale, così da impedire la dinamica. Rimane però da capire quanto ci sarà da attendere prima che il rollout possa raggiungere ogni singolo POS. Inoltre, il problema potrebbe non tanto riguardare quelli presenti in negozi e attività commerciali, ma quelli in dotazione a chi eventualmente a conoscenza della procedura intende sfruttarla per truffe e raggiri. Nel frattempo il consiglio migliore è quello di sempre: tenere la propria carta di credito al sicuro, sotto stretto controllo.
Fonte Punto Informatico Source link