25 agosto 2019
Aggiornato 08:00
gli skimmer biometrici

Cyber security, quali sono le prossime minacce per i bancomat

Kaspersky Lab ha presentato i risultati di uno studio su come i cyber criminali possano sfruttare le tecnologie di autenticazione

ROMA - Sono ormai anni che i bancomat rappresentano un obiettivo dei criminali a caccia dei dati delle carte di credito. Tutto è iniziato con degli skimmer rudimentali: dei dispositivi fatti in casa applicati ai bancomat in grado di rubare informazioni dalla striscia magnetica della carta e il codice pin attraverso un falso pin pad o una telecamera connessa a Internet. Nel tempo, il design di questi dispositivi è stato migliorato per renderli meno visibili. Con l’implementazione di carte chip & pin più difficili da clonare – ma non impossibili – si sono inoltre evoluti nei cosiddetti shimmer: essenzialmente gli stessi dispositivi, ma in grado di ottenere informazioni dal chip della carta, trasmettendo sufficienti informazioni per condurre un attacco via internet. Il settore bancario reagisce agli sforzi dei criminali implementando nuove soluzioni di autenticazione, alcune delle quali sono basate sulla biometrica.

Le prossime minacce per bancomat
Secondo i risultati di un’indagine nell’underground cyber criminale condotta dagli esperti di Kaspersky Lab, ci sono già almeno dodici rivenditori di skimmer in grado di rubare le impronte digitali delle vittime e almeno tre vendor stanno già facendo ricerche su dispositivi che saranno in grado di ottenere illegalmente informazioni dai sistemi di riconoscimento dell’iride o delle vene della mano. La prima ondata di skimmer biometrici in fase di «presale testing» è stata osservata a settembre 2015. Durante i test iniziali, gli sviluppatori hanno scoperto diversi bug. Tuttavia, il principale problema era nell’utilizzo dei moduli GSM per il trasferimento dei dati biometrici, troppo lenti per trasferire la grande quantità di dati ottenuti. Di conseguenza, le nuove versioni di skimmer useranno nuove tecnologie di trasferimento più veloci. Sono inoltre state scoperte discussioni in corso nelle community underground sullo sviluppo di applicazioni mobile basate sull’utilizzo di maschere sovrapposte alla faccia dell’utente.

Gli skipper biometrici
Grazie a queste app, i criminali possono usare una foto di una persona pubblicata sui social network per ingannare un sistema di riconoscimento facciale. «Il problema con la biometrica è che, al contrario delle password e dei codici pin che possono essere facilmente modificati in caso di compromissione, è impossibile cambiare la propria impronta digitale o l’iride. Di conseguenza, se le proprie informazioni vengono compromesse anche solo una volta, non sarà più sicuro usarle in futuro. Ecco perché è assolutamente importante tenere al sicuro questi dati e trasmetterli in modo protetto. I dati biometrici vengono inoltre registrati nei moderni passaporti – chiamati e-passport – e nei visti. Così, se un cyber criminale entra in possesso di un e-passport, non ruba solamente il documento, ma anche i dati biometrici della persona. Di conseguenza, ruba la sua stessa identità», ha commentato Olga Kochetova, esperta di sicurezza di Kaspersky Lab. L’utilizzo di tool in grado di compromettere i dati biometrici non è l’unica minaccia potenziale per i bancomat identificata dai ricercatori di Kaspersky Lab. Gli hacker continueranno a condurre attacchi basati su malware, attacchi «black box» e attacchi ai network per ottenere i dati che verranno successivamente utilizzati per rubare denaro dalle banche e dai loro clienti.