Gabriele “Charlie” Guizzardi

26 Aug, 2009

Rubare dati di Carte di Credito

Scritto da: Gabriele Guizzardi In: Programmazione|Sicurezza

E’ del 17 agosto l’ennesima notizia che negli Stati Uniti dei “geni del computer” sono riusciti ad impossessarsi di ben 130 milioni di codici di Carte di Credito dalla società Heartland Payment Sistems, una delle più grosse società di transazioni elettroniche, e dalla 7-Eleven, una catena di negozi presente oltre che negli Stati Uniti in 18 Paesi. Insomma… dei geni… direi più dei genialoidi se poi li hanno beccati!

carte-di-creditoSegnalo su tutti l’articolo di questo sito: http://www.carte-di-credito-online.com/2009/08/rubati-130-milioni-di-carte-di-credito.html

Rubare o impossessarsi (c’è differenza!) di numeri di carte di credito e dei relativi dati di scadenza e proprietà è una cosa alquanto semplice e, nonostante non possa addrentrarmi nei particolari poichè la mia piccola azienda crea proprio software per le transazioni di pagamento con le carte di credito, posso affermare, con fatti, dati alla mano e più di 10 anni d’esperienza, che, se domani volessi fare altrettanto, potrei impossessarmi di migliaia di codici di carte di credito validi e correntemente in uso (tra i quali molti stranieri), e di molti dati sensibili dei proprietari. Il tutto in pochi click del mouse, senza usare keylogger, phishing, virus o altri software di alcun tipo.

“Grazie” dirà qualcuno, “se scrivi tu i programmi che inviano i dati delle carte agli istituti di credito mi sembra facile pensare che si possano dirottare o altro…”. E’ vero, basterebbe modificare qualche riga di codice per inviarmi o salvare da qualche parte tutti i dati in transito. Però, oltre ad essere facile sarebbe anche molto pericoloso (e stupido), dopo aver scoperto la frode sarebbe elementare per la Polizia Postale (spero!) comprendere da dove è partito il furto.

Credetemi, invece, se vi dico che sarebbe altrettanto semplice intercettare le trasmissioni dei pagamenti con sistemi quali il “man in the middle” o addirittura la forzatura dei siti FTP sui quali, ancora oggi, vengono inviate le transazioni, spesso in modalità Offline, cioè non in tempo reale.

Tutto questo grazie a una somma di fattori quali:

  • utilizzo di file di testo per la raccolta e l’elaborazione dei dati (sembra incredibile ma è così,). Per darvi un’idea si tratta di file simili ai CSV, con o senza punteggiatura di separazione.
  • mancanza di sistemi di criptazione anche elementari (i dati spesso sono inviati perfettamente in chiaro).
  • assenza di procedure di sicurezza atte anche solo a debellare attacchi di ingegneria sociale (ci sono persone che al telefono vi raccontano pure cosa hanno mangiato a colazione).

Se a tutto questo aggiungiamo la mancanza di uno standard di protocollo dei dati e uno standard di trasmissione degli stessi (ogni banca o consorzio ha un proprio sistema trasmissivo) ecco che abbiamo il quadro completo dell’insicurezza (e del caos) dei nostri dati.

Per assurdo, comprare su Internet attraverso siti quali PayPal resta una modalità altamente sicura, sempre che questi siti non si lascino “sfuggire” i dati delle carte registrate in loro possesso.

Per fare un esempio nello specifico, ecco come funziona un collegamento Offline tra una cassa e chi riceve i dati delle transazioni:

1. una apparecchiatura (software + hardware) legge la traccia ISO della carta di credito.

2. il software di gestione (un apposito programma) crea un database o un file con i pagamenti.

3. lo stesso software oppure un altro legge questi dati e inizia la procedura di trasmissione.

4. per prima cosa instaura una connessione RAS componendo numero di telefono del server della banca o dell’azienda preposta, poi si autentica con username e password.

