Tutte le transazioni con Carta Credito a Rischio - Nota di redazione : Le informazioni contenute nell'articolo che segue non sono state verificate. Si invita pertanto il lettore a NON prendere tali informazioni per oro colato. Potrebbe trattarsi di una burla come invece essere vere e reali.
Già l’anno scorso nella conferenza degli hacker della CCC (Chaos Computer Club) di Berlino, ha fatto scalpore la semplicità del sistema di decrypt dell’algoritmo del protocollo GSM per le comunicazioni che, unitamente ai sistemi di sniffing dei segnali GSM tramite sistemi portatili simili a un ponte radio GSM, come quelli inizialmente introdotti dalla GCOM Technologies che si sostituiscono in maniera forzata al ponte ufficiale del gestore, consentendo di decodificare il segnale radio (ovviamente dopo che è avvenuto l'interfacciamento con la centrale del gestore tramite un ponte radio BTS reale altrimenti, come già detto, ogni forma di decriptazione "stand alone" senza i dati della SIM CARD è a tutt'oggi considerata estremamente difficile). In pratica il sistema, dopo avere acquisito i dati dell'utente come farebbe una qualsiasi stazione radio terrestre, si presenta al ponte radio più vicino come il cellulare GSM che stà effettuando la chiamata, e al cellulare GSM come il ponte radio terrestre (BTS).
Questa panoramica, permette di clonare il segnale GSM ed acquisire i dati identificativi della SIM card, le applicazioni di un sistema del genere possono essere tante, dall'intercettazione “on the fly” delle conversazione, al monitoraggio delle trasmissioni del cellulare GSM clonato all'utilizzo del sistema per realizzare conversazioni a costo zero per chi implementa il BTS.
Un'altra applicazione, di cui non si era ancora parlato era quella di utilizzare questa tecnologia applicandola ai sistemi di trasmissione dati dei GSM, specie i lettori portatili di carte di credito o POS (Point Of Sale) basati su tecnologia GSM, infatti, un POS GSM non è altro che una stampante digitale termica applicata ad un apparecchio telefonico GSM o telefonino che permette di realizzare transazioni utilizzando una trasmissione modem tramite il GSM, attraverso un sistema d’intercettazione del segnale GSM, è possibile attuare un ponte radio BTS temporaneo tra il BTS del operatore e il POS GSM, intervenendo in questo modo è possibile decriptare le informazioni trasmesse dal GSM, il ponte così creato si interpone tra il POS GSM e la centrale autorizzazioni a cui questo effettua la chiamata.
Attraverso questo sistema è possibile creare un ponte di clonaggio delle transazioni d’una banca o delle transazioni di un ristorante o di un albergo di lusso, così facendo è possibile acquisire i dati delle carte di credito che passano per il POS GSM, per poter poi utilizzarle a piacere.
Questo sistema é utilizzato molto spesso sulle linee analogiche dove pero’ la difficoltà di fare modifiche nelle cabine telefoniche è maggiore.
Un altro metodo d’utilizzo è semplice, passando una carta di credito qualunque sul POS intercettato si richiede l'autorizzazione per il pagamento di una cifra, certamente la carta di credito non ha la possibilità o la disponibilità per fare il pagamento, il BTS temporaneo permette il collegamento del modem GSM dell'apparecchio POS, intercetta la richiesta e a sua volta invia, tramite un programma di computer, una serie di richieste d’addebito utilizzando numeri di carta di credito rubati o clonati precedentemente da banche o esercizi commerciali, così al gestore delle carte di credito risulta che il commerciante ha realizzato un numero indefinito di transazioni che ammontano più o meno alla cifra richiesta dalla prima carta, una volta raggiunta la cifra con svariate carte, si utilizza la chiave che sblocca l'OK della carta iniziale che viene inviata in riposta al POS originario, il quale stampa la ricevuta di avvenuta transazione positiva, avendo ricevuto la chiave corretta in risposta, ci sono casi in cui nel POS viene sostituita la SIM card con una di cui si hanno tutti i parametri, oppure di cui si ha un clone.
Questo sistema, è utilizzabile sia “on the fly” sia mentre il POS non realizza richieste, utilizzando “off line” il sistema si ottiene soltanto che con il codice dell'esercente vengano realizzate delle transazioni senza alcun beneficio economico, e lì che entrano in gioco i buchi nel sistema di gestione delle carte di credito, poniamo il caso di CartaSi e la gestione delle carte Visa e Mastercard in Italia, se il proprietario di una carta di credito degli USA in viaggio in Italia, va ad un ristorante e striscia il pagamento della sua cena, il sistema CartaSi funziona nella seguente maniera, il cliente striscia la carta dall'esercente, il POS chiama CartaSi e richiede l'autorizzazione, inviando i seguenti dati:
a. Nome ed indirizzo dell’acquirente;
b. Numero della Carta di Credito e data di scadenza;
c. Data di rilascio;
d. Valore dell’acquisto
Il tutto “packed” col codice dell’esercente e la chiave di registro, il sistema informatico di CartaSi richiede, attraverso network di sicurezza tipo Holonet IAT o Anacom, l'autorizzazione all'emittente della carta, banca o finanziaria, l'emittente della carta autorizza la transazione in base al fido e la trasmette a CartaSi, CartaSi a sua volta genera la chiave d’accettazione e l'invia al POS dell'esercente che ne ha fatto richiesta in base al numero della transazione richiesta, il POS stampa la ricevuta di avvenuto pagamento col numero dell'autorizzazione, entro 24 ore CartaSi accredita sul conto dell'esercente la cifra al lordo o netto asseconda del contratto dell'operazione.
