Da qualche anno chi utilizza le carte di credito per acquisti on-line si è abituato ad utilizzare il Secure Code, quella password aggiuntiva in assenza della quale non è possibile perfezionare gli acquisti on-line anche conoscendo tutti i dati (pan, data emissione, data scadenza, titolare, cvv).
Dal sito di CartaSì possiamo leggere
—————————————————-
Con il nome convenzionale 3D Secure si definiscono i sistemi di protezione antifrode Verified by Visa e SecureCode MasterCard studiati dai Circuiti Internazionali Visa e MasterCard.
Attivare la protezione antifrode ti garantisce una tutela extra per i tuoi acquisti online, permettendoti di prevenire eventuali utilizzi illeciti della tua Carta sul web e di evitare addebiti indesiderati sul tuo conto. Anche se non sei solito fare acquisti su Internet, con l’iscrizione al servizio 3D Secure, avrai una garanzia di sicurezza per la tua Carta ed eviterai che il tuo numero di Carta venga usato per pagamenti su web a tua insaputa.
La protezione antifrode è un sistema semplice e gratuito per fare acquisti su web: devi solo scegliere una password che utilizzerai al momento del pagamento insieme ai dati della tua carta di credito. Durante l’acquisto, dopo aver inserito i dati richiesti dall’esercente, comparirà una finestra pop-up dove ti basterà inserire la password, e il pagamento sarà completato in tutta sicurezza.
—————————————————-
mentre da quello di Master Card
MasterCard SecureCode
D: Che cos’è MasterCard® SecureCode?
R: Il servizio MasterCard SecureCode è un protocollo di sicurezza che permette all’utente di associare alla propria Carta MasterCard una password personale e segreta (il SecureCode) che gli verrà richiesta per autenticare la transazione di pagamento ogni volta che effettuerà un acquisto online su un sito convenzionato con MasterCard SecureCode.
D: Come funziona MasterCard SecureCode?
R: Dopo che ti sarai registrato e avrai creato il tuo SecureCode riservato, la banca emittente della tua carta ti chiederà automaticamente di digitare il tuo SecureCode ogni volta che fai un acquisto presso i negozi/commercianti online aderenti. Il tuo SecureCode sarà rapidamente confermato dall’emittente della tua carta per finalizzare l’acquisto. Il tuo SecureCode non verrà mai comunicato al negozio/commerciante e usarlo è veramente facile.
D: In che modo MasterCard SecureCode mi protegge?
R: Il corretto inserimento del SecureCode durante un acquisto presso un negozio/commerciante online aderente conferma che sei il titolare autorizzato della carta. Se viene inserito un SecureCode inesatto, non sarà possibile finalizzare l’acquisto. Anche se qualcuno conosce il numero della tua carta di credito o debito, l’acquisto non può essere finalizzato presso il negozio/commerciante aderente senza il tuo SecureCode.
—————————————————-
In fase di attivazione del Secure Code l’utente crea una “frase segreta” che verrà recuperata attraverso i canali impiegati per la legittima transazione ed il trasferimento di dati e mostratagli durante la fase di perfezionamento dell’acquisto, garantendogli di star comunicando con l’emittente della carta di credito. Rassicurato da ciò l’acquirente potrà in tutta sicurezza digitare il secure code.
Sempre citando la pagina di Master Card sopra citata
—————————————————-
D: Che cos’è il “messaggio personale”?
R: Il messaggio personale è una frase di controllo che il titolare definisce durante la registrazione. Ogni volta che effettui un acquisto online presso un negozio/commerciante aderente, ti verrà richiesto di inserire il tuo SecureCode e contemporaneamente verrà visualizzato il tuo messaggio personale. Il messaggio personale ti dà la garanzia di comunicare con l’emittente della tua carta. Se il messaggio personale visualizzato nella finestra a comparsa è inesatto, non devi inserire il tuo SecureCode, ma devi invece contattare immediatamente l’Assistenza clienti chiamano il numero telefonico riportato sul lato posteriore della tua carta MasterCard, per denunciare una possibile frode.
—————————————————-
Quindi riassumendo:
1) si riempie il carrello;
2) ci si presenta al check-out, compilazione dati fatturazione;
3) inserimento dati carta di credito e titolare;
4) si apre il pop-up o ulteriore pagina con dati riassuntivi e frase segreta da verificare;
5) la frase segreta è corretta, l’utente inserisce il secure code e perfeziona l’acquisto.