5. a questo punto ci si collega con il server FTP e ci si ri-autentica con un secondo username e un’altra password.

6. ultimo passo, vengono spedite sotto forma di file i dati delle transazioni.

Detto così sembra abbastanza sicuro ma non facciamoci ingannare dalla procedura, ricordiamo che i dati transitano in chiaro, pertanto, un attacco “man in the middle”, soprattutto durante la fase di connessione, la fase più debole della struttura, porterebbe ottimi risultati di successo.

Negli ultimi mesi, alcuni istituti di credito hanno tentato di trovare ulteriori forme di protezione criptando i dati in GPG o passando a  tecnologia SFTP ma siamo ancora lontano dalla vera sicurezza…

Related Posts with Thumbnails
Share and Enjoy:
  • Print
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Mixx
  • Google Bookmarks
  • Blogplay
PDF Download    Invia l'articolo in formato PDF a
Tags: , , , , , , , , , ,
0
votato
www.wikio.it

2 Responses to "Rubare dati di Carte di Credito"

1 | okeefee

December 11th, 2009 at 23:41

Avatar

ciao, al mio amico paolo lautizi, in australia, hanno clonato 2 carte in due giorni
e lui e’ sicuro che una e’ avvenuta durante il pagamento di un conto in un albergo.
paol dice di non aver mai abbandonato la carta ma dopo poche ore si e’ visto notificare dalla visa un sms:
“caro paolo lautizi” in indonesia hai speso l’equivalente di 800 dollari.”
il lautizi ha subito dennciato e bloccato e forse otterra’ il riaccredito.
il messaggio sms che avvisa sui movimenti – gratuito – e’ molto, molto utile

2 | lautizi

December 13th, 2009 at 00:21

Avatar

salve, sono paolo lautizi e confermo la sfiga per il doppio clonaggio di carte di credito. e non e’ la prima volta! anni fa in america successe la stessa cosa con la amex.
e mi fu cosi risposto: “caro paolo lautizi devi pagarci “. così ho paato i 2000 dollari rubati e poi ho restituito la amex.
sarei molto elice di tornare ai soldi cash, ma purtroppo non si puo’.
saluti da sidney

Comment Form

Categorie

Archivi

Links

View Gabriele Guizzardi's profile on LinkedIn

View Gabriele Guizzardi's profile on Google

View Gabriele Guizzardi's profile on Xing

Segnalato da

Servizi

Ricerca


  • Gabriele Guizzardi: Purtroppo l'elenco degli errori che ho pubblicato non c'entra nulla con il problema da te riscontrato ma vi si fa riferimento durante l'utilizzo di wi
  • chinaski: ciao! da qualche giorno XP mi chiede la password all'avvio senza che io l'abbia mai impostata non acetta nessuna password, e se lascio il campo
  • Matteo Cappelli: Ho capito allora, il cambio dell'indirizzo MAC funziona solo se all'interno dello stesso dominio di broadcast (ad esempio per ingannare uno switch e p

Chi Sono

Salve a tutti,
questo blog nasce per studiare WordPress e il mondo dei blog in genere quindi, almeno per il momento non vi aspettate molto. Usero' questo stumento per parlare di cio' che conosco meglio, a partire dalla programmazione dei computer. Su di me posso dire che ho iniziato a programmare agli inizi degli anni '80 con l'uscita dell'Atari 800XL e nel 1989 è uscito un mio videogioco distribuito dalla Lago Software. In tutti questi anni, oltre a lavorare come tecnico o programmatore, ho pubblicato diversi articoli e inseriti per diverse riviste: EG Elettronica Giovane, Elettronica Flash, Computer News, ecc. Dal 2000 ho creato una piccola software house specializzata in software aziendali realizzati ad hoc.

Pubblicit�

Pubblicit�


Copyright © 2009 Gabriele “Charlie” Guizzardi is proudly powered by WordPress

Fervens - C Theme is created by: Design Disease brought to you by Smashing Magazine