A dicembre 2009 nella conferenza degli hacker del CCC (Chaos Computer Club) a Berlino, é stato presentato un sistema di decriptazione dell’algoritmo GSM, ormai mondialmente utilizzato, fin qui tutto normale, ormai si sa che intercettare in maniera illecita o meno il segnale di «n» cellulare GSM è una prassi molto comune.
Per poter intercettare il segnale a proprio vantaggio, ormai dal 2001, esistono in commercio sistemi che permettono di replicare o clonare «n» volte la scheda GSM di un telefonino, per questo c’è bisogno di entrare in possesso della SIM card del telefono per un breve periodo, e, utilizzando sistemi apparecchiature per la lettura e la scrittura delle SIM card poterne far una copia identica.
In questo caso se chi clona la SIM GSM desidera utilizzare a proprio vantaggio la stessa per fare telefonate a carico del reale utilizzatore della stessa, il gioco è presto fatto.
Diversamente, non avendo la possibilità di entrare in possesso della SIM card, si possono attuare altri metodi come per esempio, la clonazione on the fly del collegamento GSM attraverso un ponte radio terrestre BTS.
Esistono sistemi portatili che, di fatto, svolgono funzioni simili ad un ponte radio GSM. Questi apparecchi, introdotti per la prima volta da GCOM Technologies e poi copiati da altri laboratori, si sostituiscono in maniera forzata al ponte ufficiale del gestore, consentendo di decodificare il segnale radio (ovviamente dopo che è avvenuto l'interfacciamento con la centrale del gestore tramite un ponte radio BTS reale altrimenti, come già detto, ogni forma di decriptazione "stand alone" senza i dati della SIM CARD è a tutt'oggi considerata estremamente difficile). In pratica il sistema, dopo avere acquisito i dati dell'utente come farebbe una qualsiasi stazione radio terrestre, si presenta al ponte radio più vicino come il cellulare GSM che stà effettuando la chiamata, e al cellulare GSM come il ponte radio terrestre (BTS).
Questa panoramica, permette di clonare il segnale GSM ed acquisire i dati identificativi della SIM card, le applicazioni di un sistema del genere possono essere tante, dall’intercettazione on the fly delle conversazione, al monitoraggio delle trasmissioni del cellulare GSM clonato all’utilizzo del sistema per realizzare conversazioni a costo zero per chi implementa il BTS.
Un’altra applicazione, di cui non si era ancora parlato era quella di utilizzare questa tecnologia applicandola ai sistemi di trasmissione dati dei GSM, specie i lettori portatili di carte di credito o POS (Point Of Sale) basati su tecnologia GSM, infatti, un POS GSM non è altro che una stampante digitale termica applicata ad un apparecchio telefonico GSM o telefonino che permette di realizzare transazioni utilizzando una trasmissione modem tramite il GSM, attraverso un sistema di intercettazione del segnale GSM, è possibile attuare un ponte radio BTS temporaneo tra il BTS del operatore e il POS GSM, intervenendo in questo modo è possibile decriptare le informazioni trasmesse dal GSM, il ponte così creato si interpone tra il POS GSM e la centrale autorizzazioni a cui questo effettua la chiamata.
Attraverso questo sistema è possibile creare un ponte di clonaggio delle transazioni di una banca o delle transazioni di un ristorante o di un albergo di lusso, così facendo è possibile acquisire i dati delle carte di credito che passano per il POS GSM, per poter poi utilizzarle a piacere.
Un altro metodo di utilizzo è semplice, passando una carta di credito qualunque sul POS intercettato si richiede l’autorizzazione per il pagamento di una cifra X diciamo 10.000,00 euro, certamente la carta di credito non ha la possibilità o la disponibilità per effettuare il pagamento, il BTS temporaneo permette il collegamento del modem GSM dell’apparecchio POS, intercetta la richiesta e a sua volta invia, tramite un programma di computer, una serie di richieste di addebito utilizzando numeri di carta di credito rubati o clonati da banche o esercizi commerciali, così al gestore delle carte di credito risulta che il commerciante ha realizzato una numero indefinito di transazioni che ammontano più o meno alla cifra richiesta dalla prima carta, una volta raggiunta la cifra con svariate carte, si utilizza la chiave che sblocca l’OK della carta iniziale che viene inviata in riposta al POS originario, il quale stampa la ricevuta di avvenuta transazione positiva, avendo ricevuto la chiave corretta in risposta, ci sono casi in cui nel POS viene sostituita la SIM card con una di cui si hanno tutti i parametri, oppure di cui si ha una clone.
