Contactless, ma quali frodi? Tranquilli: c’è poco rischio

Recentemente sono apparsi sui media diversi articoli in merito alla possibilità che la nostra carta contact-less venga utilizzata a nostra insaputa per effettuare transazioni di pagamento ed altro. Nella continua rincorsa tra i tecnici dei sistemi di pagamento e i malfattori, ci troviamo di fronte a qualcosa che è inaspettato oppure che è ben noto e sotto il controllo delle procedure operative che governano complessivamente il sistema dei pagamenti?

Le carte di pagamento contact-less, siano esse di credito che di debito, contengono un chip di tipo passivo, cioè che necessita di alimentazione affinché tali carte possano funzionare. Per dare l’alimentazione è inserita nella carta una antenna che viene innescata dalle onde elettromagnetiche che la investono, trasformandole in alimentazione per il chip, rendendo cioè operativo il chip e quindi permettendo il funzionamento della carta [1]. Normalmente è il POS l’apparecchiatura che crea questo campo elettromagnetico ma potrebbe essere un qualunque terminale, di tipo attivo e cioè con una batteria (fonte di alimentazione), che voglia “dialogare” con la carta. Ma non basta che il chip sia alimentato, per poter dialogare con esso occorre anche utilizzare un linguaggio conosciuto dalla nostra carta (il cosiddetto protocollo) e soprattutto condividere le chiavi di sicurezza che permettono alla carta ed al terminale che vuole dialogare con essa di identificarsi, comprendersi e quindi di scambiarsi i dati.

Non tutti i dati residenti sulla carta sono trasmessi e alcuni dati sono trasmessi in chiaro mentre altri sono inviati in modo mascherato tramite algoritmi crittografici; questo per permettere ai vari attori presenti nella filiera dei sistemi di pagamento di venire a conoscenza solo delle informazioni di pertinenza.

Oggi è possibile, grazie alla disponibilità delle nuove tecnologie, dotarsi di terminali che emulano il funzionamento dei POS, protocolli e chiavi di sicurezza inclusi, così da indurre la carta a trasmettere i dati in essa inseriti. Con la diffusione infatti degli smartphone e delle applicazioni di “mobile-Pos” è oggi relativamente semplice avere un dispositivo con tali caratteristiche. E’ questo il caso in cui effettivamente si riesce a dialogare con una carta ed ad ottenere dalla stessa le informazioni che potrebbero essere utilizzate a fini fraudolenti. Occorre però considerare che nella progettazione del sistema esistono diversi livelli di sicurezza e diversi attori che innalzano ciascuno la sicurezza complessiva risultante, rendendo oltremodo difficoltoso potervi fare breccia.

Analizziamo a tal fine le casistiche di utilizzo delle informazioni ottenute dalle carte, proprio con l’utilizzo di una apparecchiatura formalmente adatta a dialogare legittimamente con una carta, e vediamo quali conseguenze pratiche possiamo aspettarci.

Diamo quindi per scontato di aver acquisito i dati completi di una transazione contact-less che non abbia richiesto la digitazione del PIN o altro per la sua convalida, senza che il legittimo titolare se ne sia accorto [2] e vediamone i possibili utilizzi da parte di un “frodatore”:

