Come funzionano i meccanismi di sicurezza delle carte di credito?

[_nick_]

Quote:

Originariamente inviato da polteus

La falla consiste proprio nel fatto che la transazione non avviene completamente in modo criptato, ma trasmette in chiaro dati sensibili e lo fa senza controllare il dispositivo con cui dialoga, con il risultato che basta uno smartphone per sottrarre dati sensibili utilizzabili poi per effettuare acquisti fraudolenti online, senza bisogno di utilizzare un attacco di tipo phishing. Oltre alle pubblicazioni di rispettabili professionisti che si occupano di sicurezza, si trovano app nel Play Store che sfruttano questa falla con tanto di commenti in cui viene confermato che l'app funziona. E vogliamo ancora sostenere che sono dicerie o leggende metropolitane?

Dove sono prove tangibili? I "professionisti" di cui parli sono gli stessi che vendono presunte soluzioni di sicurezza. Se è così facile non credi che dovrebbe essere pieno di gente con i dati sottratti in questo modo? Invece nonostante le carte contact less ormai siano diffusissime le frodi sono scese quasi a zero se non per il phishing.

Anzi guarda visto che il play store ha dentro un app che lo fa prova a farlo tu con la tua carta o quella di un conoscente e vediamo.

Ma veramente credi che società enormi come quelle delle carte di credito si esporrebbero a roba del genere?!

[polteus]

Quote:

Originariamente inviato da _nick_

Dove sono prove tangibili? I "professionisti" di cui parli sono gli stessi che vendono presunte soluzioni di sicurezza.

Non sono solito giudicare sulla base di preconcetti: non mi interessa cosa vendono, mi interessa che nelle pubblicazioni illustrino i metodi che hanno applicato in modo che i loro risultati siano riproducibili. Ed in questo caso i risultati sono riproducibili.

Quote:

Originariamente inviato da _nick_

Anzi guarda visto che il play store ha dentro un app che lo fa prova a farlo tu con la tua carta o quella di un conoscente e vediamo.

L'ho già fatto con la carta paypass di un amico ed il suo nexus s.

Quote:

Originariamente inviato da _nick_

Se è così facile non credi che dovrebbe essere pieno di gente con i dati sottratti in questo modo? Invece nonostante le carte contact less ormai siano diffusissime le frodi sono scese quasi a zero se non per il phishing.

Essendo i dati sottratti attraverso questa falla utilizzati per acquisti online, non c'è modo di distinguere tra vittime di questa falla e vittime di phishing.

Quote:

Originariamente inviato da _nick_

Ma veramente credi che società enormi come quelle delle carte di credito si esporrebbero a roba del genere?!

L'evidenza dimostra che si sono esposte a questa falla. Il perchè dovresti chiederlo a loro, forse perchè ritengono poco probabile che qualcuno giri strusciandosi sulla gente per sottrarre i numeri delle loro carte, forse perchè hanno un tornaconto economico nel fare questo compromesso sulla sicurezza delle carte contactless.

[_nick_]

Quote:

Originariamente inviato da polteus

Non sono solito giudicare sulla base di preconcetti: non mi interessa cosa vendono

Non è un preconcetto si chiama buon senso. Cosa pensi che ti dica uno che ti vende un'associazione sui furti in casa? Che in casa tua non ruberanno mai? Stipuleresti un'assicurazione su queste basi?

Quote:

L'ho già fatto con la carta paypass di un amico ed il suo nexus s.

Bene, posti video o immagini? Ovviamente criptando i dati sensibili eh.


Edit: mi sfugge il tornaconto economico che ne avrebbero le società di carte e le banche nel favorire queste pratiche come tu ipotizzi posto che poi dovrebbero rimborsare i clienti. Capisci che c'è qualcosa che non va nei tuoi ragionamenti?

[perfectpitch]

Quote:

Originariamente inviato da ionet

purtroppo,a tutt'oggi,e' piu' facile clonare una carta di credito che falsare banconote

l'ultima poi ha dell'incredibile,le modernissime carte contactless sono nate proprio per farsi fregare,senza cacciare la carta dal portafoglio o essere toccati

basta che ti avvicinano uno smartphone,sara' stata valutata una eventualita' poco fattibile nelle grande metropoli dove si viaggia spiaccicati in metro,autobus etc

Ma va, l'operazione in contactless avviene solo ed esclusivamente se il pos o il sensore con crittografia unica è abilitato. Non esiste che ti passino a 4cm dalla carta così a caso e con un device che codifica la singola operazione

[polteus]

Quote:

Originariamente inviato da _nick_

Non è un preconcetto si chiama buon senso. Cosa pensi che ti dica uno che ti vende un'associazione sui furti in casa? Che in casa tua non ruberanno mai? Stipuleresti un'assicurazione su queste basi?

