Fol News

Tutti gli approfondimenti
Tutte le notizie

Ecco come gli hacker clonano una carta di credito in 6 secondi

  • Trading Day 19 aprile Torino - Corso Gratuito sull'investimento

    Migliora la tua strategia di trading con le preziose intuizioni dei nostri esperti su oro, materie prime, analisi tecnica, criptovalute e molto altro ancora. Iscriviti subito per partecipare gratuitamente allo Swissquote Trading Day.

    Per continuare a leggere visita questo LINK
infopisa

infopisa

fol
Registrato
29/12/15
Messaggi
3.324
Punti reazioni
211
Ecco come gli hacker clonano una carta di credito in 6 secondi - Yahoo Finanza Italia

Da Samuele Prosino | Yahoo Finanza – 05/12/2016

Solo sei secondi per clonare una carta di credito? Purtroppo è possibile secondo uno studio dell’Università di Newcastle. Alcuni studenti dell’ateneo britannico hanno svolto una ricerca, pubblicata sul giornale accademico IEEE Security & Privacy, secondo la quale per gli hacker sarebbe sufficiente mettere assieme il numero della carta, la data di scadenza e il codice di sicurezza per entrare in possesso del resto dei dati, attraverso un sistema che genera in modo automatico un enorme numero di varianti tra le quali si può rintracciare quella valida.
<figure><figcaption>Le frodi informatiche corrono veloci: solo 6 secondi per clonare una carta di credito secondo una ricerca dell’università di Newcastle</figcaption></figure>In sostanza agli hacker bastano un computer, una connessione internet e qualche secondo di attesa per ‘indovinare’ le chiavi e in seguito le password necessarie. È quanto accaduto recentemente alla Tesco Bank, che ha subito un furto pari a 3 milioni di Euro ripartito su 9000 carte di credito differenti. Per gli hacker è statisticamente semplice, anche senza conoscere alcun dato; una volta indovinato il numero della carta, per trovare la data di scadenza sono solitamente disponibili solo 60 diverse combinazioni, mentre per il codice di sicurezza ci sono mille possibilità (visto che è a 3 cifre).
Scoperto malware, a rischio un milione di account Google
Questo ‘trucco’ è possibile con carte che non appartengono a circuiti dotati di sistema antifrode centralizzato, che rileva gli attacchi cibernetici eliminando le troppe richieste errate che provengono da una o più connessioni. Il team di ricerca di Newcastle ha esposto quindi le mancanze dei sistemi di pagamento VISA affidati a banche non sufficientemente attrezzate. Il sistema Mastercard è invece considerato dagli stessi “sicuro” e in grado di individuare rapidamente le frodi informatiche.
Una volta entrati in possesso dei dati per gli hacker arriva il momento più ‘pericoloso’, cioè spendere i soldi senza farsi scoprire. Per evitare di essere rintracciati solitamente i ladri preferiscono utilizzare il denaro rubato online, cercando di nascondere le proprie tracce.
La soluzione per evitare furti indesiderati? Sfortunatamente, dicono i ricercatori, non c’è una bacchetta magica. Ma per ridurre al minimo in caso di attacco si può ad esempio scegliere un limite di spesa basso, usare una sola card per i pagamenti online, controllare regolarmente ingressi e spese sostenute.
 
infopisa ha scritto:

La soluzione per evitare furti indesiderati? Sfortunatamente, dicono i ricercatori, non c’è una bacchetta magica. Ma per ridurre al minimo in caso di attacco si può ad esempio scegliere un limite di spesa basso, usare una sola card per i pagamenti online, controllare regolarmente ingressi e spese sostenute.
Clicca per espandere...