Questo sistema, è utilizzabile sia on the fly sia mentre il POS non realizza richieste, utilizzando off line il sistema si ottiene soltanto che con il codice dell’esercente vengano realizzate delle transazioni senza alcun beneficio economico, e lì che entrano in gioco i buchi nel sistema di gestione delle carte di credito, poniamo il caso di CartaSi e la gestione delle carte Visa e Mastercard in Italia, se il proprietario di una carta di credito degli USA in viaggio in Italia, va ad un ristorante e striscia il pagamento della sua cena, il sistema CartaSi funziona nella seguente maniera, il cliente striscia la carta dall’esercente, il POS chiama CartaSi e richiede l’autorizzazione, il sistema informatico di CartaSi richiede l’autorizzazione all’emittente della carta, banca X in Florida, l’emittente delle carta autorizza la transazione in base al fido della carta e la trasmette a CartaSi, CartaSi a sua volta genera la chiave di accettazione e l’invia al POS dell’esercente che ne ha fatto richiesta in base al numero della carta richiesta, il POS stampa la ricevuta di avvenuto pagamento col numero dell’autorizzazione, entro 24 ore CartaSi accredita sul conto dell’esercente la cifra al lordo o netto asseconda del contratto dell’operazione.
Fin qui, tutto normale, e se l’esercente fornisce prodotti che non possono essere acquistati ma che prevedono un piccolo periodo d’attesa?
Supponiamo che l’acquirente voglia comprare un’automobile e che l’esercente richieda che l’accredito in banca della somma richiesta sia avvenuto per consegnarla?
Allora il sistema si rivela molto utile, invece di passare carte clonate un’infinità di volte dall’esercente, basta implementare un BTS sulla linea GSM, c’è da dire che farlo su di una linea analogica è piuttosto semplice, intercettare le transazioni del POS e il gioco è fatto, l’esercente riceve la conferma del pagamento por parte della carta e non solo, riceve entro 24 ore anche l’accredito della cifra pattuita, in un caso studiato, l’accredito variava di poco, per esempio su di una richiesta di 10.000,00 euro l’accredito era di 9.999,12 euro, l’esercente, vedendosi accreditare i soldi richiesti, consegna l’autovettura all’acquirente.
Il sistema d’allarme delle Carte di Credito comunque in questo caso fa acqua, perché per acquistare il prodotto in realtà sono state realizzate decine di transazioni, alcune andate a buon fine ed altre no, con altre tante numeri di carte di credito clonate, l’esercente da parte sua crede di aver realizzato una sola transazione e non sospetta nulla, mentre i reali proprietari delle carte di credito clonate scoprono di essere stati derubati e fanno denuncia al proprio emittente e mentre l’emittente attiva le procedure di allarme verso la centrale antifrode di CartaSi, possono passare dai dieci ai quindici giorni, tempo più che sufficiente per far si che chi ha utilizzato il sistema possa, sia andar via con la merce, sia farla sparire in qualsiasi parte di Europa.
Questa tipologia di truffa, non è teorica, certamente richiede pianificazione e scaltrezza, un caso, attualmente in discussione nei tributali di Napoli, riguarda un imprenditore campano il quale è stato truffato utilizzando questo sistema per oltre mezzo milione di euro, l’imprenditore ha ricevuto la richiesta di acquisto di animali pregiati por parte di alcuni acquirenti francesi i quali hanno richiesto di pagare per diversi giorni le fatture di vendita tramite le loro carte ORO e PLATINUM, dopo aver concluso con esito positivo tutte le transazioni, di aver ricevuto gli accrediti delle stesse, e non solo, di aver consegnato tutta la merce agli acquirenti, si è ritrovato con il fatto che tutte le transazioni realizzate e accreditate, venissero contestate da CartaSi, accusando lui direttamente della truffa ai danni di migliaia di possessori di carte di credito negli Stati Uniti, la truffa è stata possibile, grazie ad questo sistema, ed, ironia della sorte chi, l‘ha subita, cioè l’imprenditore in questione non solo è stato derubato della propria merce ma si trova a dover rispondere direttamente dall’accusa di truffa por parte di CartaSi, mentre chi l’ha perpetrata probabilmente, una volta collaudato il sistema, resta ancora libero di replicare l’operazione.
Certamente chi attua un sistema del genere è conscio di violare numerosi articoli del codice penale, ma il sistema di gestione delle Carte di Credito attuato por parte di CartaSi, non lascia dubbi, permette che questo e molti altri sistemi truffaldini possano essere attuati.
| < Prev | Next > |
|---|
