E’ opportuno ricordare scenari di minacce informatiche che possono inficiare il valore assicurato dall’impiego del servizio di pagamento elettronico, come il caso relativo alle carte contactless (senza contatto) e mobile wallet (portafoglio mobile).
In questi giorni di fervide trattative per il varo della legge finanziaria, i pagamenti elettronici sono sotto i riflettori degli organi di informazione e all’attenzione della classe politica e dei cittadini come mai avvenuto in precedenza.
E’ opportuno ricordare scenari di minacce informatiche che possono inficiare il valore assicurato dall’impiego del servizio di pagamento elettronico, come il caso relativo alle carte contactless (senza contatto) e mobile wallet (portafoglio mobile)
Nuove vulnerabilità offrono agli hacker la possibilità di aggirare i limiti di pagamento sulle carte contactless Visa indipendentemente dal terminale della carta, secondo una ricerca di Positive Technologies (Visa card vulnerability can bypass contactless limits.)
In un comunicato stampa del 29 luglio, Positive Technologies ha affermato che i ricercatori hanno testato più volte i difetti con cinque principali banche del Regno Unito e con carte e terminali al di fuori del Regno Unito. Hanno scoperto che i limiti potevano essere aggirati il 100% delle volte e potevano consentire a un attaccante di rubare dai conti.
Scenario di attacco
L’attacco funziona manipolando due campi di dati che vengono scambiati tra la carta e il terminale durante un pagamento contactless. Soprattutto nel Regno Unito, se il pagamento necessita di un’ulteriore verifica del titolare della carta (che è richiesta per pagamenti superiori a 30 sterline nel Regno Unito), le carte risponderanno “Non posso farlo”, il che impedisce di effettuare pagamenti oltre questo limite. In secondo luogo, il terminale utilizza impostazioni specifiche del paese, che richiedono che la carta o il portafoglio mobile forniscano un ulteriore verifica del titolare della carta, ad esempio inserendo il PIN della carta o l’autenticazione tramite impronta digitale sul telefono“, si legge nel comunicato stampa.
I controlli sono stati aggirati utilizzando un dispositivo che fungeva da proxy per intercettare la comunicazione tra il terminale di pagamento e la carta, un attacco noto come man in the middle (MITM). Questi attacchi MITM possono anche essere eseguiti utilizzando i portafogli mobili, consentendo a un truffatore di caricare fino a £ 30 senza sbloccare il telefono.