La soluzione esiste solo che non vogliono utilizzarla: basta dare la possibilità ai clienti di scegliere come possibilità di pagamento online per la propria carta solo ed esclusivamente il 3D secure code inibendo tutte le altre transazioni effettuabili con numero carta, data e codice.
Se ci fosse questa possibilità io l'attiverei per tutte le mie carte e se trovo un sito che supporta il 3D secure bene altrimenti si attaccano e scelgo un altro sito che lo supporta o accetta i pagamenti con paypal. A mio parere è anacronistico e stupido attivare sempre più misure di sicurezza per accedere ai servizi bancari (token ecc.) se poi si lascia spalancata la porta secondaria costituita dalle carte protette solo da numero, data e codice di 3 sole cifre che oltre ad essere ridicole come misure di sicurezza sono anche visibili (e copiabili) da tutti quelli che maneggiano una carta :rolleyes:
 
infopisa ha scritto:
Ecco come gli hacker clonano una carta di credito in 6 secondi - Yahoo Finanza Italia

Da Samuele Prosino | Yahoo Finanza – 05/12/2016

Solo sei secondi per clonare una carta di credito? Purtroppo è possibile secondo uno studio dell’Università di Newcastle. Alcuni studenti dell’ateneo britannico hanno svolto una ricerca, pubblicata sul giornale accademico IEEE Security & Privacy, secondo la quale per gli hacker sarebbe sufficiente mettere assieme il numero della carta, la data di scadenza e il codice di sicurezza per entrare in possesso del resto dei dati, attraverso un sistema che genera in modo automatico un enorme numero di varianti tra le quali si può rintracciare quella valida.
<figure><figcaption>Le frodi informatiche corrono veloci: solo 6 secondi per clonare una carta di credito secondo una ricerca dell’università di Newcastle</figcaption></figure>In sostanza agli hacker bastano un computer, una connessione internet e qualche secondo di attesa per ‘indovinare’ le chiavi e in seguito le password necessarie. È quanto accaduto recentemente alla Tesco Bank, che ha subito un furto pari a 3 milioni di Euro ripartito su 9000 carte di credito differenti. Per gli hacker è statisticamente semplice, anche senza conoscere alcun dato; una volta indovinato il numero della carta, per trovare la data di scadenza sono solitamente disponibili solo 60 diverse combinazioni, mentre per il codice di sicurezza ci sono mille possibilità (visto che è a 3 cifre).
Scoperto malware, a rischio un milione di account Google
Questo ‘trucco’ è possibile con carte che non appartengono a circuiti dotati di sistema antifrode centralizzato, che rileva gli attacchi cibernetici eliminando le troppe richieste errate che provengono da una o più connessioni. Il team di ricerca di Newcastle ha esposto quindi le mancanze dei sistemi di pagamento VISA affidati a banche non sufficientemente attrezzate. Il sistema Mastercard è invece considerato dagli stessi “sicuro” e in grado di individuare rapidamente le frodi informatiche.
Una volta entrati in possesso dei dati per gli hacker arriva il momento più ‘pericoloso’, cioè spendere i soldi senza farsi scoprire. Per evitare di essere rintracciati solitamente i ladri preferiscono utilizzare il denaro rubato online, cercando di nascondere le proprie tracce.
La soluzione per evitare furti indesiderati? Sfortunatamente, dicono i ricercatori, non c’è una bacchetta magica. Ma per ridurre al minimo in caso di attacco si può ad esempio scegliere un limite di spesa basso, usare una sola card per i pagamenti online, controllare regolarmente ingressi e spese sostenute.
Clicca per espandere...

puoi postarlo qui
raccolta TRUFFE & PHISHING
:bye:
 
Lampadino, tratti sempre argomenti interessanti e che mi interessano personalmente…
Anche io ho una carta di credito sul mio conto, e anche se attualmente non c'è una cospicua somma, sono sempre terrorizzato che la possano clonare.
Proprio la settimana scorso abbiamo attivato l'avviso via sms per ogni operazione, esistono altre precauzioni da prendere per evitare clonazioni?
Inoltre posso impostare un limite massimo mensile di spesa, proprio per scongiurare il peggio?
Grazie mille per le nozioni, sempre utilissime...
 
Nunziatella ha scritto:
Lampadino, tratti sempre argomenti interessanti e che mi interessano personalmente…
Anche io ho una carta di credito sul mio conto, e anche se attualmente non c'è una cospicua somma, sono sempre terrorizzato che la possano clonare.
Proprio la settimana scorso abbiamo attivato l'avviso via sms per ogni operazione, esistono altre precauzioni da prendere per evitare clonazioni?
Inoltre posso impostare un limite massimo mensile di spesa, proprio per scongiurare il peggio?
Grazie mille per le nozioni, sempre utilissime...
Clicca per espandere...

la uso pochissimo la carta,
prova chiedere qui
:bye:
 
Nunziatella ha scritto:
Lampadino, tratti sempre argomenti interessanti e che mi interessano personalmente…
Anche io ho una carta di credito sul mio conto, e anche se attualmente non c'è una cospicua somma, sono sempre terrorizzato che la possano clonare.
Proprio la settimana scorso abbiamo attivato l'avviso via sms per ogni operazione, esistono altre precauzioni da prendere per evitare clonazioni?
Inoltre posso impostare un limite massimo mensile di spesa, proprio per scongiurare il peggio?
Grazie mille per le nozioni, sempre utilissime...
Clicca per espandere...

