Nel recente articolo, ho spiegato approssimativamente il funzionamento di una carta di credito. In questo post mi limito a descrivere le possibili tecniche che un malintenzionato può utilizzare per rubare quante più informazioni possibili e riuscire a clonare(copia integrale) della nostra carta. Ogni utente per poter usufruire della carta riceve il proprio PIN: Personal Identification Number il codice di 4 o più cifre registrato sulla banda magnetica delle tessere bancomat o delle carte di credito. Tramite questo codice è possibile godere dei servizi connessi alla tessera. Di regola si tratta di un codice generato in modo da non essere riproducibile anche se ci sono stati casi negli anni passati di persone che con i sistemi più sfigati (dallo spiare gli sportelli bancomat, all'intercettare le emissioni elettromagnetiche dei cavi che collegavano gli sportelli alla banca) sono riusciti ad entrare in possesso di queste informazioni e a clonare le carte. Il controllo viene effettuato tramite l’ulteriore verifica del PIN che, pur presente in modalità cifrata all’interno della banda magnetica della carta, viene digitato direttamente dall’utente e decodificato dal lettore di card(skimmer). Il lettore di card non fa altro che inviare alla base di dati il PIN per verificare se è esatto. Per impedire la costruzione fraudolenta delle schede è di uso comune inserire all'interno della banda magnetica il codice marshall ossia un valore che non puo essere derivato da altre informazioni della scheda. Cosi quando una scheda viene letta su un apposito lettore si può controllare l'integrità che serve per determinare se la scheda sia vera o falsa.La maggior parte della crittografia delle shede magnetiche è basata sulla procedura di crittografia di dati (DEA) che poi è divenuto lo standard DES o campione di crittografia di dati. L'idea dietro il DES è che puo essere effettuata come procedura del software o in hardware dedicati.Il DES allora cifra il valore libero usando una chiave(un valore 64-bit segreto).La crittografia è una techica attraverso la quale si rendono illeggibili i dati originali,permettendo al destinatario di recuperarli attraveso un procedimento noto solo a lui. La forza o la debolezza di questo sistema,si basa sulla difficoltà o meno che ci può essere nell'indovinare la chiave,tenendo conto anche della possibilità elaborative di cui può disporre chi intende spiare la comunicazione. Per chi desidera approfondire sul campo della crittografia, consiglio lo studio di questo libro: Crittografia e sicurezza delle reti - seconda edizione editore Mc Graw Hill. Prima di effettuare la clonazione della carta è necessario ottenere i codici che è possibile ricavarli ad esempio direttamente dagli sportelli bancomat.Quando dobbiamo prelevare il denaro,abbiamo bisogno sia della carta che dei relativi codice pin. In parecchie truffe dei bancomat su sportelli ATM questo è possibile sostituendo gli skimmer originali con uno appositamente modificato.La manomissione degli skimmer permette di leggere e registrare i contenuti delle carte magnetiche e inviali direttamente all'aggressore. Ma la domanda è:come avviene la clonazione e la trasmissione dei codici?.Beh questi skimmer contengono al suo interno un lettore-trasmettitore che invia ad un ricevitore posizionato nelle vicinanze i codici relativi alla strisciata dello skimmer.L'aggressore a questo punto ha solo una parte dei dati necessarri per effettuare la clonazione della carta.Il codice PIN viene letto attroverso una microcamera posizionata di solito sopra il testierino del bancomat oppure a lato. Questo sono immagini prese da internet solo per rendere l'idea.
