Attenzione ai furti contactless con le tecnologie NFC e RFID
Le tecnologie Near Field Communication (NFC) e Radio Frequency Identification (RFID) consentono la comunicazione wireless tra dispositivi e facilitano i processi di pagamento contactless, la tracciabilità dei prodotti e il controllo degli accessi.
Queste tecnologie sono diventate parte della vita quotidiana; Tuttavia, possono essere utilizzati anche per rubare dati importanti , e questo può accadere senza che tu te ne accorga, in luoghi comuni come eventi sportivi, concerti, trasporti pubblici o supermercati.
Come funziona? Secondo David González, specialista in sicurezza informatica presso ESET Latin America, i sistemi RFID sono utili negli ambienti logistici per organizzare carichi, pacchi e inventari, compilando statistiche e informazioni rilevanti. Vengono utilizzati anche nei negozi di abbigliamento per identificare i capi e la loro ubicazione, semplificando le operazioni quotidiane e fornendo un'ulteriore misura di sicurezza.
Nel caso dei sistemi NFC, essi costituiscono la base di dispositivi di prossimità diffusi come i telefoni cellulari e le carte di pagamento contactless. Lo stesso vale per le tessere che consentono alle persone autorizzate di accedere agli edifici attraverso sistemi di controllo degli accessi e delle ore.
(Ti consigliamo: Come condividere la tua posizione su Google mentre sei in viaggio )
Le tessere di prossimità NFC vengono utilizzate anche per aprire le serrature elettroniche nelle camere d'albergo, negli appartamenti turistici e nelle case vacanze, consentendo agli ospiti di accedere comodamente alle loro stanze semplicemente avvicinando la tessera al lettore. Il chip con le informazioni identificative può essere incorporato in altri articoli, come braccialetti o portachiavi, personalizzando ulteriormente l'esperienza degli ospiti.
"Quindi, i sistemi NFC sono in realtà parte della tecnologia RFID, il che significa che possono essere considerati un sottoinsieme delle tecniche RFID. La differenza principale è che i componenti RFID possono operare e comunicare tra loro su distanze molto maggiori. Questo li rende ampiamente utilizzati in una varietà di settori", osserva González.
Si consiglia di utilizzare un portafoglio protetto NFC/RFID e di disattivare gli acquisti contactless sul telefono. Foto: PEXELS: Foto di Mikhail Nilov
Con il progresso di entrambe le tecnologie, i ladri hanno esplorato nuove forme di frode contactless, catturando informazioni sulle carte o eseguendo transazioni non autorizzate.
Una di queste è lo skimming, un tipo di frode in cui i criminali copiano i dati della carta di credito della vittima. Una volta acquisiti i dati, è necessario un ulteriore passaggio, come la clonazione della carta o l'utilizzo di dati rubati nelle transazioni online per commettere frodi.
Secondo l'esperto, " un truffatore utilizza un lettore NFC o RFID nascosto per catturare i dati della carta di pagamento contactless quando qualcuno la tiene troppo vicina . Sebbene i dati rubati in genere non includano il PIN, alcuni aggressori possono utilizzarli per acquisti online in negozi con bassi livelli di sicurezza".
Come misura preventiva, puoi utilizzare portafogli che bloccano gli RFID o addirittura avvolgere la carta in un foglio di alluminio . Si consiglia di abilitare le notifiche di acquisto in tempo reale, di utilizzare carte virtuali o temporanee per gli acquisti online e di monitorare le transazioni.
Un altro tipo di attacco è l'attacco relay: in questo caso, un aggressore intercetta il segnale tra una carta NFC e un terminale di pagamento, amplificandolo per far sembrare che la carta sia presente altrove. In questo modo è possibile effettuare i pagamenti senza che il proprietario se ne accorga.
Per evitare ciò, è consigliabile utilizzare un portafoglio protetto NFC/RFID, disattivare gli acquisti contactless sul telefono quando non lo si utilizza e utilizzare l'autenticazione biometrica per i pagamenti (impronta digitale o Face ID).
