3 hours ago
22
Qualche giorno fa abbiamo visto come la sicurezza informatica riguardi diverse tipologie di dispositivi: non sono solo computer e smartphone a correre dei rischi ma qualunque apparecchio sia collegato alla rete; a tal proposito, in occasione della conferenza No Hat tenutasi a Bergamo, il ricercatore Jacopo Jannone ha evidenziato alcune vulnerabilità relative alle nuove tipologie di POS.
I NUOVI POS SONO TROPPO SMART
Negli ultimi anni i pagamenti digitali hanno preso sempre più piede, si tratta di un fenomeno che contribuisce a ridurre l'evasione fiscale e permette ai clienti di pagare utilizzando dispositivi tecnologici quali smartphone e smartwatch, oltre che ovviamente con le classiche carte fisiche.
Per quanto questa tipologia di pagamenti sia comoda, nasconde anche delle insidie: dei malintenzionati potrebbero infatti sottrarre le informazioni delle carte dei clienti (numero, scadenza, PIN) con l'intento di clonarle. Se con i POS più datati questa tipologia di attacco richiedeva metodi artigianali, i POS di nuova generazione sono teoricamente più pericolosi da questo punto di vista.
I vecchi dispositivi con tastierino e display a cristalli liquidi hanno funzionalità limitate e una struttura molto semplice. Le nuove generazioni di POS sono invece dei dispositivi molto simili a un qualsiasi smartphone. Questo significa che hanno un sistema operativo Android e, in particolare, permettono livelli di interazione molto più complessi, per esempio il collegamento tramite usb. Sono proprio queste caratteristiche che aumentano a dismisura la superficie di attacco di un eventuale cyber criminale
LA SITUAZIONE NON CRITICA
Accertato che i POS di nuova generazione sono teoricamente più vulnerabili, in realtà Jannone sottolinea come le vulnerabilità rilevate non siano sfruttabili da remoto: per compromettere un dispositivo sarebbe infatti necessario avere fisicamente accesso a quest'ultimo, così da poter utilizzare la porta USB per hackerarlo e modificarne il software per scopi illeciti.
In secondo luogo, per quanto i nuovi POS permettano in teoria di carpire anche il codice PIN delle carte utilizzate e non solo gli altri dati, un malintenzionato dovrebbe comunque avere accesso alla stessa rete Wi-Fi a cui è collegato il terminale per portare a termine il proprio attacco.
COME DIFENDERSI
Inutile sottolineare come il cliente poco o nulla possa fare per verificare la sicurezza di un POS all'interno di un esercizio commerciale, ma quindi come bisogna comportarsi per evitare problemi? È consigliabile evitare l'utilizzo della carta fisica preferendo gli smartphone: quando effettuiamo un pagamento elettronico utilizzando il telefono infatti, a differenza di quanto avviene con l'utilizzo delle carte fisiche, non vengono condivisi i dati reali della carta; il numero, la scadenza, il codice di sicurezza utilizzati per effettuare il pagamento non sono quelli reali, ma sono appositamente generati dalle varie piattaforme proprio per evitare problemi di questo tipo.
English (US)