Il furto invisibile che prosciuga il conto corrente
I criminali riescono a svuotare un conto bancario anche quando la carta è ancora nel portafoglio. Basta un acquisto superficiale o un prelievo dal bancomat nel momento sbagliato.
Da anni cresce un’ondata di attacchi alle carte di pagamento, sia agli sportelli automatici che negli shop online. Le tecniche diventano sempre più raffinate e spesso risultano completamente invisibili per l’utente comune. Il risultato è quasi sempre lo stesso: dal conto spariscono centinaia di euro e il titolare lo scopre solo a cose fatte.
Gli esperti di sicurezza informatica avvertono che gli strumenti nelle mani dei criminali odierni sono più sofisticati che mai. Mentre in passato si trattava di rozze sovrastrutture applicate ai bancomat, oggi gli aggressori impiegano dispositivi miniaturizzati spessi come una carta di credito oppure script malevoli nascosti nel codice delle pagine web. Questi sono in grado di sottrarre i dati della tua carta in pochi secondi, senza che tu sospetti minimamente che stia accadendo qualcosa.
Ricercatori europei specializzati in sicurezza informatica monitorano da anni le tendenze in questo settore. Le loro analisi mostrano che il numero di casi di furto di dati da carte cresce ogni anno di decine di punti percentuali. Particolarmente vulnerabili risultano i negozi online più piccoli, che non dispongono di risorse sufficienti per condurre audit di sicurezza periodici sulle proprie piattaforme.
Dai rozzi dispositivi fisici ai congegni invisibili
Le prime forme di furto di dati riguardavano soprattutto bancomat e terminali self-service, come quelli delle stazioni di servizio. I criminali vi applicavano speciali sovrastrutture che imitavano i componenti originali del dispositivo. La copertura leggeva i dati dalla banda magnetica mentre una minuscola telecamera posizionata sopra la tastiera registrava il PIN inserito.
Nelle versioni più recenti, questi apparecchi trasmettono le informazioni via Bluetooth o altre connessioni wireless. In questo modo il ladro non deve tornare a recuperare il dispositivo fisico: i dati gli arrivano in tempo reale sul telefono o sul computer portatile. Le forze dell’ordine in Italia e nei paesi vicini scoprono regolarmente gruppi specializzati in questo tipo di reati.
L’intero meccanismo si basa sul fatto che una persona normale non ha alcuna possibilità di distinguere la parte originale di un bancomat da un involucro falso realizzato con precisione artigianale. I produttori di questi dispositivi truffaldini operano spesso in reti internazionali organizzate e perfezionano continuamente le loro tecniche. I materiali impiegati oggi sono così di qualità elevata da ingannare persino gli utenti più esperti.
Le forze di polizia europee conducono operazioni periodiche contro i gruppi organizzati specializzati in questo tipo di furto. Lo schema è solitamente simile: bancomat o terminali alle pompe di benzina vengono manomessi, mentre i prelievi di contante o gli acquisti avvengono già in un altro paese, spesso in un altro continente.
Sottili come un foglio di carta: la nuova generazione di attacchi al chip
Le carte dotate di chip hanno reso molto più difficile la semplice clonazione della banda magnetica. Il chip genera un codice univoco per ogni transazione, rendendo quasi inutile la copia dei dati in esso memorizzati. I criminali hanno quindi escogitato una soluzione intermedia: moduli ultrasottili che vengono inseriti nel lettore di carte e risultano invisibili dall’esterno.
Questi moduli intercettano la comunicazione tra la carta e il terminale nel momento del pagamento. I dati raccolti consentono successivamente di produrre carte false con banda magnetica, utilizzabili in paesi o bancomat che ancora ammettono transazioni in modalità di emergenza senza verifica completa del chip. Ricercatori delle università di Amsterdam e Zurigo hanno documentato diversi casi di questo tipo nei loro studi sulla sicurezza dei pagamenti.
Il vantaggio principale dei criminali oggi risiede nel fatto che la loro attrezzatura è praticamente invisibile per chi utilizza bancomat e terminali. I dispositivi sono realizzati con tale precisione che è quasi impossibile individuarli a occhio nudo. A volte hanno uno spessore di pochi millimetri e si fondono perfettamente con il design originale dello sportello automatico.
Un ulteriore problema è che i gestori dei bancomat spesso non vengono a sapere dell’installazione di un dispositivo fraudolento per settimane o addirittura mesi. In quel lasso di tempo, gli aggressori possono raccogliere i dati di centinaia o migliaia di carte. Solo quando iniziano ad accumularsi le lamentele dei clienti per transazioni non autorizzate, il gestore dello sportello avvia le verifiche del caso.