Come ho scritto sopra giudicherei quello che dice in base al merito e non in base a cosa vende.

Quote:

Originariamente inviato da _nick_

Bene, posti video o immagini? Ovviamente criptando i dati sensibili eh.

Ma se non ti bastano ne le spiegazioni di Lifchitz ne le conferme delle migliaia di utenti che hanno recensito, dopo averla provata, l'applicazione che ho linkato...provarla tu stesso, no?

Quote:

Originariamente inviato da _nick_

Edit: mi sfugge il tornaconto economico che ne avrebbero le società di carte e le banche nel favorire queste pratiche come tu ipotizzi posto che poi dovrebbero rimborsare i clienti. Capisci che c'è qualcosa che non va nei tuoi ragionamenti?

Sbagli quando sostieni che dovrebbero rimborsare i clienti. Nel caso di transazione cnp fraudolente senza secure3d, banche e società di carte non devono rimborsare, il rimborso è a carico del negoziante. Il rimborso spetta a banche e società di carte solo nel caso di transazioni fraudolente con secure3d (si chiama liability shift).

[_nick_]

Quote:

Originariamente inviato da polteus

Come ho scritto sopra giudicherei quello che dice in base al merito e non in base a cosa vende.

Si, merito stabilito da lui stesso o dalle società per cui lavora che appunto vendono le stesse cose che vende lui. Comunque non insisto oltre perché lo ritengo buon senso e lo si ha o non lo si ha.

Quote:

Ma se non ti bastano ne le spiegazioni di Lifchitz ne le conferme delle migliaia di utenti che hanno recensito, dopo averla provata, l'applicazione che ho linkato...provarla tu stesso, no? :mie:

Quindi tu sostieni una tesi e le prove dovrei fornirmele da solo. Anzi no dovrei basarmi sulle recensioni di un market che non fa, è risaputo, alcuna verifica sui contenuti e sugli utenti che li postano.

Comunque ti vengo dietro per assurdo. Poniamo che l'app in questione faccia davvero quello che sostieni. Che riesca quindi a sottrarre tutti i dati necessari a una transazione online su un sito di scarsa sicurezza (quindi senza 3d secure, registrazioni o altre amenità): numero della carta, scadenza e cvv. Sono sempre meno ma questi siti esistono ancora. Come ti hanno già fatto notare i chip nfc presenti sulle carte contactless hanno una portata di qualche centimetro, forse addirittura millimetri. Questo significa che per fare quello che tu dici la persona che lo fa dovrebbe avere la carta in mano. Non certo passare di fianco a qualcuno. Avendo la carta in mano non credi farebbe prima a segnarsi direttamente i dati? O ancora meglio buttarsi nel primo negozio che trova e usarla subito?

Quote:

Sbagli quando sostieni che dovrebbero rimborsare i clienti. Nel caso di transazione cnp fraudolente senza secure3d, banche e società di carte non devono rimborsare, il rimborso è a carico del negoziante. Il rimborso spetta a banche e società di carte solo nel caso di transazioni fraudolente con secure3d (si chiama liability shift).

Non sai di cosa stai parlando. Banalmente basterebbe anche solo che avessi una carta di credito e che ti fosse capitata una frode, chiami e queste cose te le spiegano. Nemmeno dico che ci avresti dovuto lavorare.

Intanto unisci frodi online con un sistema fisico come il contactless. Poi asserisci che le società di carte di credito non rimborsano a fronte di transazioni su siti senza il 3d secure ed è esattamente il contrario.

Poi riferisci che non rimborsano le società ma gli esercenti ma ti basta leggere un qualsiasi contratto di carta per verificare che sono le società a rimborsare e poi a dover andare a recuperare i soldi dall'esercente, se esiste ancora, se lo trovano, se se e se e infatti quei soldi per una gran percentuale vanno a perdita e sono messi a bilancio apposta.

E per completare il tutto infarcisci il discorso di termini tecnici anglofoni totalmente inventati o forse presi da quei papelli che hai linkato prima.

Poi ti ripeto, se tu preferisci credere a chi guadagna su questo terrorismo psicologico piuttosto che a chi ha delle perdite enormi se ha delle falle di sicurezza come quelle che tu millanti buon per te.

Anzi ti propongo questa soluzione:



Sia mai che qualcuno passandoti di fianco ti scippi i pensieri.

[litocat]

Quote:

Originariamente inviato da _nick_

Non sai di cosa stai parlando. Banalmente basterebbe anche solo che avessi una carta di credito e che ti fosse capitata una frode, chiami e queste cose te le spiegano. Nemmeno dico che ci avresti dovuto lavorare.

