Al centro della digitalizzazione dei pagamenti c’è una questione cruciale: la sicurezza delle transazioni elettroniche. L’innovazione ha portato alla diffusione dei cosiddetti “smart POS”, dispositivi simili a smartphone, che stanno rapidamente rimpiazzando i vecchi terminali per carte di credito e Bancomat.
Tuttavia, questo progresso tecnologico, pur migliorando l’esperienza utente e l’efficienza nei pagamenti, può celare nuovi rischi.
Per mitigarli occorre prima di tutto conoscerli e farli nostri, inoltre conoscerne i metodi per ridurne gli effetti, con nuovi comportamenti.
Indice degli argomenti
Un ingegnere italiano scopre i pericoli nascosti nei nuovi dispositivi di pagamento
A individuare un’interessante e preoccupante catena di vulnerabilità sui POS Android è stato Jacopo Jannone, ingegnere informatico e penetration tester, che ne ha svelato i dettagli della sua ricerca al convegno No Hat 2024, organizzato da Berghem-in-the-Middle.
Mentre la tecnologia continua a trasformare la nostra quotidianità, anche il settore dei pagamenti si è adattato, in alcuni casi eliminando completamente l’uso del contante, considerato meno sicuro e meno ecologico.
Effettivamente i PoS che ci hanno accompagnato in tutti questi anni, hanno funzionalità molto limitate e quindi meno possibilità di manomissione. Normalmente aumentando la complessità di uno scenario, aumentano anche i rischi a cui lo si espone.
È così anche per questi nuovi dispositivi che hanno il medesimo software di uno smartphone/tablet (Android). Così, le modalità di pagamento digitali non sono immuni da rischi: proprio sui nuovi POS basati appunto su Android, più versatili e complessi, sono state scoperte vulnerabilità che potrebbero consentire di sottrarre i dati delle carte direttamente dal dispositivo, senza la necessità di strumenti aggiuntivi come videocamere nascoste o software per intercettare i PIN.
Un rischio legato all’accesso fisico ai dispositivi
Uno degli aspetti che rende queste vulnerabilità meno preoccupanti, almeno in parte, è che richiedono l’accesso fisico al POS per essere sfruttate. In pratica, un cyber criminale dovrebbe manipolare direttamente il dispositivo per impostare un software che invii automaticamente i dati delle carte a un server remoto.
Il problema sta proprio nello sfruttamento di una porta USB, parte di tutti questi dispositivi. Tra i modelli ispezionati ci sono i largamente utilizzati Ingenico e Verifone, In uno scenario ipotetico, anche un esercente del POS potrebbe inserire il software dannoso, manomettendo il suo stesso PoS, per clonare i dati delle carte a scopo fraudolento.
Una seconda possibilità è rappresentata da attacchi su larga scala, nei quali attori malevoli potrebbero agire nella filiera di distribuzione dei POS stessi, intervenendo prima che questi arrivino nei negozi.
In questo caso, le carte utilizzate sui dispositivi compromessi sarebbero a rischio, e il furto di dati potrebbe avvenire su un’intera rete di POS.
Un Proof of Concept che dimostra la vulnerabilità
Jannone ha già sviluppato un Proof of Concept, mostrando che la vulnerabilità è sfruttabile anche tramite una connessione Wi-Fi condivisa con il dispositivo. Questo apre la strada a varianti di attacco ancora più insidiose, che potrebbero sfruttare una connessione Internet per trasferire i dati, ampliando così la portata e la pericolosità dell’attacco.
Cosa si impara da questa ricerca? Sicuramente bisogna tenere in salda considerazione il fatto che non si torna indietro: utilizzare POS obsoleti o di prima generazione non è la soluzione al problema. Gli smartPOS continueranno la loro diffusione, come è giusto che sia, per semplificare la vita di esercenti e clienti con funzionalità sempre più avanzate anche nel mondo dei pagamenti.
Bisogna invece imparare a convivere con tali strumenti, dobbiamo cioè tutti essere all’altezza dello strumento, per ciò che offre (le cose buone) e per i rischi che espone (le cose cattive).
Il nostro comportamento (quello di clienti ed esercenti), nei confronti di tali dispositivi, sarà cruciale per il futuro. Impariamo per esempio che continuare ad utilizzare carte di pagamento di plastica non è sicuro, non altrettanto quanto utilizzare direttamente il nostro smartphone magari protetto da biometria, per citare un caso.
Il wallet di pagamento, presente sui tutti i nostri dispositivi, nel quale possiamo associare le nostre carte, si interfacciano con i PoS mediante l’utilizzo della tecnologia NFC, trasferendo dati (tra il PoS e lo smartphone) che non sono i dati umanamente leggibili delle nostre carte, ma dei token che abiliteranno la comunicazione.
In definitiva, anche se questi dati venissero intercettati, non sarebbero utilizzabili da un criminale come i dati in chiaro delle nostre carte, che invece sarebbero tali con un passaggio di carta fisica (in plastica).
Anche il fatto che non si deve digitare il PIN con l’utilizzo delle carte sul wallet, espone a meno rischi di intercettazione su dispositivi manomessi.
Insomma, quello che è giusto imparare è che si può convivere con una maggiore complessità, anche in maniera sicura, l’importante è conoscere ciò che utilizziamo.
La ricerca di Jacopo Jannone sottolinea l’importanza della sicurezza digitale e invita a una maggiore consapevolezza delle vulnerabilità legate all’evoluzione tecnologica.
Gli esercenti e i consumatori possono ridurre i rischi prestando attenzione all’integrità dei dispositivi e preferendo POS certificati e aggiornati.