Gli esperti di sicurezza informatica parlano anche di hacking dei portafogli elettronici o furto di dati relativi ai pagamenti tramite dispositivi mobili: con questo metodo, i criminali informatici sfruttano le vulnerabilità delle app di pagamento (come Apple Pay o Google Pay) o intercettano i dati sulle reti Wi-Fi pubbliche, il che consente loro di effettuare pagamenti non autorizzati se ottengono l'accesso all'account dell'utente.
A questo proposito, l'azienda di sicurezza informatica Kaspersky afferma che i criminali informatici acquistano diversi smartphone, creano account Apple o Google su di essi e installano app di pagamento contactless. Quando una vittima visita un sito web falso, le viene chiesto di collegare la propria carta o di effettuare un piccolo pagamento obbligatorio. Per farlo è necessario inserire i dati della carta e confermarne la titolarità tramite una password monouso (OTP).
Lo skimming è un tipo di frode in cui i criminali copiano i dati delle carte di credito. Foto: PEXELS: Foto di iMin Technology
Anche se la carta non registra immediatamente gli addebiti, i dati vengono trasferiti quasi istantaneamente ai criminali informatici, che tentano poi di collegarli a un portafoglio mobile sul loro smartphone. Per velocizzare e semplificare il processo, gli aggressori utilizzano un software speciale che acquisisce i dati forniti dalla vittima e genera una replica perfetta della carta. Dopodiché, è sufficiente scattare una foto di questa immagine da Apple Pay o Google Wallet.
Per contrastare questo schema , si consiglia di impostare password complesse e di attivare l'autenticazione a due fattori, di non effettuare mai pagamenti su reti Wi-Fi pubbliche e di utilizzare carte virtuali per le transazioni online , che funzionano ricaricando la carta prima di poterla utilizzare. Si consiglia inoltre di evitare di depositare grandi quantità di denaro su carte virtuali e di ricaricarle solo poco prima di effettuare un acquisto online. Se l'emittente della tua carta lo consente, disattiva i pagamenti offline e i prelievi di contanti per quelle carte. Inoltre, sii sempre vigile e monitora le transazioni.
Un'altra forma di furto è l' installazione di falsi lettori NFC: questo comportamento consiste nel posizionare un lettore NFC modificato sui terminali di pagamento o sugli sportelli bancomat, il quale, quando viene strisciata la carta o il cellulare, cattura i dati dell'utente.
In questo caso è sempre importante verificare che il terminale di pagamento non abbia nulla di sospetto collegato o modificato. Quando possibile, al posto della sola NFC possono essere utilizzate anche carte con chip e PIN; tuttavia, i pagamenti tramite NFC non possono essere accettati su dispositivi provenienti da sconosciuti.
Sulla stessa linea, un altro pericolo è il phishing NFC: una tecnica con cui un truffatore o un criminale informatico cerca di ingannare l'utente inducendolo a tenere il telefono vicino a un finto chip NFC che lo reindirizza a una pagina dannosa.
A questo proposito, Kaspersky avverte che se gli utenti avvicinano il loro dispositivo al lettore NFC modificato, potrebbero essere reindirizzati a siti di phishing oppure potrebbero essere avviate azioni indesiderate sui loro dispositivi o addirittura potrebbe essere inviato software dannoso. Nel suo avviso, l'azienda ha affermato che i ladri potrebbero scambiare un lettore autentico in aree molto trafficate, come nodi di trasporto, bar o negozi al dettaglio, con un lettore che innesca comportamenti dannosi.
Si consiglia di non scansionare i tag NFC in posizioni sospette e di impostare il telefono in modo che chieda conferma prima di aprire i link NFC.
"Il numero di vittime di questo tipo di attacco varia da Paese a Paese, anche se è un dato di fatto che si registra un aumento delle frodi legate alle carte senza chip, soprattutto durante i periodi di maggiore spesa come Natale, San Valentino e Capodanno, per citarne alcuni", ha concluso David González, specialista della sicurezza IT presso ESET Latin America.
Diego Barrio de Mendoza (*)
(*) Con informazioni aggiuntive da EL TIEMPO.
eltiempo
