Una nuova truffa, che riguarda i dispositivi Pos di ultima generazione, è stata segnalata da un ingegnere informatico italiano.
Il pagamento POS (Point of Sale) è ormai una modalità sempre più diffusa in tutto il mondo ed è divenuta indispensabile per le transazioni commerciali. Da alcuni anni, in Italia è anche in vigore l’obbligo per liberi professionisti e commercianti di accettare pagamenti elettronici.
Bisogna, però, fare attenzione quando si utilizzano questi strumenti, considerate le numerose truffe messe a punto dai cybercriminali. Una di queste è stata individuata e segnalata da un ingegnere informatico italiano che ha lanciato l’allarme sui dispositivi Pos di ultima generazione. Questi potrebbero essere usati dai malviventi per clonare le carte di credito.
Jacopo Jannone, ingegnere informatico italiano, ha segnalato una nuova truffa che riguarda i pagamenti Pos. Un raggiro che permetterebbe ai criminali di entrare in possesso di dati sensibili, poi utilizzati per clonare carte di credito e bancomat, come accade per le truffe che sfruttano la tecnologia Nfc.
L’esperto, nel dettaglio, ha analizzato le vulnerabilità dei nuovi Pos basati su sistema operativo Android che dispongono di tecnologie più innovative, per rendere più veloci i pagamenti, ma che sarebbero più facilmente sfruttabili dai cybercriminali. Jannone, ai microfoni di Wired, ha spiegato che tali dispositivi assomigliano sempre più agli smartphone e, come questi, sono dotati di un sistema operativo Android, dunque, con livelli di interazione più complessi, come il collegamento Usb. Queste caratteristiche, però, aumenterebbero la possibilità di attacchi da parte di hacker. Quest’ultimi potrebbero entrare in possesso dei dati della carta facendo sì che, al momento del pagamento elettronico, i dati trasmessi finiscano in una loro banca dati.
Jannone ha poi proseguito spiegando che alcuni dati, come numero di serie e data di scadenza, possono essere rubati in modo “analogico”, come una semplice foto, per il Pin, però, il discorso cambia ed è questa la falla individuata dall’esperto nel sistema: sarebbe, difatti, possibile ai cybercriminali registrarlo nel momento in cui viene digitato dal cliente sul dispositivo. Fortunatamente tutto questo non può avvenire da remoto, ma si deve agire fisicamente sul terminale. Una manomissione non del tutto impossibile per l’ingegnere informatico che ipotizza due scenari: una modifica da parte dello stesso titolare del dispositivo o manomissioni dei criminali nel caso in cui riescano ad “entrare” nella catena di distribuzione.
Infine, Jannone spiega che nel “Proof of Concept” da lui realizzato il collegamento per rubare i dati richiede un collegamento alla stessa rete Wi-Fi del dispositivo, ma non è del tutto da escludere, a suo avviso, la possibilità che si riescano a mettere a punto varianti di attacchi hacker in grado di consentire la trasmissione dei dati via web, circostanza che aumenterebbe la possibilità dei criminali di clonare le carte.