Il conto in banca può sparire anche con la carta nel portafoglio
I ladri sono in grado di prosciugare un conto corrente anche quando la carta non lascia mai il tuo portafoglio. Basta un acquisto sbadato o un prelievo al bancomat nel posto sbagliato.
Da diversi anni è in corso un’ondata crescente di attacchi alle carte di pagamento, sia agli sportelli automatici che negli negozi online. Le tecniche diventano sempre più sofisticate e spesso del tutto invisibili agli occhi di un utente comune. Il risultato è sempre lo stesso: migliaia di euro spariscono dal conto e il titolare se ne accorge solo a posteriori.
Gli esperti di sicurezza informatica avvertono che i moderni dispositivi per il furto di dati sono così miniaturizzati e raffinati da risultare praticamente impossibili da individuare a occhio nudo. I ricercatori delle agenzie di sicurezza europee hanno registrato, negli ultimi tre anni, un incremento di questi attacchi superiore al quaranta percento.
Dai vecchi aggeggi ai dispositivi invisibili
Le prime forme di clonazione delle carte riguardavano soprattutto i bancomat e i terminali automatici, come quelli delle stazioni di servizio. I criminali vi applicavano speciali sovrastrutture che imitavano perfettamente le parti originali del dispositivo. Questi elementi copiavano i dati dalla banda magnetica, mentre una minuscola telecamera posizionata sopra la tastiera registrava il PIN digitato.
Le versioni più recenti di questi strumenti trasmettono le informazioni rubate via Bluetooth o attraverso altre connessioni wireless. In questo modo il ladro non deve nemmeno tornare a recuperare il dispositivo: i dati affluiscono in tempo reale sul suo telefono o laptop.
Le forze dell’ordine di Germania e Francia conducono operazioni periodiche contro gruppi organizzati specializzati in questo tipo di furto. Lo schema è quasi sempre identico: bancomat o terminali infettati nelle stazioni di rifornimento, mentre i prelievi o gli acquisti vengono effettuati in un altro Paese, spesso in un altro continente.
Sottili come carta: la nuova generazione di attacchi al chip
Le carte con chip hanno reso molto più difficile la semplice copia della banda magnetica. Il chip genera un codice univoco per ogni transazione, quindi la clonazione diretta dei dati memorizzati raramente è sufficiente. I criminali hanno quindi escogitato una soluzione intermedia: moduli ultrasottili da inserire nel lettore di carte, invisibili dall’esterno.
Questi moduli intercettano la comunicazione tra la carta e il terminale nel momento preciso del pagamento. I dati raccolti permettono di creare in seguito carte false con banda magnetica, da utilizzare in Paesi o bancomat che accettano ancora transazioni in modalità di emergenza senza la piena verifica del chip.
Ricercatori dell’Università Tecnica di Monaco hanno documentato casi in cui un singolo modulo di questo tipo è riuscito a sottrarre i dati di oltre trecento carte nel giro di una sola settimana. Il dispositivo era installato in una stazione di servizio autostradale e comunicava con un laptop parcheggiato in un’auto nelle vicinanze.
- Moduli ultrasottili inseriti nella fessura del lettore di carte
- Trasmissione wireless dei dati via Bluetooth o rete mobile
- Prelievi di contante in Paesi con standard di sicurezza più bassi
- Carte false con banda magnetica per i pagamenti in modalità di emergenza
- Gruppi organizzati attivi su più continenti contemporaneamente
- Terminali infettati nelle stazioni di servizio autostradali
Il grande vantaggio per i criminali è che oggi la loro tecnologia risulta praticamente invisibile per chiunque utilizzi bancomat o terminali di pagamento.
Un nuovo fronte: il furto di dati nei negozi online
Una tendenza molto marcata degli ultimi anni è lo spostamento delle frodi dai bancomat fisici alla rete internet. I negozi online sono diventati un bersaglio ideale, perché una singola infezione riuscita consente di sottrarre i dati delle carte di migliaia di clienti in una volta sola.
Il meccanismo è sorprendentemente semplice. I cybercriminali iniettano uno script malevolo nella pagina di pagamento. Possono bastare letteralmente poche righe di codice JavaScript, non visibili a prima vista. Quando il cliente inserisce i dati della carta — numero, data di scadenza, codice di sicurezza a tre cifre — lo script li trasmette di nascosto a un server controllato dagli aggressori.