Mi permetto di rispondere io: sei "terrorizzato" che la possano clonare...ma terrorizzato di cosa? Ti arriva l'sms, non riconosci l'operazione, blocchi la carta e denunci il fatto, e tutto questo senza che un euro esca dal tuo conto corrente. E' un fastidio, per l'amore del cielo, ma non capisco tutto questo allarmismo. Alcune carte hanno una franchigia, non so quale sia la tua, ma io sarei sereno :)
 
Pennywise ha scritto:
Mi permetto di rispondere io: sei "terrorizzato" che la possano clonare...ma terrorizzato di cosa? Ti arriva l'sms, non riconosci l'operazione, blocchi la carta e denunci il fatto, e tutto questo senza che un euro esca dal tuo conto corrente. E' un fastidio, per l'amore del cielo, ma non capisco tutto questo allarmismo. Alcune carte hanno una franchigia, non so quale sia la tua, ma io sarei sereno :)
Clicca per espandere...

OK!
 
Pennywise ha scritto:
Mi permetto di rispondere io: sei "terrorizzato" che la possano clonare...ma terrorizzato di cosa? Ti arriva l'sms, non riconosci l'operazione, blocchi la carta e denunci il fatto, e tutto questo senza che un euro esca dal tuo conto corrente. E' un fastidio, per l'amore del cielo, ma non capisco tutto questo allarmismo. Alcune carte hanno una franchigia, non so quale sia la tua, ma io sarei sereno :)
Clicca per espandere...
Se ti clonano la carta devi comunque coprire i pagamenti poi al massimo ti restituiscono i soldi.
se hai una franchigia rischi di perderci anche qualcosa. di solito sono 150 euro....
 
Giusto per fare chiarezza, la franchigia non dipende dalla carta :no: ma discende dal D.Lgs. n.11/2010 di attuazione della Direttiva europea 2007/64/CE sui servizi di pagamento.

Sono le banche, nei casi in cui i clienti neghino di aver eseguito l'operazione, a dover dimostrare la negligenza del cliente (o la sua frode) e che il servizio di pagamento tramite lo strumento affidato al cliente abbia funzionato correttamente.
Per quanto riguarda la responsabilità della banca ABF indica, per es., la predisposizione di un livello di sicurezza di solo primo livello in quanto non sufficiente alla prevenzione del rischio di utilizzi fraudolenti.

I clienti sono però tenuti a custodire con diligenza gli strumenti d pagamento, utilizzarli correttamente e comunicare alla banca tempestivamente eventuali usi indebiti di terzi (art. 7. del d.lgs n.11/2010).

Se viene provata la responsabilità del cliente, egli subirà integralmente le perdite derivanti dall'uso dello strumento di pagamento.
Se invece non vi è stata frode o “colpa grave”, l’utilizzatore non sopporterà le conseguenze dell’uso non autorizzato del mezzo di pagamento, se non nei limiti di una “franchigia” non superiore di 150 euro (art.12, commi 1 e 3 art.11 del d.lgs. n.11/2010)


Per "colpa grave" del cliente ABF indica:
1) la conservazione della carta unitamente al PIN;
2) la mancata custodia della borsa o del portafogli in cui è conservata la carta;
3) il ritardo nella denuncia di smarrimento, furto o utilizzo non autorizzato dello carta e il non tempestivo blocco della carta
4) la mancanza di attivazione di sistemi di sicurezza messi a disposizione della banca;
5) il mancato blocco della carta in seguito alla spedizione del sms alert;
6) la comunicazione delle credenziali e del PIN a terzi.
 
FogOnLine ha scritto:
Giusto per fare chiarezza, la franchigia non dipende dalla carta :no: ma discende dal D.Lgs. n.11/2010 di attuazione della Direttiva europea 2007/64/CE sui servizi di pagamento.

