Se vi è capitato di utilizzare la carta di credito online o al telefono probabilmente vi è stato richiesto quello che informalmente viene chiamato “short code” o “codice di sicurezza”.
Solitamente si tratta di un numero di tre cifre fisicamente stampato alla destra della striscia che contiene la vostra firma sul retro della carta.
Tre cifre non equivalgono certo ad una buona password e normalmente non lo sono.
Tuttavia per le transazioni “senza la presenza fisica della carta” il CVV (Card Verification Value) offre un pratico livello di sicurezza contro una delle frodi più comuni denominata skimming.
Lo skimming è quando i truffatori usano un lettore di carte “trappola”, ad esempio incollato su un vero bancomat o inserito nello slot di un terminale di pagamento, per leggere la striscia magnetica della vostra carta.
Anche se si dispone di una carta con chip e PIN, la banda magnetica contiene informazioni sufficienti a far sì che il truffatore possa convincere un sito web di essere in possesso della vostra carta.
Ad esempio, il nome così come appare sulla parte anteriore della carta, il “codice lungo”, di solito di 16 cifre lungo tutta la carta e la data di scadenza sono tutti lì nella banda magnetica, pronti per essere copiati di nascosto e usati in rete.
Il CVV agisce quindi come una barriera molto low-tech contro le frodi in questo tipo di transazioni senza carta, perché la maggior parte siti web richiedono anche di digitare il CVV, che non è memorizzato sul banda magnetica e quindi non può essere letto.
Ovviamente bisogna tenere presente che:
- Il venditore non deve registrare il vostro CVV dopo che la transazione è stata effettuata.
- L’elaboratore di pagamento non deve permettere troppi tentativi di indovinare il vostro CVV. Con un numero illimitato e un codice di tre cifre qualsiasi truffatore può indovinarlo in poche ore.
Indovinare i CVV
I ricercatori della Newcastle University hanno recentemente deciso di scoprire quanto quest’ultima raccomandazione viene rispettata e hanno cercato di indovinare i CVV.
I risultati iniziali sono stati incoraggianti: dopo alcuni tentativi positivi sullo stesso sito web sono stati in seguito bloccati senza poter andare oltre.
Quindi hanno tentato un cosiddetto attacco distribuito usando un programma che sottomette richieste di pagamento in automatico a numerosi siti web contemporaneamente.
Ecco cosa è successo.
Se ogni sito web permette cinque tentativi, con 200 tentativi simultanei su una serie di diversi siti web, si possono ottenere 1000 tentativi (200 × 5) rapidamente senza innescare alcun blocco su uno qualsiasi dei siti.
E con 1000 tentativi, è possibile coprire tutte le possibilità di CCV da 000 a 999, fermandosi quando si trova quella giusta.
Poi potete andare al duecentocinquantunesimo sito e ordinare qualsiasi cosa vogliate, perché avete “risolto” il CVV senza mai realmente vedere la carta della vittima.
In altre parole ci si aspetterebbe che i server di back-end dell’elaboratore di pagamento tenessero traccia non solo del numero di tentativi di indovinare il CVV per ogni sito, ma anche del numero totale di tentativi dal momento del vostro ultimo acquisto da qualsiasi sito.
Secondo la Newcastle University, Mastercard ha fermato questo tipo di attacchi distribuiti, ma Visa non l’ha fatto.
Dovremmo preoccuparci?
Considerando quante frodi con carta di credito avvengono senza bisogno di trucchi come questi per indovinare il CVV, non pensiamo che questo sia il segnale che ci dice di rinunciare del tutto agli acquisti online in questa stagione di festa.
Dopo tutto, se uno qualsiasi dei siti o servizi che hai utilizzato di recente ha tenuto il tuo CVV, anche se solo scrivendolo temporaneamente durante l’elaborazione delle vostre transazioni, si è esposti in ogni caso e i CVV non sono un ostacolo significativo per truffatori determinati.
E se avete messo i dati della carta in un sito web compromesso o fraudolento – anche (o forse soprattutto) se l’operazione non è mai stata perfezionata – allora i ladri probabilmente già hanno tutto il necessario per clonare la vostra scheda.
Cosa fare?
Alcuni semplici accorgimenti aiuteranno, indipendentemente dal vostro fornitore di carta:
Tenete sempre sott’occhio la vostra carta di credito. I truffatori muovendosi al di fuori della vostra visuale, anche per pochi secondi, possono leggere la vostra carta utilizzandola semplicemente su due diversi lettori. Essi possono anche scattare furtivamente una foto del retro della carta e registrare sia la vostra firma e il CVV.
Cercate di utilizzare lo slot Chip e PIN se pagate di persona. La maggior parte dei lettori di chip richiedono solo di inserire la carta quanto basta per connettersi al chip. Questo lascia sporgere la maggior parte della banda magnetica, rendendo la lettura dei dati della carta più difficile.
Nel dubbio, cercate un altro negozio o bancomat. La maggior parte dei distributori automatici richiedono ancora di inserire tutta la carta, e possono quindi essere dotati di un falso lettore di banda magnetica.
Attenetevi ai rivenditori online di fiducia. Controllate la barra degli indirizzi della pagina di pagamento, assicuratevi di essere su un sito criptato (HTTPS), e se vedete eventuali avvisi di certificati web abbandonate la pagina immediatamente.
Tenete d’occhio i vostri estratti conto. Se la banca dispone di un servizio per l’invio di un messaggio di notifica quando le transazioni avvengono, prendete in considerazione l’idea di attivarlo.
Lascia un commento