Il nuovo campo di battaglia: il furto di dati negli shop online
Una tendenza marcata degli ultimi anni è lo spostamento delle frodi dai bancomat fisici a internet. I negozi online sono diventati un obiettivo ideale perché una singola infezione riuscita permette di intercettare i dati delle carte di migliaia di clienti. I criminali informatici puntano soprattutto ai piccoli e-commerce, privi di team specializzati in sicurezza IT.
Il meccanismo è sorprendentemente semplice. Gli aggressori iniettano uno script malevolo nella pagina di pagamento. Possono essere letteralmente poche righe di JavaScript, invisibili a prima vista. Quando il cliente inserisce i dati della carta — numero, data di scadenza, codice di sicurezza a tre cifre — lo script li trasmette di nascosto a un server controllato dagli aggressori.
Ricercatori dell’università di Monaco hanno analizzato centinaia di questi attacchi e scoperto che il tempo medio tra la compromissione di un negozio e la scoperta del problema è di sei-otto settimane. In quel periodo i criminali possono ottenere decine di migliaia di serie complete di dati di carte. Questi dati vengono poi venduti su forum clandestini, dove un set di informazioni completo costa tra i cinque e i cinquanta dollari a seconda del limite della carta.
- Gli aggressori compromettono piattaforme e-commerce usate da migliaia di negozi contemporaneamente
- Il codice malevolo si maschera da strumenti di analisi comuni come Google Analytics
- I dati delle carte vengono inviati a server in paesi con legislazioni permissive
- I criminali testano le carte rubate con piccoli importi prima di effettuare prelievi ingenti
- Le carte contraffatte vengono poi usate in paesi con standard di sicurezza più bassi
- I negozi spesso scoprono la compromissione solo mesi dopo, grazie ai reclami dei clienti
- Il danno medio per ciascun cliente colpito ammonta a qualche centinaio di euro
- La polizia stima che venga individuato solo circa il venti percento di questi attacchi
L’attacco tramite fornitori di servizi esterni
Molti negozi online utilizzano piattaforme preconfezionate per l’e-commerce, plugin analitici e pubblicitari. Per i criminali si tratta di un’opportunità enorme. Invece di attaccare un negozio alla volta, cercano di prendere il controllo del fornitore di uno di questi componenti aggiuntivi. Questo approccio si è dimostrato straordinariamente efficace.
Se si riesce a infettare uno strumento usato da migliaia di siti, il codice malevolo si diffonde istantaneamente all’intera rete di negozi. Negli ultimi anni sono stati documentati attacchi in cui, con questo metodo, sono stati rubati centinaia di milioni di numeri di carte, inclusi negozi europei. Ricercatori della Queen Mary University di Londra hanno documentato diverse di queste campagne su larga scala.
Il problema è ancora più grave perché molti proprietari di piccoli e-shop non sanno affatto quale codice gira sulle loro pagine. Si affidano ai fornitori di plugin e piattaforme senza effettuare controlli di sicurezza propri. Quando poi si verifica una fuga di dati dei clienti, pochi riescono a identificare rapidamente la fonte del problema.
Le organizzazioni che si occupano di sicurezza informatica raccomandano ai gestori dei negozi di sottoporre regolarmente a verifica tutti i servizi esterni. La realtà, però, è che la maggior parte dei gestori di piccoli e-shop non ha né il tempo né le risorse per farlo. Questo crea un terreno ideale per il perpetuarsi dell’ondata di attacchi.
Script nascosti nelle immagini e nelle pagine di errore
Per rendere più difficile l’individuazione, gli aggressori inventano metodi sempre più creativi per occultare il codice. Capita che frammenti malevoli vengano inseriti nelle piccole icone della pagina oppure si spaccino per popolari strumenti di analisi. Esperti di sicurezza dell’università di Tel Aviv hanno descritto decine di casi di questo tipo.
Sono state documentate anche campagne in cui è stata modificata discretamente la pagina di errore “404 – Pagina non trovata”. Questo tipo di sottopagina di solito non desta sospetti negli amministratori ed è poco monitorata dai sistemi di sicurezza. Una volta avviato il processo di pagamento, il cliente vedeva un modulo apparentemente normale, e dopo aver inserito i dati la carta era già stata copiata.