Sono le banche, nei casi in cui i clienti neghino di aver eseguito l'operazione, a dover dimostrare la negligenza del cliente (o la sua frode) e che il servizio di pagamento tramite lo strumento affidato al cliente abbia funzionato correttamente.
Per quanto riguarda la responsabilità della banca ABF indica, per es., la predisposizione di un livello di sicurezza di solo primo livello in quanto non sufficiente alla prevenzione del rischio di utilizzi fraudolenti.

I clienti sono però tenuti a custodire con diligenza gli strumenti d pagamento, utilizzarli correttamente e comunicare alla banca tempestivamente eventuali usi indebiti di terzi (art. 7. del d.lgs n.11/2010).

Se viene provata la responsabilità del cliente, egli subirà integralmente le perdite derivanti dall'uso dello strumento di pagamento.
Se invece non vi è stata frode o “colpa grave”, l’utilizzatore non sopporterà le conseguenze dell’uso non autorizzato del mezzo di pagamento, se non nei limiti di una “franchigia” non superiore di 150 euro (art.12, commi 1 e 3 art.11 del d.lgs. n.11/2010)


Per "colpa grave" del cliente ABF indica:
1) la conservazione della carta unitamente al PIN;
2) la mancata custodia della borsa o del portafogli in cui è conservata la carta;
3) il ritardo nella denuncia di smarrimento, furto o utilizzo non autorizzato dello carta e il non tempestivo blocco della carta
4) la mancanza di attivazione di sistemi di sicurezza messi a disposizione della banca;
5) il mancato blocco della carta in seguito alla spedizione del sms alert;
6) la comunicazione delle credenziali e del PIN a terzi.
Clicca per espandere...

Ma quindi se la banca mi dice di attivare il Mastercard 3D secure e io non lo faccio, rispondo in pieno dell'eventuale uso fraudolento?? :confused:
Ho letto diverse volte che era sconsigliato farlo (in caso di password statica) per via della liability shift..
 
jhonny1640 ha scritto:
Ma quindi se la banca mi dice di attivare il Mastercard 3D secure e io non lo faccio, rispondo in pieno dell'eventuale uso fraudolento??
Clicca per espandere...

Io non credo proprio perchè come ho scritto nel post 2, allo stato attuale il fatto che venga attivato il 3D secure non esclude che il cliente possa fare acquisti (ad esempio nei siti che non lo supportano) col metodo convenzionale. Quindi non vedo come il 3D secure possa impedire ad un truffatore di fare frodi col metodo convenzionale basato sull'utilizzo di numero, data e codice di sicurezza...
 
mi ritengo in dovere di aggiungere che qualora ci fosse un uso improprio (leggasi frode) con 3D secure attivato, e' "colpa grave" in automatico... (cfr. liability shifting),
motivo per cui ad attivare il verified by visa non ci penso proprio (posizione che peraltro ho già ribadito nei vari tread dedicati...) e mi tengo ben stretta la possibilità di avvalermi del diritto nella forma ben spiegata da FogOnLine
per tornare in tema col primo post, mi ricordo che diverso tempo fa qui sul FOL c'era un utente che nella discussione delle frodi su postepay aveva dimostrato la facilità con cui riusciva a carpire data e codice sicurezza partendo dal solo n. carta... qualcuno non ci credeva e aveva fornito anche il numero della sua p.pay per fare la prova, a seguito della quale la discussione e' stata chiusa... insomma, 'sta storia di poter risalire al codice e data di scadenza a partire dal solo numero della carta era già nota tempo addietro


FogOnLine ha scritto:
Giusto per fare chiarezza, la franchigia non dipende dalla carta :no: ma discende dal D.Lgs. n.11/2010 di attuazione della Direttiva europea 2007/64/CE sui servizi di pagamento.

Sono le banche, nei casi in cui i clienti neghino di aver eseguito l'operazione, a dover dimostrare la negligenza del cliente (o la sua frode) e che il servizio di pagamento tramite lo strumento affidato al cliente abbia funzionato correttamente.
Per quanto riguarda la responsabilità della banca ABF indica, per es., la predisposizione di un livello di sicurezza di solo primo livello in quanto non sufficiente alla prevenzione del rischio di utilizzi fraudolenti.

