La fantomatica truffa del pos contactless: ecco perché non è possibile

MIA17 Nomination
Quest'anno risulto tra i candidati al premio Macchianera 2018. Per votare dovete lasciare la vostra preferenza ad almeno 10 categorie.

Della serie “a volte ritornano“. Un vecchio post del 7 marzo 2016 pubblicato da un tal Antonio è stato nuovamente condiviso in questi giorni in merito ad una presunta truffa attraverso il sistema di pagamento contactless:

Lo sapete cosa ha in mano questo individuo?! E’ un POS mobile che legge le carte di credito e i bancomat contactless. Questo personaggio, uno dei tanti, si aggira nei luoghi affollati appoggiandolo a borse, giacche e pantaloni di ignari utenti, alla ricerca di una carta che esegue transazioni al solo avvicinamento dell’apparato. Prestare attenzione!!!

La foto circola da molto prima, venne riportata da un articolo del Dailymail del 17 febbraio 2016 (in Italia ci pensò Libero) e ancor prima, il 13 febbraio, da un tale Paul Jarvis (come raccontato dal Telegraph). Conoscevo il post, è stato successivamente rimosso e per fortuna l’avevo salvato appositamente su Archive:

So this guy was spotted wandering round with a Point of Sale (POS) device. All he has to do is key in a price less than £30 and then touch the device on the pocket that contains your wallet. Ching! You’ve just been charged automatically on your touch pay enabled credit/debit card…. We just tried this in my local pub with their POS device and it worked… (I’ve actually shown people this using the NFC function on my mobile to read their card data through their wallet to freak them out but this is the first time I’ve seen someone doing it for real). Time to invest in a screened wallet I guess…

La foto venne pubblicata ancor prima, l’otto febbraio 2016, dal sito russo Tjournal.ru citando un altro account Facebook di un presunto dipendente dell’azienda del noto antivirus “Kaspersky Lab” di nome Oleg Gorobets.

Perché non dovremmo allarmarci? Il primo problema riguarda il raggio di azione, come spiegato in un articolo del blog di Kaspersky Lab del 29 luglio 2015:

Il raggio della trasmissione NFC è breve, inferiore ai 3 cm, per cui per il furto c’è un primo impedimento fisico. Il lettore, in sostanza, dovrebbe essere collocato nelle immediatissime vicinanze della tessera, operazione che non passa certo inosservata.

 

Lo stesso articolo spiega che per riuscire in un’impresa del genere bisognerebbe costruire un lettore apposito, come già sviluppato da dei ricercatori dell’Università di Surrey:

Tuttavia, si potrebbe costruire un lettore in grado di funzionare con un raggio d’azione più ampio. Ad esempio, alcuni ricercatori dell’Università di Surrey hanno progettato uno scanner compatto in grado di leggere i dati NFC da una distanza di 80 cm.

Il problema successivo per il truffatore è la crittografia le cui chiavi vengono emesse dalla banca:

“In teoria, è possibile creare un terminale in grado di leggere i dati NFC di una carta direttamente dal portafoglio. Tuttavia, questo terminale dovrebbe utilizzare chiavi crittografiche prese dalla banca che accetta la transazione e dal sistema di pagamento. Le chiavi crittografiche vengono emesse dalla banca il che vuol dire che sarebbe facile rintracciare la truffa o effettuare delle indagini”, ci ha spiegato Alexander Taratorin, di Raiffeisen Bank.

Un ulteriore problema è la rintracciabilità dei pagamenti, permettendo alle forze dell’ordine di risalire al truffatore. Della serie “il gioco non vale la candela“.

Anche nel caso vi fosse un “super hacker” in combutta con il dipendente di una banca, chiunque venisse truffato verrà rimborsato in pochi giorni (grazie a garanzie come quelle del consorzio “Patti chiari” – leggi PDF) dopo aver presentato denuncia presso le autorità.

Un consiglio utile: attivate le notifiche SMS per i vostri pagamenti, così sarete sempre sicuri anche nel caso le vostre carte venissero clonate.

David Puente

Nato a Merida (Venezuela), vive in Italia dall'età di 7 anni. Laureato presso l'Università degli Studi di Udine, opera nel campo della comunicazione e della programmazione web.
REGOLAMENTO DELLA DISCUSSIONE
Non sono consentiti:
- messaggi off-topic (tradotto: non inerenti al tema trattato)
- messaggi anonimi (registratevi almeno a Disqus)
- messaggi pubblicitari o riportanti link truffaldini (verranno sempre moderati i commenti contenenti link esterni)
- messaggi offensivi o contenenti turpiloquio
- messaggi razzisti o sessisti
- messaggi il cui contenuto costituisce una violazione delle leggi italiane (istigazione a delinquere o alla violenza, diffamazione, ecc.)
Se vuoi discutere in maniera costruttiva ed educata sei il benvenuto, mentre maleducati, fanatici ed esaltati sono cortesemente invitati a commentare altrove.
Comunque il proprietario di questo blog potrà in qualsiasi momento, a suo insindacabile giudizio, cancellare i messaggi che violeranno queste semplici regole. I maleducati (soprattutto se anonimi) verranno bloccati. In ogni caso il proprietario del blog non potrà essere ritenuto responsabile per eventuali messaggi lesivi di diritti di terzi.

Regolamento in vigore dal 5 settembre 2016 - Aggiornato 26 agosto 2017.