Le gift card sono davvero comode. Infatti se non riesci ad individuare il regalo ideale per qualcuno sono la soluzione perfetta per evitare di passare ore a scervellarsi in cerca dell’idea originale. Purtroppo si tratta di un regalo comodo anche per gli hacker
La dimostrazione arriva da Will Caput, un pen-tester professionista, che ha introdotto il suo progetto nella presentazione “Cash in the Aisles: come vengono facilmente sfruttate le carte regalo“.
Caput ha notato che la maggior parte delle persone pensa che le carte regalo “debbano essere attivate per avere un valore monetario”.
Non per gli hacker però:
“Caratteristiche di sicurezza più deboli della carta di credito media rendono queste carte regalo quasi preziose come il denaro. I loro numeri seguono un modello prevedibile e hanno una sicurezza incorporata molto limitata, come un chip o un PIN, per prevenire le frodi.”
Non che questo sia un nuovo problema. Le gift card sono state il bersaglio di una varietà infinita di truffe praticamente da quando sono nate. In passato, i ladri “sniffavano” la striscia magnetica sul retro con uno scanner e poi la clonavano.
Nel 2013, un proprietario di Subway in franchising e un suo partner hanno attaccato almeno 13 punti vendita di Subway e hanno aggiunto in modo fraudolento almeno 40.000 dollari alle carte regalo della catena. Hanno anche venduto altre carte false su eBay e Craigslist. Fortunatamente, sono stati catturati.
Ci sono continue truffe sui social media che inducono le persone a pensare di poter ottenere regali dalle più famose catene, da Amazon a Walmart, Ikea, Starbucks, CostCo, Argos e altre ancora.
Ma il progetto di Caput ha dimostrato che hacker dotati di abilità anche minime possono trasformare le carte regalo in denaro prima che qualcuno le attivi e senza dover ingannare nessuno. In una intervista rilasciata a Wired ha affermato di aver scoperto che la maggior parte delle stringhe di numeri sulla gift card di negozi diversi sono le stesse, tranne per una che cambia con ogni carta, più le ultime quattro cifre, che sembrano casuali.
Visitando il sito web che il venditore utilizza per controllare il valore di una carta e quindi eseguendo il software brute-force Burp Intruder sulle ultime quattro cifre, ci sono voluti circa 10 minuti per scoprire quali carte avevano un determinato valore.
Con queste informazioni, un hacker può utilizzare la scheda sulla pagina di e-commerce del fornitore. Caput ha detto che ha persino scritto su una scheda in plastica vuota con un dispositivo di scrittura magnetica disponibile su Amazon a 120 dollari, e ha detto che la maggior parte dei dettaglianti avrebbe accettato la scheda – anche se ha affermato di aver solo chiesto il saldo senza fare acquisti.
Caput ha dichiarato di aver informato i negozianti del difetto, e alcuni hanno risposto migliorando la propria sicurezza in diversi modi – disattivando le pagine web che consentono agli utenti di controllare il loro valore online, richiedendo agli utenti di verificare i valori delle loro carte per telefono o aggiungendo CAPTCHA alle loro pagine web.
Ma ha detto che altri fornitori, che non ha nominato, non hanno fatto niente né hanno apportato modifiche. Anche se un venditore richiede un PIN, oltre al numero sulla carta, il Burp Intruder potrebbe eluderlo molto facilmente.
Le correzioni consigliate non sono complicate: utilizzare CAPTCHA e i rivestimenti antigraffio sui numeri. La cosa più importante, non permettere che la propria carta possa essere presa in prestito da un hacker lasciandola incustodita alla cassa di un negozio o di un ristorante.
E per coloro che cercano un regalo facile per non dover pensare – sarebbe saggio pensare al fatto che qualcun altro avrebbe potuto scaricare il valore di quella carta prima che il destinatario la ricevesse.
Ciò significa che il vostro regalo non solo sarebbe inutile, ma anche che voi non ci fareste proprio una bella figura.
- Liberamente tratto da “Why some gift cards are still a gift to hackers” di Taylor Armerding, Naked Security
Lascia un commento