Fin qui, tutto normale, e se l'esercente fornisce prodotti che non possono essere acquistati ma che prevedono un piccolo periodo d'attesa?
Supponiamo che l'acquirente voglia comprare un'automobile e che l'esercente richieda che l'accredito in banca della somma richiesta sia avvenuto per consegnarla?
Allora il sistema si rivela molto utile, invece di passare carte clonate un'infinità di volte dall'esercente, basta implementare un BTS sulla linea GSM, intercettare le transazioni del POS e il gioco è fatto, l'esercente riceve la conferma del pagamento por parte della carta e non solo, riceve entro 24 ore anche l'accredito della cifra pattuita, in un caso studiato, l'accredito variava di poco, per esempio su di una richiesta di 10.000,00 euro l'accredito era di 9.999,12 euro, l'esercente, vedendosi accreditare i soldi richiesti, consegna l'autovettura all'acquirente.
Il sistema d'allarme delle Carte di Credito comunque in questo caso fa acqua, perché per acquistare il prodotto in realtà sono state realizzate decine di transazioni, alcune andate a buon fine ed altre no, con altre tante numeri di carte di credito clonate, l'esercente da parte sua crede di aver realizzato una sola transazione e non sospetta nulla, mentre i reali proprietari delle carte di credito clonate scoprono di essere stati derubati e fanno denuncia al proprio emittente e mentre questo attiva le procedure di allarme verso la centrale antifrode di CartaSi, possono passare dai dieci ai quindici giorni, tempo più che sufficiente per far si che chi ha utilizzato il sistema possa, sia andar via con la merce, sia farla sparire in qualsiasi parte di Europa.
Questa tipologia di truffa, non è teorica, certamente richiede pianificazione e scaltrezza, un caso, in discussione nei tribunali di Napoli in questi giorni, riguarda un imprenditore campano il quale è stato truffato utilizzando questo sistema per oltre mezzo milione d’euro, l'imprenditore ha ricevuto la richiesta di acquisto di animali pregiati por parte di alcuni acquirenti francesi i quali hanno richiesto di pagare per diversi giorni le fatture di vendita tramite le loro carte ORO e PLATINUM, dopo aver concluso con esito positivo tutte le transazioni, di aver ricevuto gli accrediti delle stesse, e non solo, di aver consegnato tutta la merce agli acquirenti, si è ritrovato con il fatto che tutte le transazioni realizzate e accreditate, venissero contestate da CartaSi, accusando lui direttamente della truffa ai danni di migliaia di possessori di carte di credito negli Stati Uniti, la truffa è stata possibile, grazie ad questo sistema, ed, ironia della sorte chi, l'ha subita, cioè l'imprenditore in questione non solo è stato derubato della propria merce ma si trova a dover rispondere direttamente dall'accusa di truffa por parte di CartaSi, mentre chi l'ha perpetrata probabilmente, una volta collaudato il sistema, resta ancora libero di replicare l'operazione.
Certamente, se i sistemi di gestione dei pagamenti con carta di credito fanno acqua, infatti, si contano centinaia di fascicoli per truffe con carte di credito sulle scrivanie della polizia postale, così i sistemi per salvaguardare i dati sensibili, ossia le numerazioni delle carte di credito così come la sicurezza delle trasmissioni dei dati, sarebbe utile stabilire a chi appartiene seriamente la responsabilità penale ed economica di queste truffe, non è da attribuire soltanto ad organizzazioni criminali ma da imputare ai gestori delle transazioni, cioè, banche ed emittenti che non dimostrano ancora di essere in grado di salvaguardare gli interessi dei propri clienti, anzi, sarebbe ora di far si che l’emittenti delle carte di credito, che guadagnano non poco con le transazioni, investano di più nei sistemi di sicurezza e che risarciscano obbligatoriamente i danni supportati da utenti ed esercenti.
L’utilizzo di ponti radio GSM si sta sostituendo velocemente in tutta Europa, tanto che il numero di furti di carte di credito continuano a cresce esponenzialmente, solo questo anno, i numeri di carta di credito clonate è stato di oltre 200,000 duecentomila carte, più del 300% in relazione al solo 2009, l’ammontare delle cifre truffate, e spesso perse dagli esercenti, supera i € 100.000.000 cento milioni di euro, la maggior parte di queste truffe ricadono su i conti degli esercenti e quasi mai sui conti né degli emittenti né dei gestori come CartaSi che dovrebbero essere i principali responsabili sulla sicurezza dei dati e delle transazioni.
| < Prev | Next > |
|---|
