I nuovi Pos a rischio violazione: a cosa fare attenzione

Allarme sicurezza sui Pos di nuova generazione: grazie a un ingegnere informatico italiano, infatti, è stata rilevata una grave vulnerabilità dei dispositivi di ultima generazione basati su Android che può essere sfruttata dai cybercriminali per impossessarsi dei dati sufficienti a clonare carte di credito e bancomat

Il merito della scoperta è di Jacopo Jannone, penetration tester che ha raccolto i dati di una ricerca condotta nello specifico sui devices tecnologicamente più avanzati. Se da un lato la digitalizzazione dei pagamenti è una comodità, dall'altro può diventare un boomerang per l'utente, dato che il mondo della tecnologia viene costantemente sfruttato da esperti malintenzionati per mettere le mani sul denaro che viene spostato nelle transazioni se non direttamente, in casi peggiori, sulle informazioni delle carte utilizzate dalla vittima di turno. Dati che vengono sfruttati per effettuare una clonazione.

Nell'ambito dei Pos, solo per citare un caso tra i più frequenti, c'è lo "skimming", quella tecnica più "rudimentale" che consente al malvivente di appropriarsi del Pin di una carta sfruttando delle videocamere di piccole dimensioni: nel video viene estratto il momento della digitazione del codice inserito dall'utente.

Molto diversa per caratteristiche la tecnica individuata dall'ingegnere informatico italiano, che si viene a contraddistinguere come un tipico attacco hacker. Ad essere presi di mira sono i recenti Smart Pos, vale a dire quelli che si stanno sostituendo gradualmente ai tradizionali nei negozi e nei punti vendita. "I vecchi dispositivi con tastierino e display a cristalli liquidi hanno funzionalità limitate e una struttura molto semplice", spiega a Wired Jacopo Jannone. La nuova tecnologia, invece, fa sì che i nuovi devices diventino dei veri e propri smartphone moderni, e in quanto tali vulnerabili anche ai più classici attacchi hacker."Hanno un sistema operativo Android", prosegue l'esperto, "e, in particolare, permettono livelli di interazione molto più complessi, per esempio il collegamento tramite Usb. Sono proprio queste caratteristiche che aumentano a dismisura la superficie di attacco di un eventuale cyber criminale".

Quindi paradossalmente l'eccessiva tecnologia è proprio l'origine di questa ampia falla che mette a rischio milioni di utenti: modificando il funzionamento di questo Smart Pos, gli hacker possono fare in modo che i dati acquisiti dal dispositivo al momento del pagamento siano inviati a una banca dati sotto il loro controllo. L'unico punto di vantaggio è che una modifica del genere non può essere effettuata da remoto ma solo "fisicamente". Non si può, tuttavia, garantire sull'onestà di chi ha accesso a questi devices: mettere le mani sui dati di una carta significa poter accedere ad essa e sfruttarla in ogni momento.

"La maggior parte delle informazioni che identificano carte di credito e Bancomat, come il numero di serie e la data di scadenza, sono visibili sulla carta stessa e, di conseguenza, potrebbero essere sottratti senza troppi problemi anche con strumenti ‘analogici’, per esempio una semplice fotografia" precisa l'ingegnere informatico. Diverso il discorso per quanto concerne il Pin: la falla individuata da Jannone permette di acquisirlo al momento della digitazione.

Non sarebbe solo il titolare del Pos a poter intervenire per modificare il device, il rischio ci sarebbe anche nel caso in cui un malintenzionato riuscisse a entrare nell'ambito della distribuzione dei dispositivi elettronici. Per ora sembrano questi i pericoli più concreti, ma non è escluso che gli hacker possano fare un ulteriore passo in avanti.

"Nel Proof of Concept che ho realizzato il collegamento per sottrarre i dati richiede un collegamento alla stessa rete wi-fi del dispositivo", conferma l'esperto, ma "non è escluso, però, che sia possibile mettere a punto varianti dell’attacco che consentano una trasmissione via web". E ovviamente l'intervento da remoto potrebbe ampliare le possibilità dei cybercriminali.