Skimmers (skĭmˈər): malicious card readers attached to the real payment terminals
so that they can harvest data from every person that swipes their cards.
Ormai è un gesto talmente banale che neanche ci facciamo caso più di tanto. Estraiamo il bancomat dal portafoglio, lo inseriamo nell’asola dell’ATM (Automatic Teller Machine, volgarmente detto “Bancomat”), digitiamo il PIN e preleviamo. Spesso inconsapevoli che qualcuno potrebbe “prendere nota” di questi dati, per usarlo successivamente e prelevare denaro dal nostro conto corrente.
Essenzialmente il sistema di sicurezza del Bancomat è il tradizionale “qualcosa che hai, qualcosa che sai”: ho con me la tessera magnetica Bancomat e conosco il PIN di accesso. Ma la banda magnetica della scheda Bancomat può essere copiata (e qui entra in gioco lo skimmer…) ed il PIN più essere “sniffato”, attraverso microtelecamere o tastiere da incollare… sopra quella vera !
E’ esattamente così che funziona, ad esempio, l’ennesimo skimmer trovato in questi giorni ad uno sportello ATM vicino Piazza del Campo…
Questo tipo di attacchi è presente anche nel nostro territorio ormai da anni, sfruttando da un lato la forte presenza di ATM non presidiati e dall’altro la distrazione degli utenti, che non si preoccupano di proteggere adeguatamente la “chiave” del conto in Banca.
Sbagliato anche credere che sia roba da “professionisti”: ormai gli skimmers sono in vendita su internet, in vari modelli e configurazioni, per adattarsi dall’ATM bancario alla pompa di benzina (si, bisogna stare attenti anche al self-service…). E’ chiaro che si tratta di una attività illegale, spesso messa in atto da vere e proprie bande criminali.
Vediamo nel dettaglio come funziona questo attacco, almeno nella sua forma tradizionale per gli ATM bancari: il malintenzionato piazza un lettore di banda magnetica nell’asola del Bancomat, collegato via bluetooth o con una memoria on-board, ed una microcamera puntata sulla tastiera dove digitiamo il PIN. In alcuni casi viene sovrapposta, alla tastiera reale, una tastiera fasulla (ma del tutto simile all’originale) collegata sempre via bluetooth ad un dispositivo che raccoglie i dati.
Questo video di Ben Tedesco mostra molto bene come vengono camuffati tali dispositivi:
Quando inserite la tessera del bancomat, vengono letti i dati della banda magnetica per essere, successivamente, scritti su una tessera vergine. Il PIN viene carpito attraverso una microtelecamera puntata sulla tastiera o proprio con una seconda tastiera “malevola”. A questo punto il malintenzionato ha tutto il necessario per recarsi ad un altro ATM, magari senza telecamere ed in zone appartate, ed effettuare uno o più prelievi dal Vostro conto.
Il malintenzionato a questo punto potrebbe sfruttare i ritardi tecnici di notifica del prelievo di alcuni circuiti, soprattutto quelli di anticipo contante, e quindi poter prelevare dal vostro conto indisturbato per alcuni giorni.
Personalmente, dopo una brutta esperienza proprio di questo tipo, ho azzerato il limite di prelievo su circuito estero ed abbassato i massimali di prelievo da ATM il più possibile: pur osservando tutte le accortezze necessarie, come verifica veloce dell’ATM da possibili manomissioni e nascondere le dita mentre digitano il PIN, l’evoluzione tecnologica di questi apparecchi rende questo attacco difficile da scoprire.
In caso di prelievi non autorizzati, bloccare IMMEDIATAMENTE tutte le carte di pagamento chiamando i numeri indicati nel contratto, stampare l’estratto conto, evidenziare tutti i prelievi sospetti/non autorizzati e recarsi immediatamente dalle Autorità per sporgere denuncia. A questo punto, con la denuncia in mano, contattare la propria Banca per le ulteriori verifiche e procedure necessarie.
Occhi aperti, sempre !
Fonti per approfondire il tema:
- Gas Pump Skimmers – Qualche esempio ed una app per scoprire eventuali skimmers nascosti al self-service delle pompe di benzina
- All About Skimmers – Brian Krebs, esperto di sicurezza, illustra una ampia collezione di skimmers e del loro funzionamento
Nella foto, skimmer in vendita su Internet (ho ovviamente mascherato l’URL del sito web per non contribuire, in alcun modo, a questa attività fraudolenta e illegale).