Attenti: clonare una carta di credito contactless è semplicissimo. Ecco come

Carta di credito contactless clonata? Un pirata informatico può farlo stando a distanza da voi. Gli bastano un'antenna e un lettore per rubare i vostri dati

Sentiamo parlare sempre più frequentemente di possibili furti di denaro da carte di credito contactless. Questa tipologia di carte è molto comoda da utilizzare, perché per piccoli importi non prevede la digitazione del codice pin, e la transazione avviene semplicemente accostando la carta al lettore POS. Un chip RFID (Radio Frequency Identification) contenuto nella contactless, contiene sotto forma di TAG i dati necessari alle transazioni. Accostando la carta al lettore, avviene uno scambio di energia per induzione, e il chip della carta viene alimentato. In quella frazione di secondo, tutti i dati presenti, possono essere modificati, aggiornati e soprattutto letti. È in quel momento che la carta contactless può essere clonata.

Visto in questi termini, un malintenzionato potrebbe teoricamente rubare i dati necessari, semplicemente avvicinando un lettore alla nostra carta. Siamo abituati a dei lettori POS che richiedono di accostare tantissimo la carta perché la comunicazione possa avvenire, ma non vuol dire che siano gli unici. In realtà per chi vuole frodare, è molto più semplice, sui siti di commercio elettronico chiunque, con poche centinaia di euro, può acquistare un’antenna RFID con una portata che può arrivare anche a 12 m. Quindi, non è necessario accostarsi più di tanto alla vittima perché questa si ritrovi con la carta contactless clonata.

Il side-channel, ossia il possibile attacco di pirati informatici nel tentativo di intercettare segnali utili da cui estrapolare i dati, avviene grazie alla tecnica del power-glitch. Questa consiste nell’interrompere momentaneamente l’alimentazione tra carta e lettore, così da guadagnare tempo e leggere più volte la comunicazione nel tentativo di rintracciare la chiave segreta. Un truffatore, potrebbe tranquillamente sostare all’esterno di un’attività commerciale con un’antenna in borsa, mentre questa raccoglie i dati delle carte da utilizzare in seguito, magari per acquisti online, se la carta di origine non è protetta da password, oppure come carta di credito contactless clonata, per piccoli acquisti.

Attualmente la chiave segreta di protezione è modificata frequentemente, nel tentativo di ridurre così le probabilità di furto di dati. Sono allo studio anche nuovi microchip in grado di auto alimentarsi, vanificando così il power-glitch, ma in attesa che questa nuova tecnologia antitruffa sia migliorata, stiamo attenti al nostro estratto conto e controlliamo eventuali transazioni che non ricordiamo di aver fatto.