Il problema è stato riscontrato in Gran Bretagna, dove il limite di 30 sterline può essere valicato senza lasciare traccia
I ricercatori di sicurezza di Positive Technologies hanno individuato una vulnerabilità a bordo del sistema contactless delle carte Visa, che permetterebbe di andare oltre il limite delle 30 sterline che, nel Regno Unito, permette di effettuare acquisti senza digitare pin, in modo analogo a quanto succede in Italia, a cifre non di molto differenti. In questo modo, gli hacker potrebbero entrare in possesso di una carta e, almeno in teoria, comprare beni e servizi dal costo maggiore, senza dover inserire alcuna chiave numerica.
Durante un proof-of-concept, effettuato presso cinque banche del Regno Unito, Leigh-Anne Galloway e Tim Yunusov non solo sono stati in grado di aggirare il limite di verifica indipendentemente dal terminale, ma hanno anche scoperto che la violazione è disponibile all’estero, dunque decisamente più grave, soprattutto in mesi di ferie, vacanze e viaggi.
Cosa succede
Per valicare il limite di spesa di 30 sterline, gli aggressori devono manipolare i campi di dati scambiati tra la carta e il terminale mentre è in corso una transazione. Difficile a dirsi, non a farsi. I ricercatori hanno scoperto che i criminali possono aggirare questi controlli utilizzando un dispositivo che intercetta la comunicazione tra la carta e il terminale di pagamento. “Questo – affermano – agisce come un proxy ed è noto per condurre attacchi man-in-the-middle (MITM)”. Data la portata potenziale, gli hacker possono anche utilizzare portafogli mobili come Google Pay per assumere il controllo delle carte Visa e sfruttarle senza nemmeno sbloccare il telefono.
La società ha affermato che la scoperta “evidenzia l’importanza di una maggiore sicurezza da parte della banca emittente – aggiungendo che – gli emittenti dovrebbero attuare misure per rilevare e bloccare questo ed altri vettori di attacco, che mirano ai pagamenti”. Anche perché, sebbene sia un tipo relativamente nuovo di frode, per le banche non pare essere una priorità. Leigh-Anne Galloway, responsabile della resilienza della cybersicurezza di Positive Technologies ha spiegato: “Gli emittenti devono essere più bravi nel far rispettare le proprie regole sul contactless, volte a migliorare gli standard del settore. I criminali graviteranno sempre più su tale aspetto, reputandolo conveniente e ancora poco protetto”.