Ricercatori dell’Università di Amsterdam hanno analizzato oltre diecimila negozi online e scoperto che quasi l’otto percento di essi conteneva qualche forma di codice sospetto. Molti gestori non ne erano affatto a conoscenza, poiché l’infezione era avvenuta attraverso servizi esterni.
Attacchi tramite i fornitori di servizi esterni
Moltissimi negozi online si affidano a piattaforme di e-commerce già pronte, plugin analitici e pubblicitari. Per i criminali si tratta di un’opportunità enorme. Invece di attaccare un negozio alla volta, puntano a prendere il controllo del fornitore di uno di questi componenti aggiuntivi.
Se riescono a infettare uno strumento utilizzato da migliaia di siti web, il codice malevolo si propaga istantaneamente all’intera rete di negozi. Negli ultimi anni sono stati documentati attacchi in cui, con questo metodo, sono stati sottratti centinaia di milioni di numeri di carte, inclusi dati provenienti da negozi europei.
Esperti della Agenzia Nazionale britannica per la criminalità informatica hanno documentato un caso in cui gli hacker avevano compromesso un popolare plugin per la gestione del carrello della spesa. La versione infettata si è aggiornata automaticamente su oltre quindicimila siti web contemporaneamente. Prima che il problema venisse scoperto, gli aggressori erano riusciti a raccogliere i dati di circa duecentomila carte di pagamento.
Script nascosti nelle immagini e nelle pagine di errore
Per rendere più difficile il rilevamento, gli aggressori inventano tecniche di occultamento del codice sempre più creative. Accade che frammenti malevoli siano nascosti nelle piccole icone del sito oppure si spaccino per noti strumenti di analisi web.
Sono state documentate anche campagne in cui i criminali modificavano in modo impercettibile la pagina di errore “404 – pagina non trovata”. Una sottopagina del genere di solito non desta sospetti agli amministratori ed è scarsamente monitorata dai sistemi di sicurezza. Durante il processo di pagamento il cliente visualizzava un modulo apparentemente normale, e dopo aver inserito i propri dati la carta era già stata copiata. Al termine compariva un messaggio di “errore di sessione” che spiegava la necessità di ripetere la transazione.
- Codice malevolo nascosto nelle piccole icone del sito
- Pagine di errore 404 modificate con moduli di pagamento falsi
- Copie contraffatte di noti strumenti di analisi
- Script che imitano plugin legittimi per il tracciamento dei visitatori
- Moduli temporanei attivi soltanto durante il processo di pagamento
Agli occhi dell’utente sembra solo un fastidioso errore di pagamento. In realtà, la sua carta potrebbe essere già finita in un database venduto sui forum criminali.
Come usare la carta al bancomat e al terminale riducendo i rischi
Anche se le minacce sembrano allarmanti, alcune semplici abitudini riducono sensibilmente la probabilità che qualcuno intercetti i dati della tua carta nel mondo fisico.
Preferisci i pagamenti contactless: quando non devi inserire la carta nel lettore, la maggior parte dei dispositivi fisici di skimming perde qualsiasi utilità. Copri sempre la tastiera con il palmo della mano quando digiti il PIN, sia al bancomat che alla cassa.
Scegli bancomat all’interno di banche o centri commerciali, evitando dispositivi isolati in strada, soprattutto di notte. Controlla che le parti del frontale non siano allentate: un pannello mobile, cavi sporgenti o tracce di colla devono farti scattare immediatamente un campanello d’allarme.
Nelle stazioni di servizio utilizza i terminali più vicini all’edificio principale, perché di solito sono meglio sorvegliati. Se qualcosa ti sembra “strano” — la fessura per la carta ha un aspetto diverso dal solito, il display lampeggia, oppure noti elementi recentemente incollati attorno alla tastiera — rinuncia alla transazione e usa un altro dispositivo.
Acquisti online sicuri: regole semplici da seguire ogni giorno
I negozi online rappresentano oggi un campo di battaglia contro le frodi altrettanto importante dei bancomat. Gran parte della responsabilità ricade sui gestori dei negozi stessi, ma anche i clienti possono fare molto dalla loro parte.
Una soluzione molto efficace è avere una carta dedicata esclusivamente agli acquisti online, con un limite giornaliero e mensile basso. Anche se i dati finissero nelle mani dei criminali, non riuscirebbero a svuotare l’intero conto.
Molte banche offrono anche le cosiddette carte virtuali, ossia numeri temporanei monouso. Una volta completato l’acquisto, quel numero smette di funzionare. Gli aggressori possono tutt’al più rivendere un insieme di cifre inutilizzabili.