Tuttavia ……
Nel pomeriggio di sabato 27 Settembre, si era impegnati nell’esame di un tentativo di phishing a danno di un ente non bancario si è ottenuto un messaggio di errore su una pagina php indicante che la stessa non era riuscita a recuperare informazioni da un host remoto
il file [omesso]vi.php era, ed è tutt’ora, posizionato nel sito web di un dominio .com registrato a nome di soggetti italiani con hosting presso il provider statunitense asmallorange.com.
Incuriositi dalla natura di questa pagina abbiamo svolto una serie di test. Innanzi tutto l’errore è stato generato dalla’assenza dei parametri card, mm, yy, cvv, che non sono stati passati via GET nel momento in cui abbiamo acceduto direttamente alla pagina generante l’errore, anziché giungerci attraverso il processo seguito dalle vittime.
Successivamente si è evidenziato come fornendo parametri validi la pagina restituisse (restituisce tutt’ora) la frase segreta impostata dal titolare della carta al momento dell’attivazione del secure code.
Ma come poteva avvenire tutto ciò?
la pagina fornisce l’indicazione di uno specifico esercente verso cui viene fatto il pagamento, nello specifico si tratta di una onlus, il cui sito web sabato pomeriggio non era funzionante, le pagine asp generavano errori ed impedivano la visualizzazione dei contenuti.
Il codice sorgente della pagina [omesso]vi.php evidenziava come l’output fosse generato da un server di keyclient.it, per quanto non si fosse sullo stesso.
L’assenza dei loghi “verified by Visa” e dell’istituto di credito emittente palesavano come la pagina fosse stata ottenuto dallo svolgimento in automatico, su un host terzo, di un tentativo di transazione, in realtà finalizzato al solo scopo di recuperare la frase segreta.
Apparentemente i criminali non hanno completato il lavoro di implementazione di tale sistema di recupero della frase segreta, che con semplici operazioni di parsing permetterebbe di riproporla direttamente nelle loro pagine fraudolente, con il risultato (citando le faq di Master Card) di dare la garanzia di comunicare con l’emittente della tua carta.
Ma così non è.
Identificato l’esercente, la onlus in questione, si è visitato il sito web, appena questo ha ripreso a funzionare, è si è avviata la procedura per effettuare una donazione. Nei primi passaggi vengono richiesti i dati personali (come privati o aziende), successivamente le operazioni passano in mano all’ente che gestisce la transazione, su sue pagine protette da certificato SSL.
All’atto di perfezionare l’acquisto inserendo i dati della carta di credito e del titolare, si è inserito quelli corretti per quanto riguarda la carta, ma si è falsato quelli del titolare (noi stessi), ottenendo la nostra frase segreta.
risulta evidente quindi che i dati del titolare, nome e cognome, non sono indispensabili per il recupero della frase segreta. Sicuramente il pagamento non andrebbe a buon fine, l’operazione abortirebbe a fronte del mancato inserimento dei corretti dati utente, ma tanto basta al criminale per recuperare la frase segreta.
In realtà non sarebbe nemmeno un problema l’inserimento dei dati corretti, perché nome e cognome sono sempre richiesti in tutti i casi di phishing volti alla cattura delle carte di credito.
L’analisi delle funzionalità di questo kit di phishing, svolta da remoto senza essere in possesso materialmente dei file, ma solo grazie alle risultanze di quanto è stato possibile cogliere attraverso il browser, evidenzia a nostro avviso come la “frase segreta” sia facilmente catturabile dai criminali.
Quanto sopra riportato deriva probabilmente da specifiche metodiche procedurali e da protocolli di comunicazione e non riguarda per altro il solo KeyClient ma anche altri operatori similari addetti alla gestione dei pagamenti elettronici, con i quali abbiamo ottenuto gli stessi risultati riuscendo ad ottenere sempre la nostra frase segreta.
Si chiarisce, a scanso di equivoci, che non si è trattato di alcun pen test, non era interesse di D3Lab testare metodiche, procedure, applicazioni, server di alcuno, ma solo comprendere come i criminali potessero essere riusciti ad ottenere la “frase segreta“. Per fare ciò si è semplicemente simulato un pagamento, usando i nostri stessi dati, inserendo solo un errore nel nome/cognome.
La possibilità per i criminali di simulare in totale automatismo l’avvio di una transazione ed usando i dati carpiti alla vittima (numero di carta di credito, data di scadenza, cvv) recuperare la frase segreta, creata dall’utente vittima all’atto dell’adesione al Secure Code, per presentargliela all’interno della pagina fraudolenta in cui richiedono il Secure Code, impone una rivalutazione di quale effettiva garanzia la stessa fornisca all’utente intento a perfezionare un pagamento sul web.