Nuovo pericolo per gli utilizzatori di carte di credito. I ricercatori di Cisco hanno infatti scoperto un nuovo malware volto a rubare i codici delle carte; è stato chiamato PoSeidon, dal gioco di parole fra la divinità greca che governa i mari e l'acronimo PoS (Point of Sale). Chi, dopo aver messo le carte di credito dei diversi operatori a confronto per trovare la più adatta ai propri bisogni, ha acquistato una carta, dovrà far attenzione al momento del pagamento.

Un malware in grado di identificare le diverse carte

PoSeidon fa uso di un metodo chiamato "memory scraping". Esso comporta l'analisi della RAM da parte del virus attraverso la lettura delle stringhe contententi i dati delle carte appena passate sui terminali. Il programma utilizza un keylogger, un loader che carica il malware e un lettore di memoria: in questo modo può avere accesso ai dati delle carte utilizzate per i pagamenti digitali. Coloro che si sono informati su Visa e le sue carte, dopo averne attivata una, dovranno quindi utilizzarla con prudenza.

Ecco gli step per il furto dei codici

Il primo passo compiuto da PoSeidon consiste nel rubare le credenziali di accesso per accedere all'interno del sistema PoS da remoto. Il malware infatti finge di cancellare dal registro di sistema le password e i profili degli utenti, che sono obbligati a inserire nuovamente i codici, ignari del fatto che così facendo li stanno consegnando ai criminali. Questi ultimi utilizzano allora il loader e il memory scraper per tenere sotto controllo la RAM dal server esterno. Dopodiché vengono lette solamente le sequenze di 16 cifre che iniziano per 6,5,4 e quelle di 15 il cui primo numero è 3: in tal modo vengono distinte le carte Visa, Mastercard, Discover e American Express.

Dopo aver indentificato il numero della carta, esso viene comunicato ad un server che funge da database. Il vero problema per i consumatori consiste proprio nel fatto che i dati non vengono messi su un server temporaneo. I dati prelevati da PoS differenti confluiscono infatti in un unico archivio. L'elenco di codici viene poi rivenduto al mercato nero e sfruttato per clonare carte di pagamento o creare falsi account. Il fatto che gli attacchi arrivino da remoto rende più complesso arrivare a catturare i malfattori.

Le carte di credito sono un settore facile da attaccare

Se i negozianti adottassero misure di sicurezza più ampie si potrebbero evitare questi rischi. Infatti molti lettori PoS hanno tuttora le password di default, facili da identificare. Non stupisce quindi che i delinquenti, dato l'alto guadagno e il poco rischio delle operazioni, continuino con insistenza ad attaccare sistemi PoS, con tecniche sempre più sofisticate. I consumatori, sebbene in caso di clonazione vengano rimborsati dagli istituti, hanno quindi ragione di procedere con cautela.