Se vuole una carta di credito sicura, scelga MasterCard piuttosto che Visa
David Basin, Ralf Sasse e Jorge Toro-Pozo, tutti e tre ricercatori del dipartimento di Informatica del Politecnico di Zurigo, hanno scoperto una grave falla nella sicurezza di tutte le carte di credito Visa. Nello specifico, si tratta di una vulnerabilità relativa a Europay Mastercard Visa (EMV), uno standard di sicurezza internazionale utilizzato da oltre 9 miliardi di carte di pagamento. Secondo i ricercatori, è possibile utilizzare una carta VISA illegalmente, senza dover essere in possesso del codice PIN della vittima.
Il punto debole di quelle carte di credito? Il pagamento contactless, affermano i tre scienziati. E non c'è bisogno di strumenti sofisticati o delle ultime invenzioni high-tech presenti sul mercato: bastano una carta di credito e due smartphone Android. Grazie alla mancanza di autenticazione nel protocollo di pagamento, modificato dall'hacker, è possibile far credere al terminale di pagamento di un fornitore e alla carta Visa attaccata che gli importi pagati siano inferiori alla soglia che richiede la convalida dell'acquisto tramite codice PIN. In questo modo, un criminale può superare le consuete limitazioni, come l’importo limite per i pagamenti contactless o il numero di pagamenti contactless giornalieri consentiti. In breve, il modo migliore per proteggersi è bloccare immediatamente la carta VISA in caso di smarrimento.
I ricercatori dell'EPZ hanno già informato Visa del problema e hanno pubblicato quasi 2000 pagine di documentazione per spiegare i dettagli dell'attacco. Anche le carte Discover e UnionPay sono interessate da questo difetto, a differenza di MasterCard, American Express e JCB, che utilizzano un protocollo di sicurezza diverso da quello di Visa. Per quanto riguarda il protagonista, Visa, spiega che sta adottando misure adeguate per affrontare questa vulnerabilità.
Fonte: arxiv.org (EN): The EMV Standard: Break, Fix, Verify (.pdf)
