14 settembre 2006

Carte di credito online

Nell'immaginario popolare, Internet è spesso sentito come un luogo altamente insicuro per l'utilizzo di carte di credito. Una credenza vera a metà, che si può comunque scongiurare con un atteggiamento attento e prudente.

Si pensa a Internet come il luogo principale delle frodi informatiche basate sull'utilizzo illecito delle carte di credito. Questa affermazione, tuttavia, contiene degli elementi di grande imprecisione. Prima di tutto, secondo il diritto, non si può parlare di frode informatica per l'utilizzo illecito delle carte di credito. Si tratta di un reato a se stante. Mentre le frodi informatiche ricadono sotto l'articolo 640ter del Codice Penale, le truffe che vedono l'utilizzo improprio di carte di credito sottratte ai legittimi proprietari ricadono nell'ambito dell'articolo 12 dell'apposita legge 197/91.

Spesso, ovviamente, i due articoli concorrono a definire l'illecito, ma in ogni caso è più corretto parlare di truffa. Inoltre, Internet è il luogo in cui maggiormente si utilizzano le carte di credito - acquisite anche illecitamente - per portare a termine degli acquisti. Non è invece il luogo in cui più facilmente si perpetra il furto dei dati.

La sottrazione dei dati
Tra le tecniche di sottrazione dei dati sensibili delle carte di credito, soltanto due possono essere ricondotte esplicitamente a Internet, mentre le altre fanno riferimento a operazioni offline di tipo tradizionale. Tutte le tecniche, comunque, mirano a impossessarsi di solito dei dati sensibili indispensabili per portare a termine le transazioni: il nome del titolare, il numero della carta, la data di scadenza e il codice di sicurezza (quello a tre cifre poste sul retro della carta stessa).

Le tecniche di sottrazione in ambiente Internet
I metodi utilizzati per entrare in possesso su Internet dei dati di carta di credito sono principalmente due. Vi sono le tecniche più tradizionali di hacking, con cui i malintenzionati si intromettono in sistemi e comunicazioni per appropriarsi dei dati, e vi sono le più innovative tecniche di phishing, vera e propria pesca dei pesci che abboccano alle esche lanciate nel mare del Web. Nel primo caso, i truffatori sfruttano conoscenze informatiche evolute per entrare nelle banche dati online di siti che custodiscono i dati sensibili oppure per intercettare le comunicazioni tra clienti e venditori (o banche) copiando i dati sensibili.

Nel secondo caso, i malfattori creano dei tranelli virtuali per farsi dare direttamente dagli utenti i propri dati sensibili. Nel phishing più evoluto (e diffuso, negli ultimi tempi), si lascia credere all'utente di essere contattato dalla propria banca per rinnovare le informazioni in possesso dell'istituto stesso. Quindi si porta l'utente su un sito - fotocopia di quello originale in modo da ingannarlo e fargli commettere il passo falso di dichiarare i propri dati.

Le tecniche di tipo tradizionale
Tuttavia, l'incidenza maggiore nei casi di sottrazione dei dati è fornita dalle tecniche di tipo tradizionale, che avvengono nel mondo reale. In particolare, nei casi di studio sono citati il boxing e il trashing come metodi più diffusi. Il primo consiste nell'intercettare la comunicazione banca-cliente attraverso la posta tradizionale, in modo da carpire tutte le informazioni necessarie. Parimenti, il trashing indica le azioni di recupero dei dati dai vecchi scontrini od estratti conto, spesso gettati via dai clienti senza la cura necessaria.

Questi documenti, infatti, contengono tutte le informazioni necessarie, e per questo motivo sarebbe più prudente bruciarli oppure ridurli a pezzetti prima di gettarli nell'immondizia. Infine, una tecnica di appropriazione spesso, a torto, trascurata, è quella del furto diretto dei dati, tramite apparecchiature denominate skimmer. Questi apparecchi catturano le informazioni direttamente dalla banda magnetica, e permettono di clonare la carta in tutto e per tutto - fino a creare una copia reale.

Internet luogo di consumo
Su Internet quindi non si rubano i dati, ma più spesso si utilizzano i dati rubati. Infatti l'assenza del contatto diretto venditore-cliente favorisce l'utilizzo di dati sottratti illegalmente. Invece, non è così semplice impossessarsi illegalmente dei dati sensibili, anche per la grande attenzione posta dalle società al trattamento degli stessi.

L'uso della carta di credito su Internet non è più pericoloso dell'uso che si fa al bar o in un centro commerciale. Decisamente maggiore, invece, è l'uso di dati sottratti illecitamente - anche nel mondo reale. Spesso la stampa generalista, e quella amante del sensazionalismo, calcano la mano sull'insicurezza delle transazioni via Internet con carta di credito. Ma il pericolo è potenzialmente ovunque. [fonte shinynews]