È allarme per le 82.074 carte di credito e debito appartenenti a cittadini italiani finite sul dark web dopo essere state hackerate. Nel giro di soli 6 secondi. E i dati sono in vendita al prezzo medio di 15,62 euro su Internet. Lo rivela uno studio realizzato da NordVpn. La società ha scovato nel dark web le generalità dei titolari di 4 milioni di carte di pagamento in 140 Paesi nel mondo.
L’attacco “brute force” è velocissimo: ecco come funziona
L’Italia è classificata come un Paese a rischio medio, con un indice di 0.5. Ma i ricercatori di NordVpn stimano che una carta di pagamento media possa essere violata in soli sei secondi attraverso un attacco definito “brute force”. Questa tipologia di attacco è estremamente veloce: un hacker utilizza un rapido approccio trial-and-error (ossia per tentativi ed errori) per indovinare la password, il pin o, in questo caso, il numero della carta di pagamento corretti. Non occorrono particolari doti intellettive o complessi algoritmi: è puramente un gioco di ipotesi. Tuttavia, l’attacco richiede alcune risorse: tempo, potenza di calcolo e uno speciale tipo di software utilizzato dai criminali.
“L’unico modo in cui un numero così elevato di carte di pagamento potrebbe apparire sul dark web è attraverso un attacco di tipo brute force – spiega Marijus Briedis, chief technology officer di NordVpn -. Ciò significa che, in pratica, i criminali cercano di indovinare il numero e il Cvv della carta. Le prime 6-8 cifre rappresentano il numero Id dell’emittente della carta. Di conseguenza, agli hacker non rimane che indovinare 7-9 numeri, perché la sedicesima cifra è un checksum ed è utilizzata esclusivamente per determinare se sono stati commessi errori in fase di inserimento del numero. Utilizzando un computer, un attacco di questo tipo può richiedere solo sei secondi”.
Visa, Mastercard e American Express: quali le carte più sicure?
La maggior parte delle società emittenti di carte limita il numero di tentativi che sia possibile eseguire in un breve periodo di tempo. E lo fa allo scopo di prevenire questo genere di attacchi, anche se i criminali trovano il modo di aggirare tale barriera.
Mastercard, per esempio, ha un sistema di autenticazione centralizzato. Pertanto, un criminale informatico può provare solo circa 10 volte con un numero prima che il sistema centralizzato di Mastercard lo rilevi. Con il sistema di sicurezza di Visa, un hacker può provare fino a 30 o 40 volte e, forse, anche di più. Ecco perché più della metà (2.524.142) di tutte le carte di pagamento scoperte sul dark web erano Visa, seguite da Mastercard (1.602.248) e American Express (215.971).
Cosa fare per difendersi dagli hacker
Secondo gli analisti di NordVpn i titolari di una carta di credito o debito possono fare poco per proteggersi da questa minaccia. Cruciale è mantenere una soglia alta di attenzione. Per Briedis, è importante “rivedere il proprio estratto conto mensile per individuare eventuali attività sospette e rispondere in modo rapido e serio a qualunque notifica inviata dalla propria banca in cui si comunica che la propria carta potrebbe essere stata utilizzata senza autorizzazione”. Il secondo consiglio è di avere “un conto in banca separato per scopi diversi e mantenere solo piccole somme di denaro in quello a cui sono collegate le carte di pagamento. Alcune banche offrono anche carte virtuali provvisorie che è possibile utilizzare qualora non ci si senta al sicuro durante gli acquisti online”.