Della sicurezza delle carte contactless abbiamo spesso parlato. In queste settimane, tuttavia, l’argomento è tornato di grande attualità.
La cosa è nota da tempo: utenti terzi possono leggere i dati delle carte contactless semplicemente avvicinando loro un terminale dotato di chip NFC (Near Field Communication; ad esempio un qualunque smartphone Android di fascia medio-alta).
NFC consente una comunicazione bidirezionale a corto raggio (di solito circa una decina di centimetri); è quindi per questo motivo che la tecnologia è sempre più utilizzata non soltanto nelle carte contactless ma anche per la gestione dei nuovi meccanismi di pagamento che di fatto trasformano il dispositivo mobile in un “borsellino elettronico” (Apple Pay, Android Pay, Samsung Pay,…).
Le carte di credito contactless integrano un chip NFC ed un’antenna che rispondono alla richiesta di un terminale di pagamento (POS) usando una frequenza pari a 13,56 MHz.
Alcuni scanner creati da accademici consentono però di leggere i dati delle carte contactless da una distanza pari quasi ad un metro. Non solo. Chiunque sia dotato di uno smartphone con chip NFC può a sua volta leggere i dati delle carte di credito contactless avvicinando il dispositivo mobile.
Nei luoghi più affollati (si pensi ad esempio agli autobus stracolmi negli orari di punta…), quindi, potrebbe risultare tutt’altro che impossibile leggere i dati delle carte contactless conservati nei portafogli e nelle borse altrui.
Di recente i ricercatori spagnoli Ricardo Rodriguez e Jose Vila hanno illustrato una nuova modalità d’attacco che potrebbe essere sfruttata dagli sviluppatori di malware.
È infatti possibile creare codici malevoli capaci di sfruttare la presenza del chip NFC per leggere i dati della carta di credito contactless dell’utente.
Gli utenti, infatti, tengono lo smartphone Android generalmente molto vicino al portafoglio (nella borsa od in tasca). Ecco allora che un malware, una volta insediatosi sul telefono, può attivare l’utilizzo del chip NFC, leggere i dati delle carte contactless eventualmente presenti nelle immediate vicinanze e trasferirli altrove, ponendoli nelle mani di malintenzionati.
Lo studio di Rodriguez e Vila è documentato in questa pagina.
Nel caso di una carta di credito contactless, il pagamento viene autorizzato semplicemente avvicinando la carta stessa ad un terminale POS fintanto che la transazione non viene effettuata.
Chi installa un’app come Banking card reader NFC su un dispositivo Android dotato di chip NFC, può leggere i dati dalle carte di credito contactless.
Il chip NFC non restituisce però il “codice di sicurezza” (CVV code) posto sul retro della carta.
È quindi certamente vero che, in alcuni frangenti, ponendosi molto vicino alla carta contactless, un malintenzionato può leggerne i dati generali (numero e data di scadenza). Purtuttavia, questi non può effettuare acquisti su qualunque sito di ecommerce. Qualunque venditore che non richieda l’esplicito inserimento del CVV code, non sarà ritenuto responsabile nel caso di addebiti non riconiosciuti dal legittimo proprietario della carta di credito.
L’unico rischio, quindi, è che un malitenzionato possa leggere i dati della carta contactless ed utilizzarli su quei siti di ecommerce che non richiedono l’inserimento del CVV.
Le transazioni contactless, inoltre, utilizzando lo standard EMV: ogni volta che la carta viene usata, il circuito integrato (chip) genera un codice di autorizzazione univoco che non può essere nuovamente sfruttato per successive attività.
In altre parole, tutte le successive transazioni non possono usare lo stesso codice “usa e getta” adoperato nelle precedenti.
Il terminale che legge via NFC i dati della carta di credito contactless dovrebbe utilizzare le chiavi crittografiche desunte dal server dell’istituto bancario che accetta la transazione e dal sistema di pagamento. Dal momento che le chiavi crittografiche vengono emesse dai server della banca, effettuare delle indagini e risalire alla transazione truffaldina sarebbe piuttosto semplice.
Lo standard EMV usa la crittografia per proteggere le singole transazioni ma consente la memorizzazione di una serie di dati in chiaro nel chip presente sulla carta di credito. Sono proprio questi dati che, impiegando un lettore NFC (ad esempio mediante l’installazione dell’app precedentemente citata su un dispositivo Android compatibile), possono essere letti senza problemi (tra questi vi può essere anche la “storia” degli ultimi acquisti).
Purtroppo online esistono diversi siti web che permettono di effettuare acquisti senza la digitazione del codice CVV.
Chi disponesse di una o più carte contactless e non volesse correre rischi, può piegare a metà un foglio di carta stagnola ed inserirlo nel portafogli. All’interno di tale foglio posizionerà le carte contactless che, in questo modo, non risulteranno più rilevabili, neppure nelle immediate vicinanze.
Le carte contactless sono riconoscibili per la presenza, nella parte frontale, di un logo stampato che raffigura alcuni piccoli archi (vedere l’immagine ad inizio articolo).