Alcune telecamere sofisticate come le NETCAM possono effettuare l'invio delle informazioni direttamente ad un sito internet realizzato per effettuare questo tipo di operazione.Questo metodo è utilizzato per carte di credito-bancomat.Se si utilizzano carte di credito con l'uso della sola strisciata di lettura senza l'utilizzo del pin è possibile adottare un'altra tecnica chiamata clonazione dei POS.Quando entriamo in un negozio,riconosciamo subito i lettori di pos utilizzati per pagare senza contanti,bene questi strumenti sono oggetto di continua frode.Per clonare la carta di credito che vengono utilizzare dai pos esisteno due tecniche.La prima tecnica è sostituire il lettore originale con quello manomesso, basta entrare nei locali ed effettura lo scambio e poi in un secondo momento basta effettuare nuovamente lo scambio con l'originale. La seconda tecnica consiste nell'utilizzare dei trasmettitori bluetooth.Alcuni POS sono dotati di sistemi bluetooth per comunicare,per cui posizionandoci nel raggio di 100 metri con un computer dotato di penna bluetooth è possibile intercettare il segnale.Quando vengono effettuati i pagamenti i dati della carta vengono sniffati(intercettati) attraverso il dispositivo bluetooth e con l'aiuto di un software come Escan Exeba-COMM i dati vengono raccolti. Per effetture in seguito la clonazione si ha bisogno di un laboratorio e persone brave in informatica. Altri metodi per clonare le carte di credito è venire in possesso dei codici delle carte con metodi diversi come ad esempio quello utilizzato da commercianti truffaldini, che nel momento in cui un cliente effettua un pagamento con il pos,effettuano una strisciata della carta sullo skimmer che immagazzina i dati che poi vengono scaricati su un computer. Girando su ebay è possibile acquistare tutto l'occorente, basta cercare Portable magnetic ,stripe credit card reader.
-->
La domanda che ci viene spontanea fare è:come facciamo a trasformare i codici acquisiti in carte di credito clonate? Allora, una volta venuti in possesso dei codici con appositi skimmer tradizionali collegati al pc e con software come Rencode2000 è possibile riprogrammare la banda magnetica utilizzando delle carte vuote. Bene l'articolo diciamo che finisce qui :-).Cmq Per evitare le sopra citate frodi,si è pensato allora di sostituirla la banda magnerica con un microchip che consente di dichiarare valida in qualunque momento la nostra carta:mentre le carte a banda magnetica contengono un valore di verifica (CVV) che può essere verificato solo tramite il collegamento con la banca emittente. Ora mi limito a descrivere alcuni consigli per non rimanere vittima di azioni fraudolente.Agli sportelli bancomat. Verificare che nelle immediate vicinanze non vi siamo persone sospsette come ad esempio persone con lunga barba o con faccia da mafioso, controllare attentamente se ci sono dei piccoli fori o manomissioni attuate per collocarvi le microcamere e skimmer(controllare se la fessura e ben fissata). Potete digitare il pin nascondendo con il palmo della mano l'operazione. Nel caso dei dubbi: non introdurre la tessera e non inserire il PIN. Mentre con le carte di credito, consiglio di non perdere mai la tessera e di controllare sempre l'stratto conto e in caso di addebiti improvvisi bisogna subito denunciare alla polizia postale la clonazione della carta. Infine nel caso di acquisti sul web verificare se la pagina del sito è sicura(contrassegnata da un lucchetto posto nella parte inferiore dello schermo), se vi arrivano dei messaggi di posta elettronica dove vi chiedono dati sensibili relativi alla vostra carta di credito o al conto corrente, non bisogna rispondere mai a nessuna richiesta.Tengo a specificare che la frode informatica secondo la legislazione italiana del codice penale è il reato piu importante nel contesto del commercio elettronico.Si tratta di un delitto contro il patrimonio, che rientra nella categoria dei delitti con la cooperazione della vittima,nei quali quest'ultima non si limita a subire l'offesa , ma contribuisce alla determinazione del proprio danno patrimoniale,essendo essa stata tratta in inganno. Per occhi aperti :-).
Dei delitti contro il patrimonio mediante frode - Art. 640 – Truffa
Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032. La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549:
1. se il fatto è commesso a danno dello Stato o di un altro ente pubblico o col pretesto di far esonerare taluno dal servizio militare;
2. se il fatto è commesso ingenerando nella persona offesa il timore di un pericolo immaginario o l'erroneo convincimento di dovere eseguire un ordine dell'autorità.
Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze previste dal capoverso precedente o un'altra circostanza aggravante.
Dei delitti contro il patrimonio mediante frode - Art. 640 – Truffa
Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032. La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549:
1. se il fatto è commesso a danno dello Stato o di un altro ente pubblico o col pretesto di far esonerare taluno dal servizio militare;
2. se il fatto è commesso ingenerando nella persona offesa il timore di un pericolo immaginario o l'erroneo convincimento di dovere eseguire un ordine dell'autorità.
Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze previste dal capoverso precedente o un'altra circostanza aggravante.
-->