Alla fine compariva un messaggio di “errore di sessione” che giustificava la necessità di ripetere la transazione. Agli occhi dell’utente si trattava solo di un fastidioso messaggio di errore. In realtà, la sua carta poteva essere appena finita in un database messo in vendita sui forum criminali. Questi database contengono spesso centinaia di migliaia di record e vengono scambiati per migliaia o addirittura centinaia di migliaia di euro.
Ricercatori dell’istituto per la sicurezza informatica di Tallinn hanno monitorato uno di questi database per diversi mesi. Hanno scoperto che la maggior parte delle carte rubate veniva utilizzata entro ventiquattro ore dalla sottrazione dei dati. I criminali hanno tutto l’interesse a sfruttare la carta il più rapidamente possibile, prima che il titolare si accorga delle transazioni sospette e la faccia bloccare.
Come usare la carta al bancomat e al terminale con meno rischi
Per quanto le minacce sembrino allarmanti, alcune semplici abitudini riducono significativamente la possibilità che qualcuno intercetti i dati della tua carta nel mondo fisico. Gli esperti di sicurezza nei pagamenti concordano che la prevenzione è molto più efficace della successiva risoluzione dei problemi con la banca.
Privilegia i pagamenti contactless: quando non devi inserire la carta nel lettore, la maggior parte delle sovrastrutture fisiche perde utilità. Copri la tastiera con la mano quando inserisci il PIN, sia al bancomat che alla cassa. Scegli bancomat situati all’interno delle banche o dei centri commerciali, evitando i dispositivi isolati per strada, soprattutto di notte.
Controlla se i componenti dell’involucro sono allentati: un pannello mobile, cavi sporgenti o tracce di colla devono immediatamente farti scattare un campanello d’allarme. Alle stazioni di servizio utilizza i terminali più vicini all’edificio, perché di solito sono meglio monitorati. Se qualcosa ti sembra “strano” — la fessura per la carta ha un aspetto diverso dal solito, il display lampeggia o noti elementi incollati di fresco intorno alla tastiera — rinuncia alla transazione e usa un altro dispositivo.
Un’altra buona abitudine è controllare la ricevuta della transazione. Se l’importo sullo scontrino non corrisponde a quello visualizzato sul display, potrebbe essere un segnale di manomissione. Contatta immediatamente la banca e segnala il sospetto. Quanto più rapidamente reagisci, tanto maggiori sono le possibilità di bloccare ulteriori tentativi di utilizzo fraudolento.
Acquisti sicuri online: regole semplici per ogni giorno
I negozi online sono oggi un campo di battaglia contro i truffatori altrettanto importante dei bancomat. Gran parte della responsabilità ricade sui gestori dei negozi stessi, ma anche i clienti possono fare molto dalla loro parte. La base è il buon senso e alcune misure tecniche.
Una soluzione molto efficace è avere una carta separata dedicata esclusivamente agli acquisti online. Impostale un limite giornaliero e mensile basso. Anche se i dati finissero nelle mani dei criminali, non potranno svuotare l’intero conto. Molte banche offrono anche le cosiddette carte virtuali, ovvero numeri temporanei monouso. Dopo l’acquisto, quel numero smette di funzionare.
Attiva le notifiche push o via SMS per ogni transazione effettuata con la carta. Un avviso rapido sul telefono ti consente di notare immediatamente un addebito che non riconosci. Reagendo prontamente, la banca ha maggiori possibilità di bloccare ulteriori tentativi di pagamento e di aiutarti a recuperare il denaro. Presta attenzione agli avvisi del browser riguardanti siti pericolosi.
Durante il pagamento non dovrebbero comparire finestre strane, richieste di reinserire i dati o di accedere alla banca in finestre pop-up separate. Qualsiasi cambiamento inaspettato nel processo di pagamento — una finestra aggiuntiva, un modulo “strano”, un messaggio atipico — è un segnale per interrompere la transazione e verificare il negozio. Meglio esitare una volta in più del necessario che una volta in meno.
Cosa evitare nei pagamenti online
Non salvare mai il numero della carta nel browser né nell’applicazione del negozio, specialmente su telefoni usati in reti Wi-Fi pubbliche. Non accedere alla pagina di pagamento tramite link provenienti da SMS o email sospetti: digita piuttosto l’indirizzo del negozio direttamente nel browser. Verifica che l’indirizzo inizi con “https” e che il nome del dominio non contenga errori di battitura o estensioni insolite.
