In questo articolo un esperto di criminalità informatica illustra i 5 modi in cui i criminali informatici rubano i dati delle carte di credito . Su siti del dark web, nascosti alle forze dell’ordine e alla maggior parte dei consumatori, i criminali informatici comprano e vendono enormi quantità di dati rubati e gli strumenti di hacking necessari per ottenerli.

di Samuele Zaniboni, Senior Manager of Sales IT and Technical Engineer in ESET Italia 

La criminalità informatica organizzata è una macchina ben oliata che vale trilioni di dollari all’anno. Si pensa che attualmente circolino sui siti ‘dark web’ ben 24 miliardi di nomi utente e password ottenuti illegalmente. Tra i più ricercati ci sono i dati delle carte di credito recenti, che vengono poi acquistati dai truffatori per commettere frodi di identità. Nei Paesi che hanno implementato i sistemi chip e PIN (noti anche come EMV), è difficile trasformare questi dati in carte clonate, per cui, nella maggior parte dei casi vengono utilizzati online in attacchi “card-not-present” (CNP). I truffatori potrebbero utilizzarle per acquistare articoli di lusso da rivendere, o per acquistare gift card in blocco – altro sistema in voga per riciclare fondi ottenuti illecitamente. È difficile stimare l’entità di questo business, ma gli amministratori del più grande mercato clandestino del mondo si sono recentemente ritirati dopo aver guadagnato, secondo le stime, 358 milioni di dollari.
Alla luce di ciò, ecco cinque dei metodi più comuni che gli hacker utilizzano per entrare in possesso dei dati delle nostre carte di credito e come prevenirli:

1. Phishing

Il phishing è una delle tecniche più diffuse dai criminali informatici per rubare i dati. Nella sua forma più semplice, si tratta di una truffa in cui l’hacker si maschera da entità legittima (ad esempio, una banca, un fornitore di e-commerce o un’azienda tecnologica) per indurre a fornire i nostri dati personali o a scaricare involontariamente un malware. Spesso incoraggiano gli utenti a cliccare su un link o ad aprire un allegato. A volte questo porta l’utente a una pagina di phishing, dove viene spinto a inserire informazioni personali e finanziarie. Si dice che il phishing abbia raggiunto il massimo storico nel primo trimestre del 2022.
Queste truffe si sono evolute negli ultimi anni. Invece di un’e-mail, oggi potremmo ricevere un testo (SMS) malevolo da un hacker che finge di essere un’azienda di consegne, un’agenzia governativa o un’altra organizzazione fidata. I truffatori possono anche telefonare, sempre fingendo di essere una fonte affidabile, con l’obiettivo di ottenere i dati della carta. Il phishing via SMS (smishing) è più che raddoppiato rispetto all’anno precedente nel 2021, mentre il phishing vocale (vishing) ha registrato un’impennata, secondo una prima stima.

2. Il malware

Il mondo della criminalità informatica è un enorme mercato, non solo di dati ma anche di malware. Nel corso degli anni sono stati progettati diversi tipi di codice dannoso per rubare informazioni. Alcuni registrano le battute dei tasti, ad esempio mentre si digitano i dati della carta su un sito di e-commerce o bancario. Come fanno i malintenzionati a introdurre questi strumenti nel nostro computer?
Le e-mail o gli SMS di phishing sono un metodo molto diffuso. Un altro sistema è quello dagli annunci online fraudolenti. In altri casi, possono compromettere siti web popolari e aspettare che gli utenti li visitino. Il malware drive-by-download si installa non appena si visita il sito compromesso. Anche il malware che ruba informazioni è spesso nascosto all’interno di applicazioni mobili dall’aspetto legittimo.

3. Skimming digitale

A volte gli hacker installano malware anche nelle pagine di pagamento dei siti di e-commerce. Questi sono invisibili all’utente, ma catturano i dati della carta mentre vengono inseriti. Non c’è molto che gli utenti possano fare per stare al sicuro, a parte acquistare solo presso marchi e siti web di grandi firme, che probabilmente sono più sicuri. I rilevamenti di skimming digitale (anche detto skimming di carte online) sono aumentati del 150% tra maggio e novembre 2021.

4. Data breach

A volte i dati delle carte vengono rubati direttamente dalle aziende con cui si lavora. Può trattarsi di un fornitore di servizi sanitari, di un negozio di e-commerce o di un’azienda di viaggi. Dal punto di vista degli hacker, questo è un modo più conveniente di agire, perché in un solo attacco ottengono l’accesso a un’enorme quantità di dati. Con le campagne di phishing, invece, gli hacker devono derubare i singoli individui uno per uno, anche se di solito questi attacchi sono automatizzati. Il 2021 è stato un anno record per i data breach negli Stati Uniti.

5. Wi-Fi pubblico

Quando si è in giro si può essere tentati di navigare gratuitamente su hotspot Wi-Fi pubblici, negli aeroporti, negli hotel, nei caffè e in altri spazi condivisi. Anche se l’accesso alla rete è a pagamento, potrebbe non essere sicuro se gli hacker hanno fatto lo stesso. Possono utilizzare questo accesso per spiare i dati mentre vengono inseriti.

Come tenere al sicuro i dati della carta di credito

Fortunatamente esistono molti modi per ridurre il rischio che i dati della carta finiscano nelle mani sbagliate. I seguenti sono un buon punto di partenza:
Attenzione: non rispondere mai, non cliccare sui link e non aprire mai gli allegati di e-mail non richieste. Potrebbero contenere malware. Oppure potrebbero portare a pagine di phishing dall’aspetto legittimo, dove verrà richiesto l’inserimento di dati sensibili.
Non rivelare alcun dettaglio al telefono, anche se la persona all’altro capo sembra convincente. Chiedere da dove chiamano e poi richiamare l’organizzazione per verificare, ma non utilizzando i numeri di contatto che vengono forniti.
Non utilizzare internet con il Wi-Fi pubblico, soprattutto se non si ha una rete privata virtuale. Se necessario, non fare nulla che richieda l’inserimento dei dati della carta.
Non salvare i dati della carta negli acquisti online o in altri siti, anche se questo aiuta a risparmiare tempo nelle visite future. In questo modo si ridurranno le possibilità che i dati della carta vengano sottratti in caso di violazione dell’azienda o di dirottamento dell’account.
Installare su tutti i computer portatili e gli altri dispositivi una protezione anti-malware, compresa una protezione anti-phishing, fornita da un vendor di sicurezza affidabile.
Utilizzare l’autenticazione a due fattori per tutti gli account sensibili. In questo modo si riducono le possibilità che gli hacker li aprano con password rubate o contraffatte.
Scaricare solo applicazioni da marketplace legittimi (Apple App Store, Google Play).
In caso di acquisti online, utilizzare solo siti con HTTPS (dovrebbe apparire un lucchetto nella barra degli indirizzi accanto all’URL). Riduce le possibilità che i dati vengano intercettati.
Infine, è buona norma tenere sotto controllo tutti i propri conti bancari e carte di credito. Se si notano transazioni sospette, informare immediatamente il team antifrode della banca o del fornitore di carte. Alcune app consentono di “congelare” tutte le spese su carte specifiche fino a quando non si può accertare se c’è stata una violazione della sicurezza. Ci sono molti modi in cui i malintenzionati possono ottenere i dati delle nostre carte, ma anche molti modi in cui possiamo tenerli a distanza.

Articoli sullo stesso argomento: vedi qui