• Realizzare una carta di pagamento per effettuare pagamenti del tipo Card-Present
  Le informazioni trasmesse in modalità cless non contengono il campo CVV1 necessario per magnetizzare correttamente una banda magnetica e nemmeno le chiavi di sicurezza di colui che ha emesso la carta. Non risulta pertanto possibile clonare il chip della nostra carta. Pertanto le informazioni catturate non permettono né la clonazione magnetica né quella a chip sia nelle modalità EMV (tipicamente europee) e nemmeno in quelle chiamate Magnetic-Stripe-Emulation. In altre parole, se l’intento del frodatore fosse quello di effettuare tale attacco, non riuscirebbe ad ottenere le informazioni necessarie, facendolo desistere immediatamente.
• Effettuare transazioni in internet o in altri canali dove non è richiesta la presenza della carta fisica in modalità Card-not-Present
  Poiché tra le informazioni trasmesse non vi è neppure il CVV2 (il codice di sicurezza stampato sul retro della carta) non risulta possibile effettuare transazioni in cui è richiesta la digitazione di tale parametro o presso gli esercenti che utilizzano gli ambienti 3D-Secure (VerifyByVisa e SecureCodeMastercard) perché il frodatore dovrebbe conoscere le nostre informazioni di sicurezza che condividiamo solo con chi ci ha fornito la carta. Risulta pertanto possibile effettuare transazioni solo su esercenti che operano al di fuori degli schemi di sicurezza (ormai pochi) e le cui transazioni sono tutte ripudiabili dal titolare, esattamente come oggi può capitare nel caso di attacchi effettuati sulla base della metodologia di “guessing” oppure nel caso di presentazioni di più movimenti da parte degli esercenti o ancora nel caso di possibili annotazioni furtive da parte di terzi del PAN delle carte nelle varie occasioni di utilizzo. Come regola, il controllo dell’estratto conto dei movimenti è il mezzo più semplice e sicuro per evitare sorprese, di ogni tipo, anche in presenza di importi con valori che non comportano l’invio dei messaggi SMS che, laddove invece li ricevessimo, potrebbero istantaneamente farci accorgere di qualche attacco ai nostri fondi. All’atto pratico e per le nostre finalità, anche questo intento verrebbe vanificato dalle misure di sicurezza complessive del sistema ed il frodatore non troverebbe alcun pratico riscontro.
• Accreditare gli importi delle transazioni catturate su un conto da cui attingere
  Essendo il nostro frodatore nell’impossibilità di utilizzare praticamente e in modo massivo le informazioni catturate, potrebbe essere indotto a utilizzare le transazioni “carpite”come se fosse un esercente, presentandole all’incasso. Stiamo parlando ovviamente di transazioni di limitato importo e che non hanno innescato da parte dell’emittente la nostra carta l’invio degli SMS di verifica e controllo. Ma, per poter chiedere l’incasso, il nostro frodatore deve aver non solo acquisito l’apparecchiatura ed i relativi software di corredo, ma deve aver soprattutto sottoscritto una convenzione con un soggetto licenziatario dei circuiti di pagamento che hanno non solo verificato preventivamente il suo profilo ma che possono ovviamente rivalersi sullo stesso (o direttamente in altri casi) nel caso fossero presentati i ripudi delle transazioni. Nel momento infatti della presentazione all’incasso delle transazioni carpite, verrebbero innescate le informazioni di sistema in grado di segnalare all’emittente della nostra carta tali transazioni, le quali verrebbero riportate nell’estratto conto (come nel caso particolare visto precedentemente) consentendo al titolare il loro ripudio ed il riaccredito immediato. Quindi, anche questo caso non lascia molto spazio operativo al nostro frodatore e l’intento è sicuramente non raggiungibile.

Le tre tipologie di utilizzo dei dati catturati non danno quindi molte possibilità di effettuare degli attacchi significativi, cioè che diano reale vantaggio al frodatore. Consideriamo inoltre che per i pagamenti contact-less (o NFC per riferirsi alla componente tecnologica che si sta diffondendo negli smart-phone) gli operatori del settore stanno ormai adottando la metodologia della Tokenization che innalza ulteriormente il livello di sicurezza. La tokenization maschera infatti il PAN ed altre informazioni rendendole non più riutilizzabili nei terminali POS, negli esercenti e nei gestori autorizzativi (acquirer) intermedi. Anche se filosoficamente “non esiste la sicurezza assoluta” possiamo affermare che il sistema è protetto nella sua interezza e con la partecipazione attiva di tutti gli attori che vi concorrono: erogatori di servizi e consumatori; in tal senso, l’allarme innescato sulla componente tecnologica carta contact-less può quindi essere addirittura spunto per una azione di miglioramento della comunicazione e di incentivazione all’uso.

Senza pretendere una laurea di ingegneria (in telecomunicazioni oggi, domani chissà) da nessuno, ma richiedendo un minimo di attenzione a tutti, si potrà sempre di più sfruttare le innegabili comodità della evoluzione tecnologica, oggi e domani.