Intanto unisci frodi online con un sistema fisico come il contactless. Poi asserisci che le società di carte di credito non rimborsano a fronte di transazioni su siti senza il 3d secure ed è esattamente il contrario.

...

recuperare i soldi dall'esercente, se esiste ancora, se lo trovano

...

E per completare il tutto infarcisci il discorso di termini tecnici anglofoni totalmente inventati o forse presi da quei papelli che hai linkato prima.i

Quei "termini tecnici anglofoni" non sono "inventati", sono i termini utilizzati da banche e circuiti di pagamento. Ad esempio di "liability shift" ne parla Barclays in questa informativa per i negozianti online, dove spiega a proposito del "3d secure":

"Section 1 [...] It is important that you understand the 3D Secure protocol supporting authentication. [...] 1.1 The Key Benefit of Authentication Liability Shift [...] Cardholder authentication helps prevent chargebacks where cards are used fraudulently, or where the cardholder denies using the card. The liability shifts from you, back to the card issuer. [...]
Tabella in cui mostra come il negoziante beneficia del 3D Secure riportando che la responsabilità per le transazioni non autorizzate passa dal negoziante (You) alla banca che ha emesso la carta (Card Issuer)"

Come ti hanno già risposto, nel caso di transazione avvenuta tramite 3D Secure la banca deve rimborsare al cliente la somma sottratta, mentre nel caso di transazione non avvenuta tramite 3D Secure la banca non deve rimborsare la somma sottratta, deve girare al cliente la somma che viene rimborsata dal negoziante... negoziante che non scompare nel nulla ("se esiste ancora, se lo trovano", scrivi)... il negoziante ha un regolare rapporto commerciale con la sua banca. La banca emittente riottiene indietro la somma dalla banca del negoziante tramite chargeback e la banca del negoziante la addebita al negoziante, poiché come scrive Barclays ricade su di lui la responsabilità per transazioni non autorizzate effettuate senza 3D Secure. Quindi banche e circuiti di pagamento non perdono soldi a causa della vulnerabilità delle carte contactless di cui state discutendo, perchè i rimborsi per la tipologia di frode che può avvenire sfruttando questa vulnerabilità sono a carico del negoziante.

[polteus]

Quote:

Originariamente inviato da Pigr8

solo alcuni dati sono leggibili dalla carta di credito, non è in nessun modo possibile clonare una carta sul telefono e fargli fare da host emulando la carta.. esistono tag nfc come quelle nei portachiavi che sono scrivibili, utilizzate per far attivare qualcosa (come un interruttore della luce per esempio - io tanto per dire ne ho una nel volante dell'auto che attiva il bluetooth del telefono e fa il pairing con l'autoradio semplicemente passando il telefono sul volante quanto salgo).. tu NON PUOI leggere i dati della carta e scriverli su una tag nfc, così come non puoi emularla direttamente sul telefono.

cioè in un'applicazione vedi una serie di numeri e stringhe esadecimali e si pensa subito allo scandalo e al bug? suvvia.

Infatti non ho parlato di clonare la carta per utilizzarla in un negozio fisico, ho parlato di leggere alcuni dati che poi possono essere utilizzati per effettuare acquisti online. Io ero riuscito a leggerli con lo smartphone di un amico. Ora è all'estero, quindi non possono scattare foto come vorrebbe _nick_, ma se confermi anche tu che sono leggibili ad esempio il numero della carta e la data di scadenza forse si accontenta.

[polteus]

Quote:

Originariamente inviato da Pigr8

certo che lo puoi fare, sono dati in chiaro quelli.. tiè



ora ho tolto il numero della carta,

Come volevasi dimostrare.

Quote:

Originariamente inviato da Pigr8

ma anche se l'avessi lasciato non ci avresti comunque fatto nulla.. perchè ti manca il CVC dietro la carta, quindi non è completo quello che leggi dallo smartphone e non puoi farlo in nessun modo.

in più, come ulteriore sistema di sicurezza, se usi la carta in "chiaro" per un acquisto online (quindi senza passare da PayPal o simili) Mastercard applica anche il SecureCode (http://www.mastercard.com/it/privati...curecode.html), che è un'ulteriore password dopo che hai messo tutti i dati presenti sulla carta stessa, altra cosa che lo smartphone con l'NFC non può leggere.

Il fatto è che non è obbligatorio richiedere CVC2 (il CVC è il codice di sicurezza presente nella banda magnetica) e SecureCode. Per quanto ormai siano richiesti da molti negozi, ci sono ancora un discreto numero di negozi che non li richiedono. Quindi non è esatto che non ci fai nulla, i truffatori possono utilizzare ed utilizzano i dati sottratti (che li abbiano ottenuti tramite phishing o tramite smartphone) sui siti che non richiedono CVC2 e SecureCode.

