E’ possibile rubare i dati di una carta di credito via wireless?
Penso che chiunque possegga una carta di credito con il sistema wireless attivo si sarà posto la domanda ma è sicuro oppure bisogna averne paura? me lo sono chiesto anche io e per questo ho deciso di capirne di più facendo qualche piccolo esperimento di cui vi darò qualche dettaglio in seguito. Prima di proseguire, premetto che io sono un utilizzatore abituale della carta di credito ed uso spesso anche il metodo di pagamento wireless, anticipo inoltre che non penso di cambiare le mie abitudini, perché ritengo che i rischi sono in qualche modo accettabili se si considera la comodità, sempre che si faccia attenzione. Ad esempio a Londra come si fa senza carta wireless nel Tube? 🙂 Detto ciò cerchiamo di capire se ci sono pericoli reali oppure no. Vale la pena introdurre un pò di concetti giusto per contestualizzare quello che dirò in seguito. Quando si parla di sistema di pagamento wireless si fa riferimento alla possibilità di utilizzare la carta di credito avvicinandola ad un dispositivo (Reader) che è in grado di leggere il contenuto della stessa via radio. Questa tecnologia è nota coma NFC (Near-field communication) ovvero comunicazione in prossimità.
La storia degli RF-ID (Radio-
Il meccanismo di comunicazione è molto semplice. Il TAG è un chip normalmente spento (passivo : non alimentato – ovvero che non utilizza batterie per funzionare) che si trova all’interno di etichette stampate ma anche all’interno di oggetti; quando lo si avvicina ad un Reader, quest’ultimo è in grado, via radio, di fornirgli energia a sufficienza per accendere il TAG e consentirgli di trasmettere i dati in esso memorizzati al Reader.
Evitando di entrare troppo in dettaglio nella descrizione dei vari protocolli di comunicazione e dei vari standard, diciamo che al momento ne esistono diversi: ISO 7816, ISO 10536, ISO 14443, ISO 15693, ISO 10373, ISO 11784, ISO 14223, ISO 10374, ISO 15960, ISO 15961, ISO 15962, ISO 15963, ISO 18000.Tra le varie tipologie una tra le più comuni è l’NFC (Near-field communication) se non altro perché oggi viene usata nei sistemi di pagamento wireless.
Lo standard NFC, implementato sulle carte di credito, si basa sui protocolli di comunicazione: ISO 14443 e sui nuovi standard ISO 18092 NFCIP-1 e ISO 21841 NFCIP-2, inoltre grazie ai recenti sviluppi ed ai nuovi standard, è possibile avere una compatibilità generale anche con i vecchi standard. In pratica è possibile con un unico dispositivo leggere TAG che implementano standard diversi e questa interessante novità la ritroviamo sui nostri smartphone che sono in grado di leggere TAG NFC di vario tipo e di emularne il funzionamento.
Ma questo cosa significa? In altre parole è possibile usare il nostro smartphone (sui cui è presente la tecnologia NFC) sia come carta di credito ma anche come lettore di carta di credito. Ai fini dell’articolo ed allo scopo di avere un quadro più esaustivo sulla tecnologia RFID, fissiamo la seguente classificazione, focalizzandoci sull’aspetto funzionale e sulle caratteristiche operative dei TAG:
Caratteristiche RFID per banda di Frequenza
| Banda di frequenza | Caratteristiche |
| 100 – 500 KHz |
|
| 10 – 15 MHz |
|
| 850 – 950 MHz 2,45 – 5,8 GHz |
|
Casi di Applicazione per Banda di Frequenza
| Banda di frequenza | Applicazioni principali |
| 100 – 500 KHz |
|
|
10 – 15 MHz |
|
|
850 – 950 MHz |
|
Più in dettaglio i TAG a nostra disposizione operano sulle seguenti frequenze:
- 125/134 kHz (LF Low Frequencies, valida in tutto il mondo)
- 13,56 MHz (HF High Frequencies, valida in tutto il mondo) (in questo gruppo troviamo gli NFC)
- 433 MHz (UHF Ultra High Frequencies bassa, solo per tag Attivi, solo in Europa)
- 860-960 MHz (UHF Ultra High Frequencies media, a seconda dei continenti hanno potenze limitate differenti e bande di frequenze diverse)
- 2,4 GHz (UHF Ultra High Frequencies Alta, principalmente per TAG attivi, anche se esistono anche TAG passivi, in tutto il mondo)
- 5,8 GHz (SHF Super High Frequencies, solo tag attivi, esempio è il tag attivo “Telepass” che molti hanno nelle auto in Italia per l’accesso automatico alle Autostrade a pagamento)
- maggiori du 5,8 GHz (UWB Ultra Wide Band (3.1 GHz-10.6 GHz), solo tag Attivi)
Per saperne di più potete dare un occhio al link mondo rfid.
