Incassare PIN
Cos’è l’incasso del PIN?
L’incasso del PIN è un tipo di frode in cui l’uso di informazioni rubate sulla carta di credito o di debito consente a un ladro di accedere alla banca o al conto di credito del titolare della carta. In genere, l’incasso del PIN prevede l’uso di uno sportello automatico (ATM) per prelevare fondi una volta che il numero di identificazione personale (PIN) della carta è noto. Questa versione del crimine informatico è il risultato di una violazione dei dati durante l’elaborazione della carta.
Capire l’incasso del PIN
L’incasso del PIN sfrutta una delle caratteristiche di sicurezza più basilari delle carte di debito, l’uso di un numero PIN a più cifre. Il titolare della carta crea il PIN. Quando il proprietario della carta inserisce o fa scorrere la carta di debito presso un bancomat o effettua un acquisto in un negozio, inserisce il PIN nel terminale per l’elaborazione della transazione. Negli Stati Uniti, le carte di credito non richiedono l’inserimento di un numero PIN per l’elaborazione, a meno che il proprietario non desideri prelevare contanti da un bancomat. Tuttavia, in Europa, l’uso di una carta di credito durante un acquisto in negozio richiede anche l’inserimento di un PIN.
Gli hacker possono accedere al sistema informatico di una banca, un negozio al dettaglio o altre aziende che elaborano le transazioni elettronicamente. Le istituzioni spesso vengono prese di mira se dispongono di sistemi di sicurezza deboli. I ladri utilizzano questo accesso non autorizzato per rubare informazioni riservate sull’account.
In alcuni casi, gli hacker possono rimuovere i limiti di prelievo manipolando le impostazioni del sistema di sicurezza.
La violazione di Home Depot
La violazione del 2014 dei terminali di self-checkout di Home Depot è diventata uno dei casi più degni di nota di furto di dati delle carte. Questo evento ha compromesso la sicurezza di circa 50 milioni di carte di credito e di debito. La società non ha riscontrato alcuna prova di rivelazione dei numeri PIN, ma gli esperti di sicurezza hanno mostrato come i ladri con diversi punti di dati chiave su un cliente potrebbero facilmente raccogliere informazioni di identificazione personale (PII) sul titolare della carta dal data mining illegale. Informazioni che sarebbero sufficienti per reimpostare i numeri PIN sui siti web delle banche.
Ad esempio, i ladri di Home Depot potrebbero abbinare numeri di carta di credito, nomi di titolari di carta e codici postali del negozio. Poiché molti clienti vivono nello stesso codice postale del loro Home Depot locale, questo ha effettivamente rivelato il codice postale del titolare della carta. Armati di queste informazioni, i ladri potrebbero estrarre i numeri di previdenza sociale, le date di nascita e altri dati personali che consentirebbero loro di modificare i PIN.
Nel frattempo, sofisticati anelli antifurto possono stampare le informazioni sulle carte rubate su nuove carte fittizie. La carta contraffatta, armata di PIN di ripristino, consente di prelevare contanti dagli sportelli automatici.
Home Depot non è il solo ad avere violazioni della sicurezza che compromettono le informazioni degli utenti. Altre società vittime includono Panera Bread, MyFitnessPal, Sonic Drive-In e persino il gigante della segnalazione del credito, Equifax.
La nuova tecnologia aiuta i criminali a incassare PIN
Banche, negozi e società di carte di credito hanno combattuto contro l’incasso del PIN. I nuovi chip elettronici nelle carte di credito (EMV) per Europay, Mastercard e Visa sono molto più difficili da contraffare rispetto alle vecchie carte a banda magnetica. Le carte EMV utilizzano la cosiddetta tecnologia rolling-code, che genera un nuovo codice di pagamento ad ogni acquisto. Anche così, gli esperti dicono che difendersi dall’incasso del PIN e da altre forme di furto dei dati delle carte richiederà una vigilanza costante.
Il furto di carte di credito e di debito può accadere in qualsiasi negozio, bar o ristorante in cui la tua carta è fuori dalla tua vista durante l’elaborazione. I ladri hanno skimmer portatili che possono stare in una tasca e gli utenti possono scansionare illegalmente la tua carta a tua insaputa. Ad esempio, nel 2018, una cameriera del ristorante Twin Peaks di Oklahoma City è stata ripresa dalle telecamere di sorveglianza usando uno schiumatoio delle dimensioni di un cubetto di ghiaccio nascosto nella tasca dei pantaloni.
I criminali possono anche sostituire lettori di carte validi nelle stazioni di servizio e in altri punti vendita (POS) con uno modificato. Il lettore modificato trasferirà i dati tramite una connessione Bluetooth. Le tastiere possono avere una sovrapposizione stampata in 3-D che raccoglierà e trasmetterà l’immissione del PIN. È anche noto che localizzano piccole telecamere a spillo nei prodotti in vendita vicino agli sportelli automatici dei negozi per registrare le voci PIN delle carte scremate.
I dati FICO riportano che durante il 2017, il numero di dispositivi ATM e punti vendita compromessi è aumentato dell’8% e che il numero di carte di debito compromesse è aumentato del 10% nello stesso studio.