E’ possibile rubare i dati di una carta di credito via wireless?

INFORMATICA, SICUREZZA INFORMATICA, TECH

Penso che chiunque possegga una carta di credito con il sistema wireless attivo si sarà posto la domanda ma è sicuro oppure bisogna averne paura? me lo sono chiesto anche io e per questo ho deciso di capirne di più facendo qualche piccolo esperimento di cui vi darò qualche dettaglio in seguito.

Prima di proseguire, premetto che io sono un utilizzatore abituale della carta di credito ed uso spesso anche il metodo di pagamento wireless, anticipo inoltre che non penso di cambiare le mie abitudini,  perchè ritengo che i rischi sono in qualche modo accettabili se si considera la comodità, sempre che si faccia attenzione.

Ad esempio a Londra come si fa senza carta wireless nel Tube? 🙂

Detto ciò cerchiamo di capire se ci sono pericoli reali oppure no. Vale la pena introdurre un pò di concetti giusto per contestualizzare quello che dirò in seguito.

Quando si parla di sistema di pagamento wireless si fa riferimento alla possibilità di utilizzare la carta di credito avvicinandola ad un dispositivo (Reader) che è in grado di leggere il contenuto della stessa via radio. Questa tecnologia è nota coma NFC  (Near-field communication) ovvero comunicazione in prossimità

Cerchiamo di capirne di più :

NFC è una tecnologia che appartiene alla famiglia degli RF-ID (Radio-Frequency IDentification) la cui storia risale ancor prima della seconda guerra mondiale durante la quale era già utilizzata per identificare gli aerei in volo.

Ancora oggi i TAG RFID sono usati usati in ambito aereonautico ed in diversi settori tra cui anche l’identificazione di parti per facilitare la manutenzione e l’asset management.

Come è facile intuire il concetto generale di RFID ovvero di sistema di identificazione via radio nasconde in se una varietà di possibili dispositivi che svolgono in sostanza la funzione base di identificazione, ma che sfruttano, invece, tecnologie differenti per rispondere adeguatamente ai diversi scenari di utilizzo.

Ad ogni modo la tecnologia di base si può ridurre a due componenti: un lettore RFID ed un TAG (etichetta).

Il meccanismo di comunicazione è molto semplice. Il  TAG è un chip normalmente spento ( passivo : non alimentato – ovvero che non utilizza batterie per funzionare  )  che si trova all’interno di etichette stampate ma anche all’interno di oggetti; quando lo si avvvicina ad un Reader , quest’ultimo è in grado, via radio,  di fornirgli energia a sufficienza per accendere il TAG e consentirgli di  trasmettere i dati in esso memorizzati al Reader.

Evitando di entrare troppo in dettaglio nella descrizione dei vari protocolli di comunicazione e dei vari standard,  diciamo che  al momento  ne esistono diversi : ISO 7816, ISO 10536, ISO 14443, ISO 15693, ISO 10373, ISO 11784, ISO 14223, ISO 10374, ISO 15960, ISO 15961, ISO 15962, ISO 15963, ISO 18000.

Lo standard NFC,  implementato sulle carte di credito, si basa sui protocolli di comunicazione : ISO  14443 e sui nuovi standard ISO 18092 NFCIP-1 e ISO 21841 NFCIP-2, inoltre grazie ai recenti sviluppi ed ai  nuovi standard,  è possibile avre una compatibilità generale anche con i vecchi standard.

In pratica è possibile con un unico dispositivo leggere TAG che implementano standard diversi e questa interessante novità la ritroviamo sui nostri smartphone che sono in grado di leggere TAG NFC di vario tipo  e di  emularne il funzionamento.

Ma questo cosa significa?

In altre parole è possibile usare  il nostro  smartphone (sui cui è presente la tecnologia NFC)  sia come carta di credito ma anche come lettore di carta di credito.

Ai fini dell’articolo ed allo scopo di avere  un quadro più esaustivo sulla tecnologia RFID, fissiamo la seguente classificazione, focalizzandoci sull’aspetto funzionale e sulle caratteristiche operative dei TAG:

Banda di frequenza

Caratteristiche

Applicazioni principali

100 – 500 KHz

Sono tag che operano a corto raggio.
Sono normalmente poco costosi.
Sono caratterizzati da una bassa velocità nelle operazioni di lettura e scrittura.