Attiva le notifiche push o gli SMS per ogni transazione con la carta. Un avviso immediato sul telefono ti permette di rilevare all’istante un addebito che non riconosci. Una reazione rapida offre alla banca maggiori possibilità di bloccare ulteriori tentativi di pagamento e di aiutarti a recuperare il denaro.
Presta attenzione agli avvisi del browser sui siti pericolosi. Durante il pagamento non dovrebbero comparire finestre strane, richieste di reinserire i dati o finestre pop-up che ti chiedono di accedere alla tua banca separatamente.
Qualsiasi modifica inattesa nel processo di pagamento — una finestra aggiuntiva, un modulo “anomalo”, un messaggio atipico — è un segnale per interrompere la transazione e verificare il negozio con attenzione.
Cosa evitare assolutamente nei pagamenti online
Non salvare il numero della carta nel browser né nell’app del negozio, specialmente su dispositivi usati su reti Wi-Fi pubbliche. Non accedere alla pagina di pagamento tramite link ricevuti da SMS o email sospette: digita sempre l’indirizzo del negozio manualmente.
Verifica che l’indirizzo inizi con “https” e che il nome del dominio non contenga errori ortografici o estensioni insolite. Mantieni una cautela particolare davanti alle “offerte del secolo” provenienti da negozi sconosciuti: è uno dei metodi più usati per carpire i dati delle carte.
Ricercatori dell’Università Carolina di Praga avvertono che proprio le finte promozioni e i prodotti inesistenti attirano ogni anno decine di migliaia di utenti italiani ed europei in trappola. I dati delle loro ricerche mostrano che quasi il trenta percento delle persone non presta attenzione ai certificati di sicurezza dei siti web.
Cosa devono fare i negozi online e perché questo conta per i clienti
I gestori dei negozi online hanno obblighi sempre più dettagliati in materia di protezione dei dati delle carte. Gli attuali standard di sicurezza richiedono che il proprietario del negozio sappia esattamente quale codice viene eseguito nella pagina di pagamento e da quali fonti esterne proviene.
Le buone pratiche includono, tra l’altro, la scansione periodica dei file alla ricerca di script sospetti, la limitazione del numero di plugin esterni e la configurazione di allarmi automatici ogni volta che un file del sito viene modificato senza autorizzazione.
In questo modo, anche in caso di violazione, il negozio ha la possibilità di intercettare rapidamente l’anomalia e bloccare ulteriori fughe di dati. Dal punto di vista dei clienti, vale la pena privilegiare i brand che comunicano apertamente le misure di sicurezza adottate e gli aggiornamenti dei propri sistemi.
Organizzazioni come le associazioni per il commercio elettronico raccomandano di acquistare da negozi con certificazione PCI DSS e gateway di pagamento sottoposti a verifiche periodiche. Questi negozi sono soggetti a controlli rigorosi e devono dimostrare il rispetto dei protocolli di sicurezza.
Perché il furto “invisibile” delle carte è così redditizio per i criminali
I dati delle carte di pagamento sono merce che viene scambiata su larga scala nei forum criminali. A seconda del Paese di emissione, del limite disponibile e della tipologia di carta, un set completo di informazioni può valere da pochi a qualche decina di dollari. Gli acquirenti li sfruttano per ordinare prodotti, prelevare contante in Paesi con sistemi di sicurezza più deboli, oppure per frodi nei giochi online e nei servizi digitali.
I criminali raramente prendono di mira singoli individui in modo mirato. Puntano tutto sul volume: uno script installato su un negozio online molto frequentato può raccogliere centinaia di migliaia di numeri di carte nel giro di poche settimane. Solo una parte di quel database viene effettivamente utilizzata, ma i profitti rimangono enormi.
Per l’utente comune, quindi, la chiave sta nella combinazione di due elementi: un uso consapevole della carta e un monitoraggio regolare del conto. Anche quando la banca rimborsa le somme sottratte, lo stress e le pratiche burocratiche possono durare settimane.
Una buona abitudine è dare un’occhiata rapida allo storico delle transazioni ogni pochi giorni, preferibilmente tramite l’app della banca. Molte persone si accorgono dei primi addebiti sospetti solo quando incappano per caso nell’estratto conto. Eppure i truffatori spesso “testano” la carta con importi bassi prima di procedere con un acquisto di valore più alto. Reagire prontamente a quel segnale può salvare l’intero saldo del conto. Non è forse meglio avere tranquillità e controllo che dover gestire le conseguenze per mesi?