Un’altra possibile classificazione dei TAG è su base implementativa. Essi possono essere classificati in:
- TAG passivi
- Tag attivi
l tag passivi sono caratterizzati dal fatto che non hanno una fonte di alimentazione propria ed utilizzano l’energia fornita da un lettore RFID per funzionare. Il loro range operativo varia in funzione della frequenza usata. Per i TAG che lavorano fino a 13,56Mhz (HF) il range è inferiore ad 1 metro, mentre può arrivare a 10 metri se si utilizzando TAG UHF 860-960 MHz. I tag attivi, al contrario sono alimentati da una batteria e le trasmissioni del segnale avvengono continuamente. I tag attivi hanno una distanza di lettura molto più lunga rispetto ai tag passivi ed operano principalmente su frequenze più alte.
App per leggere le carte di credito
Passiamo alle note dolenti; avendo capito che su un TAG è possibile scrivere e leggere dati a distanza, mi sono chiesto: sono sicuri?. Partiamo dal presupposto che la mia domanda è del tutto retorica in quanto è noto che gli RFID e gli NFC non sono famosi per la robustezza e la sicurezza dei protocolli. In ogni caso la questione merita un approfondimento, ma lo faremo in altre occasioni onde evitare di dilungarci troppo e di allontanarci troppo dall’oggetto di questo articolo ovvero: una carta di credito contactless che implementa la tecnologia NFC è sicura? i dati possono essere rubati? A questo punto penso sia abbastanza chiaro quale è stato l’obiettivo del mio esperimento. Ebbene si! ho provato ad utilizzare il mio smartphone per leggere i dati della mia carta ed il risultato è stato interessante oltre che atteso. Mettiamola così per chi si fida è possibile trovare dei tool già fatti per fare questa verifica, ma poiché io non mi fido ho provato a scrivere un pò di codice, utilizzando librerie terze parti. Per i più fiduciosi, pertanto, posso consigliarvi questa app che gira su android. Nel caso specifico l’autore ha messo a disposizione il codice sorgente, sebbene devo denunciare il fatto che l’app pubblicata è diversa da quella fornita al link precedente. In definitiva per chi ha un minimo di pratica con android studio può cimentarsi nel ricompilare il tutto dopo aver magari dato un occhio al codice per verificarne il contenuto.
Vi chiederete qual’è il risultato del test?
Si è possibile, in modo, anche, molto semplice, recuperare il numero della carta di credito e la data di scadenza della stessa (almeno nel mio caso su carta di tipo mastercard). Bene ora sappiamo, con certezza, che chiunque abbia a disposizione uno smartphone android NFC a nostra insaputa può avvicinarsi e prendersi i dati della nostra carta di credito. Ma cosa si può fare con questi dati? in linea di massima non molto per fare qualche transazione sarebbe necessario possedere anche il CVV ( Card Verification Value) il codice a 3 cifre che normalmente sta dietro la carta. Ma capirete che dopotutto non è così complesso decodificare 1000 combinazioni ed in ogni caso per le transazioni via internet nella maggior parte dei casi ormai sono attivi anche sistemi di protezione basati su password OTP ( one time password) – [per intenderci la chiavetta della banca]. E’ pur vero che esistono, però, ancora, siti internet dove è possibile fare acquisti senza utilizzare il codice CVV, quindi in questi casi il problema potrebbe esistere. La domanda successiva, pertanto, potrebbe essere un’altra: le carte contactless possono essere clonate? e magari emulate direttamente con lo smartphone? Sappiamo che le carte di credito che usano NFC non necessitano di codici o di firme per le transazioni e non richiedono l’inserimento fisico della carta nel lettore ma si attivano come abbiamo visto in prossimità di un reader. E’ possibile pertanto sfruttare questa peculiarità come vulnerabilità? In generale da letteratura diciamo che è possibile, ma poiché per fare un test esaustivo ho necessità di un POS rimando le mie conclusioni ad un altro articolo.
Per il momento ai più ansiosi consiglio un portafoglio schermato o delle custodie per carte di credito schermate. Non si sa mai 🙂 ne esistono di diversi tipi e di diversi prezzi.
Sono amante della tecnologia e delle tante sfumature del mondo IT, ho partecipato, sin dai primi anni di università ad importanti progetti in ambito Internet proseguendo, negli anni, allo startup, sviluppo e direzione di diverse aziende; Nei primi anni di carriera ho lavorato come consulente nel mondo dell’IT italiano, partecipando attivamente a progetti nazionali ed internazionali per realtà quali Ericsson, Telecom, Tin.it, Accenture, Tiscali, CNR. Dal 2010 mi occupo di startup mediante una delle mie società techintouch S.r.l che grazie alla collaborazione con la Digital Magics SpA, di cui sono Partner la Campania, mi occupo di supportare ed accelerare aziende del territorio .
Attualmente ricopro le cariche di :
– CTO MareGroup
– CTO Innoida
– Co-CEO in Techintouch s.r.l.
– Board member in StepFund GP SA
Manager ed imprenditore dal 2000 sono stato,
CEO e founder di Eclettica S.r.l. , Società specializzata in sviluppo software e System Integration
Partner per la Campania di Digital Magics S.p.A.
CTO e co-founder di Nexsoft S.p.A, società specializzata nella Consulenza di Servizi in ambito Informatico e sviluppo di soluzioni di System Integration, CTO della ITsys S.r.l. Società specializzata nella gestione di sistemi IT per la quale ho partecipato attivamente alla fase di startup.
Sognatore da sempre, curioso di novità ed alla ricerca di “nuovi mondi da esplorare“.