I clienti sono però tenuti a custodire con diligenza gli strumenti d pagamento, utilizzarli correttamente e comunicare alla banca tempestivamente eventuali usi indebiti di terzi (art. 7. del d.lgs n.11/2010).

Se viene provata la responsabilità del cliente, egli subirà integralmente le perdite derivanti dall'uso dello strumento di pagamento.
Se invece non vi è stata frode o “colpa grave”, l’utilizzatore non sopporterà le conseguenze dell’uso non autorizzato del mezzo di pagamento, se non nei limiti di una “franchigia” non superiore di 150 euro (art.12, commi 1 e 3 art.11 del d.lgs. n.11/2010)


Per "colpa grave" del cliente ABF indica:
1) la conservazione della carta unitamente al PIN;
2) la mancata custodia della borsa o del portafogli in cui è conservata la carta;
3) il ritardo nella denuncia di smarrimento, furto o utilizzo non autorizzato dello carta e il non tempestivo blocco della carta
4) la mancanza di attivazione di sistemi di sicurezza messi a disposizione della banca;
5) il mancato blocco della carta in seguito alla spedizione del sms alert;
6) la comunicazione delle credenziali e del PIN a terzi.
Clicca per espandere...
 
jhonny1640 ha scritto:
Ma quindi se la banca mi dice di attivare il Mastercard 3D secure e io non lo faccio, rispondo in pieno dell'eventuale uso fraudolento?? :confused:
Ho letto diverse volte che era sconsigliato farlo (in caso di password statica) per via della liability shift..
Clicca per espandere...

Gli addebiti fraudolenti su cdc, in presenza di tempestivo blocco e denuncia, sono quasi sempre rimborsati integralmente dalle banche senza bisogno di ricorrere ad ABF.

Quelle postate sono le linee guida di ABF qualora la banca abbia risposto picche e si sia attivato un contenzioso presso l'arbitro.
Sono appunto linee-guida, poi in fase di ricorso ciascun caso è trattato a sè e per "dispositivi di sicurezza attivati dalle banche" si intendono in genere mail/sms alert.

Per quanto riguarda il Secure3D, che è una sicurezza attivata dal circuito, si parla molto del liability shift eppure ci sono parecchie decisioni di ABF che riconoscono il rimborso delle operazioni fraudolente anche in casi di attivazione del secure3D.
Qui un esempio:
https://www.arbitrobancariofinanzia.../Utilizzo%20fraudolento/Dec-20121221-4376.PDF


nexus 7 ha scritto:
mi ritengo in dovere di aggiungere che qualora ci fosse un uso improprio (leggasi frode) con 3D secure attivato, e' "colpa grave" in automatico... (cfr. liability shifting),
[...]
Clicca per espandere...

:no:
Ci sono parecchie decisioni di ABF che invece danno ragione al cliente, seppur con applicazione di franchigia, in presenza di attivazione del Secure3D. Forse ricorderai che ne discutemmo in un 3d (che non trovo più) nella sezione diritto dove postai un paio sentenze di ABF in tal senso.

Edit: Trovato! Qui un altro paio di decisioni ABF
Truffa su carta di credito di conto corrente arancio
 
Ultima modifica:
si, si me lo ricordo, il punto è che senza 3D il rimborso è pressoché' automatico, con il 3D in automatico invece ti è negato, poi sta a te ricorrere -con le problematiche del caso- (leggasi tempo e denaro) ed infine sperare che ti venga data ragione... converrai con me che non e' proprio la stessa cosa...
 
nexus 7 ha scritto:
si, si me lo ricordo, il punto è che senza 3D il rimborso è pressoché' automatico, con il 3D in automatico invece ti è negato, poi sta a te ricorrere -con le problematiche del caso- (leggasi tempo e denaro) ed infine sperare che ti venga data ragione... converrai con me che non e' proprio la stessa cosa...
Clicca per espandere...

Non so su che informazioni ti basi per avere le certezze in grassetto, sul cosa invece possa essere più conveniente si può anche discutere, ma su molti siti (per es. KLM) il Secure3D è richiesto e dunque c'è chi non può decidere tout court di farne a meno (ecco perchè cerco di informarmi bene :yes:).
 
