Esperto di sicurezza informatica spiega in che modo 4 milioni di carte di pagamento sono comparse sul dark web
I ricercatori stimano che una carta di pagamento media possa essere violata in soli sei secondi. Uno studio pubblicato da NordVPN, che ha analizzato 4 milioni di carte di pagamento di 140 Paesi, ha rilevato che il metodo più comune per hackerare una carta è attraverso un attacco brute force. Questa tipologia di attacco è estremamente rapida e può essere eseguita in pochissimi secondi.
“L’unico modo in cui un numero così elevato di carte di pagamento potrebbe apparire sul dark web è attraverso un attacco di tipo brute force. Ciò significa che, in pratica, i criminali cercano di indovinare il numero e il CVV della carta. Le prime 6-8 cifre rappresentano il numero ID dell’emittente della carta. Di conseguenza, agli hacker non rimane che indovinare 7-9 numeri, perché la sedicesima cifra è un checksum ed è utilizzata esclusivamente per determinare se sono stati commessi errori in fase di inserimento del numero. Utilizzando un computer, un attacco di questo tipo può richiedere solo sei secondi”, afferma Marijus Briedis, CTO (chief technology officer) di NordVPN.
Come funzionano gli attacchi di tipo brute force?
In un attacco di tipo brute force, un hacker utilizza un rapido approccio trial-and-error (ossia per tentativi ed errori) per indovinare la password, il PIN o, in questo caso, il numero della carta di pagamento corretti. Non occorrono particolari doti intellettive o complessi algoritmi: è puramente un gioco di ipotesi. Tuttavia, l’attacco richiede alcune risorse: tempo, potenza di calcolo e uno speciale tipo di software utilizzato dai criminali.
“Per indovinare le nove cifre necessarie per ottenere un numero di carta completo, un computer deve passare in rassegna 1 miliardo di combinazioni. E ci vorrà soltanto un minuto per un normale computer, che può provare circa 25 miliardi di combinazioni all’ora. Tuttavia, a seconda dell’emittente della carta, un criminale potrebbe aver bisogno di sole sette cifre per indovinare correttamente. In questo caso, basterebbero sei secondi,” afferma Marijus Briedis.
La maggior parte degli emittenti di carte limita il numero di tentativi che è possibile eseguire in un breve periodo di tempo per prevenire questo genere di attacchi, ma i criminali trovano il modo di aggirare tale limite. Mastercard, ad esempio, ha un sistema di autenticazione centralizzato. Pertanto, un criminale può provare solo circa 10 volte con un numero prima che il sistema centralizzato di Mastercard lo rilevi. Con il sistema di sicurezza di Visa, un criminale può provare 30 o 40 volte, forse anche di più. E se sceglie il momento giusto della giornata, quando c’è molto da fare, può provare molte più volte, perché il sistema è di tipo federato decentralizzato.
Ecco perché più della metà (2.524.142) di tutte le carte di pagamento scoperte erano Visa, seguite da Mastercard (1.602.248) e American Express (215.971).
Si può fare qualcosa per proteggersi?
Gli utenti possono fare poco per proteggersi da questa minaccia, a parte astenersi totalmente dall’utilizzo delle carte. La cosa più importante è stare sempre in guardia.
“Rivedere il proprio estratto conto mensile per individuare eventuali attività sospette e rispondere in modo rapido e serio a qualunque notifica inviata dalla propria banca in cui si comunica che la propria carta potrebbe essere stata utilizzata senza autorizzazione. Un altro consiglio è avere un conto in banca separato per scopi diversi e mantenere solo piccole somme di denaro in quello a cui sono collegate le carte di pagamento. Alcune banche offrono anche carte virtuali provvisorie che è possibile utilizzare qualora non ci si senta al sicuro durante gli acquisti online”, sostiene Marijus Briedis.
