LA FORTUNA NON È UNA STRATEGIA
1 Marzo 2021UN SACCO DI AVATAR INVOLONTARI
6 Aprile 2021Nei precedenti articoli abbiamo visto cosa sono e come funzionano gli autenticatori in più fattori e brevemente accennato ai loro punti di forza e criticità.
In questo cominceremo ad approfondire alcuni di quei sistemi che utilizziamo giornalmente e che molti ritengono – erroneamente – sicuri al 100%, a cominciare dall’ATM (Automatic Banking Machine, comunemente chiamato “bancomat”).
È un sistema di gestione finanziaria ritenuto sicuro, perfetto, moderno e inviolabile, almeno quanto il Titanic era ritenuto inaffondabile dai suoi ultimi passeggeri…
Non solo i bancomat sono vulnerabili ad attacchi di hacking, ma possono essere anche modificati materialmente in pochi secondi in maniera quasi impercettibile a un cliente disattento o che non sa dove guardare.
L’attacco più comune che un ATM possa subire è chiamato Skimming (dal verbo inglese to skim che significa strisciare, sfiorare): i truffatori si servono di speciali congegni che, applicati ai distributori automatici, sono in grado di copiare i dati contenuti nella banda magnetica delle carte e dei bancomat e di spiare inosservati il PIN mentre viene digitato sulla tastiera.
Il metodo considerato un “classico” del genere, utilizza uno scanner posizionato sopra la fessura in cui inseriamo la nostra carta: questi “skimmer” permettono infatti alla carta di passare liberamente attraverso di loro e, quindi, di entrare regolarmente nella cassa automatica e svolgere le nostre operazioni, ma nel frattempo copiano la banda magnetica e, nel caso di carte mastercard, visa o similari, anche i codici numerici sopra di essi.
Questa operazione avviene in modo talmente discreto che spesso la vittima scopre la violazione solo quando guardano cosa è rimasto nel proprio conto in banca anche dopo settimane dalla truffa.
Proprio il fatto che i bancomat usano lettori molto simili tra loro (specialmente le banche più conosciute), il mercato nero pullula di “skimmer” praticamente identici ai lettori originali, così ben fatti che è sempre più complicato per l’utente distinguere un bancomat manomesso da uno lecito.
Dagli articoli precedenti però sappiamo che il bancomat funziona con un’autenticazione in 2 fattori: qualcosa che abbiamo (il bancomat) e qualcosa che sappiamo (il PIN).
Per riuscire a fare qualcosa di “utile” con la nostra carta il truffatore avrà bisogno di entrambi questi dati e quindi sarà costretto ad abbinare al lettore di carte anche altri sistemi necessari per raccogliere quelle importanti 5 cifre.
Il metodo più comunque è quello di inserire delle microtelecamere all’interno del bancomat stesso, individuabili e riconoscibili per i piccoli forellini presenti nei punti strategici utili ad inquadrare il pin mentre viene digitato.
A questo punto la domanda spontanea diventa: come è possibile difendersi da un pericolo che non sospettiamo esserci in quanto ben celato e nascosto?
Ci vogliono (solo!) 10 secondi di prudenza preventiva per scoprire se qualcosa è stata manomessa.
Nel caso del bancomat, prima ancora di utilizzarlo e ancora prima di inserire la carta, è quasi sempre sufficiente verificare la solidità del lettore della scheda: se risulta anche solo leggermente allentato o se addirittura si scollega, vuol dire che probabilmente utilizzare quel bancomat non è una buona idea, mentre lo sarà avvertire la filiale della probabile manomissione.
La quasi totalità degli ATM o lettori di carte esterni (tipo quelli del benzinaio) sono necessariamente predisposti per resistere al meno aggraziato dei più rozzi clienti che lo possono utilizzare e, per rispondere ad un elevato utilizzo giornaliero, sono costruiti in maniera molto solida e ben “incastrata” nella macchina.
Quindi se è possibile muoverlo anche solo di pochi millimetri, bisogna essere molto cauti prima di utilizzarlo: tra l’altro è comunque sempre meglio sembrare leggermente paranoici mentre strapazziamo (senza esagerare) le componenti del bancomat, piuttosto che ritrovarsi con un conto in banca composto solo da zeri.
Un’altra buona pratica da eseguire è controllare che non siano presenti fori o segni di manomissione (residuo di colla o nastro adesivo per esempio) nei dintorni dello schermo e nella parte nelle vicinanze della tastiera dove si inserisce il PIN.
Per lo stesso motivo è buona norma controllare anche la stabilità dello stesso tastierino alfa-numerico, verificando che i suoi tasti siano ancora saldamente “inchiodati” alla macchina e non magari una loro duplicazione sovrapposta che trasmette o registra i dati che vi vengono inseriti (il PIN).
Ovviamente i metodi sopra citati ci concedono di avere un discreto margine di sicurezza, ma non la totale certezza della non manomissione dello sportello automatico: in questa ultima ipotesi, non appena ci si rende conto che i nostri dati (e risparmi) sono stati trafugati, occorrerò contattare subito la filiale e attivare immediatamente i sistemi di sicurezza e di blocco al fine di limitare il più possibile i danni che ci potrebbero venire ancora perpetrati.
Il tempo di reazione è vitale e va considerato che alcune banche hanno incluso tra i servizi alla clientela anche dei sistemi di tutela proprio contro questo tipo di furti, prevedendo a volte anche la restituzione di tutta o parte della somma sottratta, generalmente entro una finestra di tempo ragionevole dal fatto.
Ovviamente con l’avanzare del tempo e della tecnologia i lettori stessi si stanno evolvendo con nuovi criteri di sicurezza e nuove tecnologie e innovazioni al fine di aumentare la sicurezza dell’utente nell’utilizzare tali apparecchiature (uno dei più recenti prevede un ulteriore chip di lettura sulle carte che crea un codice unico e temporaneo valido solo in quel momento su quella macchina).
Nel prossimo articolo tratteremo lo stesso argomento del furto di dati, ma effettuato tramite mezzi digitali e senza quindi alcuna necessità di modificare o violare fisicamente un bancomat.