@nexus7: liability shift significa trasferimento della responsabilità dal negoziante alla banca emittente, non presunzione di colpa grave del cliente e trasferimento della responsabilità su questo. Se la banca emittente dimostra che il cliente ha colpa grave, può negare il rimborso, ma la colpa grave deve essere dimostrata dalla banca, non è presunta scaricando sul cliente l'onere di dimostrare il contrario. Il rimborso non è mai stato automatico: si deve chiedere il rimborso alla banca, questa deve valutare la richiesta e, se la richiesta viene accettata, procedere con il rimborso. Forse con "pressoché automatico" intendevi che poiché nel caso ci sia liability shift la banca deve rimborsare con i propri soldi mentre nel caso non ci sia il liability shift la responsabilità è del negoziante e la banca può rimborsare con i soldi del negoziante, nel primo caso è più facile che la banca faccia storie. Questo è vero, ma l'importante è avere chiaro che:

1- liability shift NON significa che banca la banca può presumere la colpa grave del cliente, la banca per negare il rimborso deve dimostrare che ci sia colpa grave e se non lo fa ci si può rivolgere all'arbitrato

2- non attivare il secure3d sulla propria carta NON annulla il liability shift, il liability shift si applica in automatico quando il negoziante supporta il secure3d, indipendente dalle impostazioni della propria carta
 
nella forma canonica, basta la denuncia per disconoscere la frode, poi sarà carico della banca dover dimostrare l'eventuale uso improprio da parte del titolare della carta.
aderendo al 3D, accettai esplicitamente che in caso di transazioni andate a buon fine (quindi con la digitazione della pass da te scelta) sei tu (o chi per te) a dover dimostrare alla banca la frode...
con il liability shifting la responsabilità della corretta identificazione di chi transa passa dal circuito all'emittente della carta... quindi la banca ha tutto l'interesse ad avere uno strumento (il 3D appunto) con cui possa scaricare sul titolare la responsabilità (appunto perché e stata digitata la pass scelta dallo stesso).

FogOnLine ha scritto:
Non so su che informazioni ti basi per avere le certezze in grassetto, sul cosa invece possa essere più conveniente si può anche discutere, ma su molti siti (per es. KLM) il Secure3D è richiesto e dunque c'è chi non può decidere tout court di farne a meno (ecco perchè cerco di informarmi bene :yes:).
Clicca per espandere...
 
penso che in termini di tempo, denaro e possibilità di riuscita, sia più facile andare a fare una denuncia in commissariato che ricorrere all'arbitrato....

jackls ha scritto:
@nexus7: liability shift significa trasferimento della responsabilità dal negoziante alla banca emittente, non presunzione di colpa grave del cliente e trasferimento della responsabilità su questo. Se la banca emittente dimostra che il cliente ha colpa grave, può negare il rimborso, ma la colpa grave deve essere dimostrata dalla banca, non è presunta scaricando sul cliente l'onere di dimostrare il contrario. Il rimborso non è mai stato automatico: si deve chiedere il rimborso alla banca, questa deve valutare la richiesta e, se la richiesta viene accettata, procedere con il rimborso. Forse con "pressoché automatico" intendevi che poiché nel caso ci sia liability shift la banca deve rimborsare con i propri soldi mentre nel caso non ci sia il liability shift la responsabilità è del negoziante e la banca può rimborsare con i soldi del negoziante, nel primo caso è più facile che la banca faccia storie. Questo è vero, ma l'importante è avere chiaro che:

1- liability shift NON significa che banca la banca può presumere la colpa grave del cliente, la banca per negare il rimborso deve dimostrare che ci sia colpa grave e se non lo fa ci si può rivolgere all'arbitrato

2- non attivare il secure3d sulla propria carta NON annulla il liability shift, il liability shift si applica in automatico quando il negoziante supporta il secure3d, indipendente dalle impostazioni della propria carta
Clicca per espandere...
 
desaparecido1982 ha scritto:
Se ti clonano la carta devi comunque coprire i pagamenti poi al massimo ti restituiscono i soldi.
se hai una franchigia rischi di perderci anche qualcosa. di solito sono 150 euro....
Clicca per espandere...

Non e' cosi'.
Sto parlando di carte di credito, non di debito.
 
Devi accedere o registrarti per poter rispondere.
Indietro