[xpiuma]

Tra l'altro quelli sono gli stessi identici dati che un qualunque commesso può leggere quando gli dai in mano la carta. O il cameriere al ristorante, o quello in fila dietro di te mentre paghi.

Perché fare tutto sto casino con il contactless per dei numeri che posso ricavare mooooolto più facilmente in altro modo?

[litocat]

Quote:

Originariamente inviato da xpiuma

Tra l'altro quelli sono gli stessi identici dati che un qualunque commesso può leggere quando gli dai in mano la carta. O il cameriere al ristorante, o quello in fila dietro di te mentre paghi.

Perché fare tutto sto casino con il contactless per dei numeri che posso ricavare mooooolto più facilmente in altro modo?

Io non do mai la carta in mano al commesso o al cameriere, la inserisco personalmente nel POS, quindi auguri a leggere (e memorizzare) quei dati mentre pago. Quanto al contactless, per me le carte dovrebbero dialogare in modo criptato e solo su sistemi autorizzati, come auspicavi anche tu del resto:

Quote:

Originariamente inviato da xpiuma

Il contactless ... Funziona su sistemi autorizzati, non puoi leggere una carta e via

Non è il massimo che la carta passi il numero della carta ad un dispositivo non autorizzato. In alternativa dovrebbero vietare i siti non sicuri, invece di consentirli scaricando la responsabilità delle truffe sul negoziante, perchè se va bene a circuiti e banche che tanto non devono rimborsare di tasca propria e se va bene al negoziante che accetta consapevolmente questa responsabilità per far digitare qualche codice in meno ai propri clienti, i truffati si risparmierebbero volentieri la trafila che c'è da fare per chiedere il rimborso.

[hibone]

I furti di dati con le tessere tradizionali sono sempre avvenuti in due modi:

- taroccamento del lettore
- taroccamento dell'account del dipendente che gestisce in outsourcing i dati che dovrebbero essere gestiti dalla banca.

La lettura della tessera diventa impossibile a distanza di pochi cm, visto che è senza batteria.

Gli uomini generalmente tengono la tessera nel portafoglio, nella tasca posteriore dei pantaloni. I portafogli vengono già scippati.


Imparare a guardasi meglio le spalle, non è questione di tecnologia.

[Pucceddu]

Amazon non chiede il cvc, basta numero carta, intestatario e scadenza.
E' il primo che mi è venuto in mente...

[trecool]

Quote:

Originariamente inviato da xpiuma

Tra l'altro quelli sono gli stessi identici dati che un qualunque commesso può leggere quando gli dai in mano la carta. O il cameriere al ristorante, o quello in fila dietro di te mentre paghi.

Perché fare tutto sto casino con il contactless per dei numeri che posso ricavare mooooolto più facilmente in altro modo?

ma infatti, ragazzi secondo me si sta veramente esagerando, la sicurezza c'è basta usarla

[hibone]

Quote:

Originariamente inviato da Pucceddu

Amazon non chiede il cvc, basta numero carta, intestatario e scadenza.
E' il primo che mi è venuto in mente...

Il furto/duplicazione della carta di credito ha un solo obiettivo. Prelevare soldi dagli ATM.

Usarla per gli acquisti online non mi pare una cosa astuta, visto che il più delle volte dovrai farti spedire il bene da qualche parte.

Rischi che il fattorino abbia la divisa di un altro colore, parafrasando De André

[trecool]

Quote:

Originariamente inviato da hibone

Il furto/duplicazione della carta di credito ha un solo obiettivo. Prelevare soldi dagli ATM.

Usarla per gli acquisti online non mi pare una cosa astuta, visto che il più delle volte dovrai farti spedire il bene da qualche parte.

Rischi che il fattorino abbia la divisa di un altro colore, parafrasando De André

anche questo è vero eheh
boh secondo me funzionano bene queste carte contactless e per le picccole transazioni sono di una comodità totale

[Musoita]

Quote:

Originariamente inviato da hibone

Il furto/duplicazione della carta di credito ha un solo obiettivo. Prelevare soldi dagli ATM.

Usarla per gli acquisti online non mi pare una cosa astuta, visto che il più delle volte dovrai farti spedire il bene da qualche parte.

Rischi che il fattorino abbia la divisa di un altro colore, parafrasando De André

Hai detto bene il piu delle volte,basta comprare invece servizi e rivenderli.
Conoscevo persone che ci hanno campato per anni.
Poi il pokeronline e una manna per queste cose...