Carte di credito col chip, sono vulnerabili?
Carte di credito e bancomat con il chip (sistema EMV) sono molto piò sicure rispetto a quelle di vecchia generazione con la sola banda magnetica, ma nulla è inviolabile. Alla Black Hat security conference di Las Vegas sono stati mostrati due tipologie di attacchi che sono minacce concrete alla sicurezza delle carte dotate di chip. Il primo è stato ideato da due ricercatori della NCR Corporation, azienda che produce bancomat e lettori di schede. L’attacco consiste nel “convincere” l'apparecchio che gestisce i pagamenti a credere che la carta non è dotata di chip, la macchina a questo punto utilizzerà i dati che sono nella banda magnetica. Tutto questo si può ottenere controllando le informazioni trasmesse dal tastierino esterno con cui si inserisce il PIN, come quelli adoperati nei negozi o nei supermercati. La buona notizia è che questo tipo di attacco non funziona con i dispositivi che sono sempre online e che processano in tempo reale i pagamenti perchè l'istituto di credito che ha emesso la carta può immediatamente verificare l'incongruenza tra il fatto che la carta è dotata di chip e le informazioni arrivate dal POS e bloccare così il pagamento. Questo attacco non è frutto di una debolezza del sistema EMV, ma deriva dal fatto che sono ancora in circolazione carte con il sistema a banda magnetica.
Il secondo attacco, invece, riesce davvero ad incrinare la sicurezza dell'EMV. I ricercatori di Rapid7 hanno manomesso il lettore e questo vuol dire che, per portare a termine l'attacco bisogna avere l’accesso fisico all'apparecchio. Quando questo è possibile si inserisce un software che legge il numero dinamico che il chip genera per ogni transazione e lo trasmette all'hacker che l'ha installato. Un l'hacker veloce, che sa approfittare della validità limitata del numero, può adoperare i dati rubati e svuotare il conto.
EMVCo, il consorzio che gestisce EMV, fa sapere che i rischi di questo attacco sono veramente pochi per i possessori di carte perché troppo rischioso e molto difficile da eseguire.
Il secondo attacco, invece, riesce davvero ad incrinare la sicurezza dell'EMV. I ricercatori di Rapid7 hanno manomesso il lettore e questo vuol dire che, per portare a termine l'attacco bisogna avere l’accesso fisico all'apparecchio. Quando questo è possibile si inserisce un software che legge il numero dinamico che il chip genera per ogni transazione e lo trasmette all'hacker che l'ha installato. Un l'hacker veloce, che sa approfittare della validità limitata del numero, può adoperare i dati rubati e svuotare il conto.
EMVCo, il consorzio che gestisce EMV, fa sapere che i rischi di questo attacco sono veramente pochi per i possessori di carte perché troppo rischioso e molto difficile da eseguire.