Sono usati spesso nei sistemi di:

– Controllo accessi.

– Identificazioni animali.

– Sistemi di sicurezza per macchine.

– Applicazioni generiche.

10 – 15 MHz

Sono tag che operano a corto ed a medio raggio.
Poco costosi  se prodotti in grandi quantità.

Sono caratterizzati da una velocità media nelle operazioni di lettura e scrittura.

Sono usati spesso nei sistemi di:

– Controllo accessi.

– Smart card.

– Smart label.

– Controllo degli articoli.

– Applicazioni generiche.

850 – 950 MHz
2,45 – 5,8 GHz

Sono tag che operano a lungo raggio nell’implementazione con gli standard americani e canadesi.

Sono tag che operano a corto ed a medio raggio nei sistemi europei.

Generalmente costosi.

Sono caratterizzati da un alta velocità nelle operazioni di lettura e scrittura.
Il TAG  ed il reader devono essere visibili otticamente.
Applicazioni esterne sensibili alle condizioni atmosferiche.

Sono usati spesso nei sistemi di:

– Controllo dei sistemi ferroviari.

– TAG utilizzati  per applicazioni autostradali. ( Il telepas ad esempio)

 

Più in dettaglio  i TAG a nostra disposizione operano sulle seguenti frequenze:

– 125/134 kHz (LF Low Frequencies, valida in tutto il mondo)

– 13,56 MHz (HF High Frequencies, valida in tutto il mondo) (in questo gruppo troviamo gli  NFC )

– 433 MHz (UHF Ultra High Frequencies bassa, solo per tag Attivi, solo in Europa)

– 860-960 MHz (UHF Ultra High Frequencies media, a seconda dei continenti  hanno potenze limitate differenti e bande di frequenze diverse)

– 2,4 GHz (UHF Ultra High Frequencies Alta, principalmente per TAG attivi, anche se esistono anche TAG passivi, in tutto il mondo)

– 5,8 GHz (SHF Super High Frequencies, solo tag attivi, esempio è il tag attivo “Telepass” che molti hanno nelle auto in Italia per l’accesso automatico alle Autostrade a pagamento)

–  maggiori du  5,8 GHz (UWB Ultra Wide Band (3.1 GHz-10.6 GHz), solo tag Attivi)

per saperne di più potete dare un occhio al link mondo rfid.

Un’altra possibile classificazione dei TAG  è su base implementativa. Essi  possono essere classificati in :

  • TAG passivi
  • Tag attivi

l tag passivi sono caratterizzati dal fatto che  non hanno una fonte di alimentazione propria ed utilizzano l’energia fornita da un lettore RFID per funzionare. Il loro range operativo  varia  in funzione della frequenza usata. Per i TAG che lavorano fino a 13,56Mhz (HF) il range è inferiore ad 1 metro, mentre può arrivare a 10 metri se si utilizzando TAG UHF 860-960 MHz.

I  tag attivi, al contrario sono alimentati da una batteria e le trasmissioni del segnale avvengono continuamente. I tag attivi hanno una distanza di lettura molto più lunga rispetto ai tag passivi ed operano principalmente su frequenze più alte.

Passiamo alle note dolenti; avendo capito che su un TAG è possibile scrivere e leggere dati a distanza, mi sono chiesto: sono sicuri?. Partiamo dal presupposto che la mia domanda è del tutto retorica in quanto è noto che gli RFID e gli NFC non sono famosi per la robustezza e la sicurezza dei protocoli.  In ogni caso la questione merita un approfondimento, ma lo faremo in altre occasioni onde evitare di dilungarci troppo e di allontanarci troppo dall’oggetto di questo articolo ovvero: una carta di credito contacless che implementa la tecnologia NFC è sicura? i dati possono essere rubati?

A questo punto penso sia abbastanza chiaro quale è stato l’obiettivo del mio esperimento.

Ebbene si!   ho provato ad utilizzare il mio smartphone per leggere i dati della mia carta ed il risultato è stato interessante oltre che atteso.

