Ti possono svuotare il conto con un POS? Torna la bufala del contactless
Immaginate di rientrare dal lavoro sul pullman. Improvvisamente la app della vostra banca vi avvisa che avete appena svuotato il vostro conto corrente, per via di un versamento che non avete mai fatto. Non sarebbe certamente una situazione allettante. C’è chi già dal 2016 utilizza questo nostro punto debole, non per rubarci i soldi – per fortuna – ma per generare clic.
Il misterioso hacker pendolare
Parliamo della bufala del misterioso hacker che si avvicina a voi con un POS portatile (il comune apparecchio utilizzato per eseguire i pagamenti elettronici mediante carta di credito) e sfruttando la modalità contactless vi frega tutti i soldi. Tutto parte da un post pubblicato su Facebook nel 2016 e che sta tornano in auge nei social, con tanto di foto del ladro in azione su un pullman:
Lo sapete cosa ha in mano questo individuo?! E' un POS mobile che legge le carte di credito e i bancomat contactless. Questo personaggio, uno dei tanti, si aggira nei luoghi affollati appoggiandolo a borse, giacche e pantaloni di ignari utenti, alla ricerca di una carta che esegue transazioni al solo avvicinamento dell'apparato. Prestare attenzione!!!
Questa storia non è nata in Italia, ma segue i soliti passaggi che – come nel gioco del telefono – partono dall’articolo sensazionalista di un tabloid per poi divenire virale ovunque. David Puente riporta in maniera accurata tutti i siti – anche di giornali nostrani – che hanno favorito in maniera acritica la diffusione di questa bufala. Così scopriamo che la fonte originale proviene dal sito russo Tjournal, che pubblica testo e foto originali nel febbraio 2016, attribuendole ad un utente di Facebook, il quale si spaccia per dipendente dall’azienda produttrice dell’antivirus Kaspersky.
Perché non è possibile rubare con un Pos mobile?
Una delle ragioni per cui possiamo stare tranquilli è in comune con la bufala del chip sottopelle utilizzato dai governi per controllarci: il raggio d’azione. Nel caso delle carte che possono avvalersi della tecnologia contactless parliamo di una distanza inferiore ai tre centimetri. Non solo, ci vorrebbe anche un apparecchio appositamente realizzato per carpire denaro attraverso giacche o borsette, non basta maneggiare un Pos mobile ordinario. Tale apparecchio potrebbe operare con un raggio d’azione più ampio, ma non funzionerebbe comunque: dovrebbe utilizzare infatti delle chiavi crittografiche elargibili solo dalla banca dell’ignaro pendolare. Senza contare che sopra i 25 euro è richiesto comunque il PIN.
Una tecnica autolesionista. Anche ammettendo che un misterioso hacker possieda questo Pos speciale e che indovini la banca di un pendolare a caso, utilizzare le chiavi crittografiche nel modo descritto significherebbe dire alla Polizia: “Ciao sono un ladro, venite a prendermi”. Insomma, anche ammettendo la possibilità teorica, nella vita reale nessun hacker sarebbe così stupido da mettere in pratica questa tecnica per carpire il nostro denaro.