Sii particolarmente cauto di fronte alle “offerte imperdibili” di negozi sconosciuti: è un modo comune per carpire i dati delle carte. Gli esperti dell’Agenzia Nazionale per la Cybersicurezza raccomandano di non acquistare da negozi che non riportano chiaramente i dati di contatto, la sede dell’azienda e la partita IVA. L’assenza di queste informazioni di base è un chiaro segnale d’allarme.
Un ulteriore rischio è rappresentato dalle copie false di noti e-commerce. Gli aggressori creano siti che appaiono quasi identici all’originale di un negozio popolare, ma il cui indirizzo differisce per una o due lettere. Il cliente spesso non nota la differenza e inserisce i propri dati di pagamento direttamente ai truffatori. Controlla quindi sempre con attenzione l’URL prima di inserire informazioni sensibili.
Se acquisti da dispositivo mobile, presta ancora più attenzione. Lo schermo è più piccolo, i dettagli si controllano con più difficoltà e le persone tendono a essere meno vigili. Eppure proprio i dispositivi mobili sono oggi bersaglio di un numero crescente di attacchi. Mantieni il sistema operativo aggiornato e installa applicazioni solo dagli store ufficiali Google Play o App Store.
Cosa devono fare i negozi online e perché questo conta per i clienti
I gestori dei negozi online hanno obblighi sempre più dettagliati in materia di protezione dei dati di pagamento. Gli standard di sicurezza attuali richiedono che il titolare del negozio sappia esattamente quale codice gira nella pagina di pagamento e da quali fonti esterne proviene. Non si tratta di una mera formalità tecnica, ma di una tutela fondamentale per i clienti.
Le buone pratiche comprendono, tra l’altro, la scansione periodica dei file alla ricerca di script sospetti, la limitazione del numero di plugin esterni e l’attivazione di allarmi automatici quando uno dei file della pagina viene modificato senza autorizzazione. Grazie a ciò, il negozio ha la possibilità di rilevare rapidamente un’anomalia e bloccare ulteriori fughe di dati, anche in caso di violazione.
Dal punto di vista del cliente, vale la pena scegliere marchi che parlino apertamente delle misure di sicurezza adottate e degli aggiornamenti dei sistemi. I negozi seri informano regolarmente riguardo alle certificazioni PCI DSS, all’uso della crittografia e alle altre misure di protezione. Se un negozio non menziona affatto la sicurezza, potrebbe essere un segnale d’allarme.
Organizzazioni come le associazioni per il commercio elettronico pubblicano raccomandazioni su come i negozi dovrebbero comportarsi. Tuttavia il controllo sull’applicazione di queste regole è spesso insufficiente. È quindi importante che siano gli stessi clienti a essere prudenti e a effettuare acquisti solo presso venditori affidabili e con una buona reputazione.
Perché il furto “invisibile” di carte conviene così tanto ai criminali
I dati delle carte di pagamento sono una merce che viene commerciata su larga scala nei forum criminali. A seconda del paese, del limite e del tipo di carta, un set completo di informazioni può costare da pochi a decine di dollari. Gli acquirenti li utilizzano per ordinare merce, effettuare prelievi in paesi con standard di sicurezza più deboli o per frodi nei giochi online e nei servizi digitali.
I criminali raramente prendono di mira singoli individui in modo mirato. Conta il volume: uno script su un e-commerce popolare può raccogliere centinaia di migliaia di numeri di carte nell’arco di poche settimane. Di quel database viene sfruttata solo una parte, ma i guadagni sono comunque enormi. Ricercatori dell’università di Oxford stimano che il profitto medio da una singola carta rubata ammonti a centocinquanta-trecento euro.
Per l’utente comune, la chiave diventa quindi la combinazione di due elementi: un uso ragionato della carta e il monitoraggio regolare del conto. Anche se la banca rimborsa le somme sottratte, lo stress e la necessità di spiegazioni possono protrarsi per settimane. Inoltre non tutte le banche rimborsano automaticamente: dipende dalle circostanze e dal fatto che siano state rispettate le regole di sicurezza.
Un’ottima abitudine è scorrere brevemente la cronologia delle transazioni ogni pochi giorni, preferibilmente nell’app mobile della banca. Molte persone si accorgono dei primi addebiti sospetti solo quando si imbattono casualmente nell’estratto conto. Eppure i truffatori spesso “testano” la carta con importi irrisori prima di colpire con un acquisto più consistente. Reagire prontamente a questo segnale può salvare l’intero saldo del conto. Non è affatto una cattiva idea cambiare periodicamente il PIN e usare codici diversi per carte diverse.
