Sapete che per clonare una carta contactless, ovvero le carte che tutti abbiamo, basta meno di 1 secondo?
Nel momento esatto in cui avviciniamo la carta al lettore avviene uno scambio di energia, e lì gli attuali chip contactless sono molto vulnerabili al furto di dati.
Pagare con le carte di credito contactless è rapido e comodo, ma ancora non abbastanza sicuro. Ricordiamoci che ad oggi, tutto quello che é semplice risulta abbastanza vulnerabile.
Avete presente quando per pagare con la vostra carta di credito o bancomat dovete digitarne il pin? Questione di pochi secondi è vero, ma dopo aver “cancellato” il denaro digitalizzandolo si punta ad azzerare anche questa “micro-attesa”. Ogni step viene automatizzato, reso invisibile. Eppure l’invisibile ai nostri occhi è in verità una giungla di dati e segnali che rimbalzano da un dispositivo ad un altro. Messaggi, mail, transazioni, il costo di un caffè acquistato al bar, tutto viaggia nell’etere. Sono dati che chi conosce questo mondo può cogliere, leggere e riusare a scopo malevolo. Come il wi-fi di casa nostra può essere “sniffato” (spesso dal simpatico vicino scroccone), lo stesso vale per le microtransazioni senza contatto.
Cerchiamo di capire come funziona il cip delle carte contactless.
I chip Rfid presenti sulle carte bancarie sono il cuore delle transazioni contactless. Troviamo questi chip nei pos, ma anche sotto forma di Nfc negli smartphone e nei sempre più diffusi wearables, tutti quanti ormai utilizzabili per pagare. La tecnologia Radio-Frequency Identification permette l’identificazione delle informazioni grazie a dati immagazzinati sotto forma di tag, o etichette elettroniche, che vengono interrogati da dispositivi a distanza, i cosiddetti lettori o reader.
Rispetto alle “vecchie” bande magnetiche o ai codici a barre, i dati nel chip possono essere letti, modificati e aggiornati in una frazione di secondo.
Il momento esatto in cui possono fregarci i soldi
Ogni volta che avviciniamo la carta ad un lettore avviene uno scambio di energia per induzione proveniente dal lettore stesso, che va ad alimentare la carta. Durante questa comunicazione tra carta e lettore, un hacker abbastanza bravo ha la possibilità di cogliere segnali utili per estrarre dati sensibili, un attacco noto come side-channel.
A questo punto, basta utilizzare un’app come questa scaricabile tranquillamente dal Play Store per Android, per clonare tutti i dati della carta di credito che abbiamo nel portafogli. Lo sviluppatore giustifica l’utilizzo dell’applicazione per usi privati ma, nessuno toglie che qualche malintenzionato possa utilizzarla per rubare dati sensibili in giro per la cittá. Una volta installata l’app, basta avvicinare lo smartphone al portafogli per clonare tutte le carte al suo interno. Immaginate una scena del genere in un luogo affollato, chiunque puó avvicinarsi e clonare carte indisturbato.
Come difendersi? Basta utilizzare il buon senso e tenere il portafogli lontano dai pantaloni, possibilmente nella giacca. Qualora non fosse possibile, in commercio esistono molti portafogli anti clonazione come quelli con il portacarte in metallo.
Fonte: https://smartmoney.startupitalia.eu/payments/52648-20160307-clonare-carta-contactless-1-secondo