Mettiamola così per chi si fida è possibile trovare dei tool già fatti per fare questa verifica, ma poichè io non mi fido ho provato a scrivere un pò di codice, utilizzando librerie terze parti. Per i più fiduciosi, pertanto,  posso consigliarvi questa app che gira su android.

Nel caso specifico l’autore ha messo a disposizione il codice sorgente, sebbene devo denunciare il fatto che  l’app pubblicata è diversa da quella fornita al link precedente.

In definitiva per chi ha un minimo di pratica con android studio può cimentarsi nel ricompilare il tutto  dopo aver magari dato un occhio al codice per verificarne il contenuto.

Vi chiederete qual’è il risultato del test? ebbene è  stato quello che temevo:

si è possibile, in modo, anche, molto semplice, recuperare  il numero della carta di credito e la data di scadenza della stessa (almeno nel mio caso su carta di tipo mastercard).

Bene ora sappiamo, con certezza, che chiunque abbia a disposizione uno smartphone android NFC a nostra insaputa può avvicinarsi e prendersi i dati della nostra carta di credito. Ma cosa si può fare con questi dati?  in linea di massima non molto per fare qualche transazione sarebbe necessario possedere anche  il CVV ( Card Verification Value)  il codice a 3 cifre che normalmente sta dietro la carta. Ma capirete che dopotutto non è così complesso decodificare 1000 combinazioni ed in ogni caso per le transazioni via internet nella maggior parte dei casi ormai sono attivi anche sistemi di protezione basati su password OTP ( one time password) – [per intenderci la chiavetta della banca].

E’ pur vero che esistono, però, ancora, siti internet dove è possibile fare acquisti senza utilizzare il codice CVV, quindi in questi casi il problema potrebbe esistere.

La domanda successiva, pertanto, potrebbe essere un’altra:  le carte contactless possono essere clonate? e magari emulate direttamente con lo smartphone?

Sappiamo che le carte di credito che usano NFC  non necessitano di codici o di firme per le transazioni e non richiedono l’inserimento fisico della carta nel lettore ma si attivano come abbiamo visto in prossimità di un reader. E’ possibile pertanto sfruttare questa peculiarità come vulnerabilità?

In generale da letteratura diciamo che è possibile, ma poichè per fare un test esaustivo ho necessità  di un POS rimando le mie conclusioni ad un altro articolo.

Per il momento ai più ansiosi consiglio un portafoglio schermato o delle custodie per carte di credito schermate. Non si sa mai 🙂 ne esistono di diversi tipi  e di diversi prezzi.

 

 

 

 

 

 

 

 

 

 

 

Sono amante della tecnologia e delle tante sfumature del mondo IT, ho partecipato, sin dai primi anni di università ad importanti progetti in ambito Internet proseguendo, negli anni, allo startup, sviluppo e  direzione di diverse aziende; Nei primi anni di carriera ho lavorato come consulente nel mondo dell’IT italiano, partecipando attivamente a progetti nazionali ed internazionali per realtà quali Ericsson, Telecom, Tin.it, Accenture, Tiscali, CNR. Dal 2010 mi occupo di startup mediante una delle mie società techintouch S.r.l che grazie alla collaborazione con la  Digital Magics SpA, di cui sono Partner la Campania, mi occupo di supportare ed accelerare aziende del territorio .

Attualmente sono :

  • CEO e founder di Eclettica S.r.l. , Società specializzata in sviluppo software e System Integration
  • Co-CEO in Techintouch s.r.l. e partner per la Campania di Digital Magics S.p.A.

Manager ed imprenditore dal  2000  sono stato, CTO e co-founder di Nexsoft S.p.A, società specializzata nella Consulenza di Servizi in ambito Informatico e sviluppo di soluzioni di System Integration, CTO della ITsys S.r.l. Società specializzata nella gestione di sistemi IT per la quale ho partecipato attivamente alla fase di startup.

Sognatore da sempre, curioso di novità ed alla ricerca di “nuovi mondi da esplorare“.

Please follow and like us:

Commenti

Privacy Preference Center

Close your account?

Your account will be closed and all data will be permanently deleted and cannot be recovered. Are you sure?