Ieri ho visto due ragazzini che tentavano lo skimming. Cercavano di prelevare denaro da carte contactless.
Voi che sapete tutto, come posso difendermi?Leggendo in giro ho scoperto che non c’è una risposta univoca. Alcuni dicono che la RFID blocking card non serve a nulla, altri dicono che basta avere due carte vicine che interferiscono, altri che è meglio un portafoglio adhoc … io che faccio?
Due cose:
Ci sono portadocumenti fatti apposta, se temi ti facciano lo scherzo.
Oppure basta che non tieni il portafogli in tasca ma in uno zainetto che, sui mezzi o tra la folla, tieni con una mano anziché sulla schiena, badando bene che nessuno ci si avvicini a meno di 10 cm per più di un secondo. Del caso, cambi mano e lo allontani, anche solo a 15/20 cm di distanza.
Sono comunque colpito: mettere in piedi quel giochino non è a costo zero e nemmeno tanto facile da realizzare in pratica.
Domani rispondo con calma il mio cervello è in folle.
3 Mi Piace
Ah gia’.
Cosa intendi per “cercare di prelevare da carte contactless”? dove? al POS? e quanto?
Di principio le carte contactless hanno un limite assai basso per le quali non è richiesta autenticazione. Di solito 50euro. Al di sopra di tale soglia, la carta rifiuta la transazione.
Si sente parlare dello skimming ad esempio nei posti affollati, avvicinando un lettore a una borsa. Per quanto teoricamente plausibile, dal punto di vista della fattibilità questo richiede che vi sia un terminale abilitato, ad esempio potrebbe essere stato rubato, tuttavia la cosa richiede che oltre al terminale vi sia stato un trasferimento del conto di appoggio. Mi sembra abbastanza rischioso, posto che, di nuovo, subentra il limite di cui sopra.
Blocking card.
Non sono teoricamente inutili, purché funzionino. Che le protezioni messe a punto da banche, emittenti e dalle norme tecniche funzionino o no, riuscire a non dialogare con il chip della carta è colo un bene.
Questo è falso, era vero con alcuni vecchi lettori che non implementavano il sistema anticollisione come ad esempio nella ISO14443, ma oggi credo ci siano pochi firmware che non la implementano.
Beh, tecnicamente nì. il punto in realtà è un altro, chi te lo fa fare per rubare 49 euro a botta?
Personalmente sono abbastanza perplesso.
Io invece avrei un’altra domanda. Come evitare di smagnetizzare accidentalmente una carta, una CIE o la tessera sanitaria? A volte infilo tutto in un taschino del borsello e ho iniziato a temere di far pasticci. 
La banda magnetica non viene più utilizzata in quanto troppo insicura.
La cosa che puoi succedere è di rompere il chip se pieghi accidentalmente la carta, ma ci vuole un po’ di impegno.
e se lo avvicinano alla carta di credito dove il limite è più alto?
Sono due limiti diversi.
Il limite che tu vedi nella carta di credito e di debito è un limite “bancario”, nel senso che viene esercitato dalla banca o dall’emittente nel momento in cui l’apparato del venditore contatta l’emittente per certificare online la transazione.
Il limite di cui parlavo sopra è il limite invece imposto dal chip durante quello che in gergo viene definito “valutazione del rischio”, e in cui il lettore e il chip decidono se è necessaria l’autenticazione dell’utente, sotto forma di PIN o altro.
Questo avviene quando l’utente avvicina la card cioè il chip al lettore. In questo caso il lettore può richiedere il PIN, oppure l’inserimento della tessera fisica per la transazione on chip , non contactless.
Sotto il limite, di solito 25 o 50 euro, l’autenticazione non è richiesta.
grazie
Sulle due carte che interferiscono però…
giusto sabato in Planetario moglie e marito (o marito e amante) hanno avvicinato le loro carte insieme al terminale pos nexi e quello ha fatto apparire sul display: avvicinare una sola carta
C’è gente che rischia di più per 5 euro. Diciamo che un ladro professionista non ci si mette, ma due ragazzini (come racconta il Jabba) potrebbero provarci, perché non sanno quello che rischiano (tipo un linciaggio sul posto, o appena li sgama la mamma, pure di peggio) rispetto al bottino.
Ma resta il discorso “arrivare a 10 cm dalla carta” che pare semplice, però non è così facile. Poi la difficoltà tecnica: devi anche riuscire a recuperare/usare i soldi senza che si risalga a te (a meno che tu non abbia una buona scusa per quando ti tracceranno). E reperire un pos con cui girare non è proprio alla portata di tutti i 15 enni.
Di norma se hai una capacità tale non ti metti a fregare 50€.
Sarebbe più fattibile con un organizzazione criminale che manda in giro dei ragazzini a fregare la gente dandogli qualche decina di euro a colpo.
Se si riescono ad utilizzare come appoggio conti all’estero, la cosa può avere un senso, ma non so se si riesca a fare velocemente.
Certamente. Questo conferma che la collisione VIENE gestita, e nel modo corretto: il POS non deve fare alcuna assunzione su QUALE tessera viene letta e dunque chiede agli utenti di avvicinare una sola carta.
Se volete posso entrare nei dettagli, se interessano.
Non saprei. Un attacco tipo relay attack era possibile (un lettore nfc che viene appoggiato su una card, e fa da ponte verso un altro reader in modalità emulazione che simula la presenza della carta a distanza), ma credo non sia più fattibile in quanto sono stati immessi vincoli nel tempo di esecuzione del comando.
Tuttavia mi fermo per non dire stupidaggini. Non seguo la cosa da un po’ e potrei essermi perso qualcosa.