Hackerare una carta di pagamento può richiedere anche solo 6
secondi. Ecco come funziona il “brute force”
Esperto di sicurezza informatica spiega in che modo 4 milioni di carte di
pagamento sono comparse sul dark web
I ricercatori stimano che una carta di pagamento media possa essere violata in soli sei secondi.
Uno studio pubblicato da NordVPN, che ha analizzato 4 milioni di carte di pagamento di 140
Paesi, ha rilevato che il metodo più comune per hackerare una carta è attraverso un attacco
brute force. Questa tipologia di attacco è estremamente rapida e può essere eseguita in
pochissimi secondi.
“L’unico modo in cui un numero così elevato di carte di pagamento potrebbe apparire sul dark
web è attraverso un attacco di tipo brute force. Ciò significa che, in pratica, i criminali cercano di
indovinare il numero e il CVV della carta. Le prime 6-8 cifre rappresentano il numero ID
dell’emittente della carta. Di conseguenza, agli hacker non rimane che indovinare 7-9 numeri,
perché la sedicesima cifra è un checksum ed è utilizzata esclusivamente per determinare se
sono stati commessi errori in fase di inserimento del numero. Utilizzando un computer, un
attacco di questo tipo può richiedere solo sei secondi”, afferma Marijus Briedis, CTO (chief
technology officer) di NordVPN.
Come funzionano gli attacchi di tipo brute force?
In un attacco di tipo brute force, un hacker utilizza un rapido approccio trial-and-error (ossia per
tentativi ed errori) per indovinare la password, il PIN o, in questo caso, il numero della carta di
pagamento corretti. Non occorrono particolari doti intellettive o complessi algoritmi: è puramente
un gioco di ipotesi. Tuttavia, l’attacco richiede alcune risorse: tempo, potenza di calcolo e uno
speciale tipo di software utilizzato dai criminali.

“Per indovinare le nove cifre necessarie per ottenere un numero di carta completo, un computer
deve passare in rassegna 1 miliardo di combinazioni. E ci vorrà soltanto un minuto per un
normale computer, che può provare circa 25 miliardi di combinazioni all’ora. Tuttavia, a seconda
dell’emittente della carta, un criminale potrebbe aver bisogno di sole sette cifre per indovinare
correttamente. In questo caso, basterebbero sei secondi,” afferma Marijus Briedis.
La maggior parte degli emittenti di carte limita il numero di tentativi che è possibile eseguire in
un breve periodo di tempo per prevenire questo genere di attacchi, ma i criminali trovano il
modo di aggirare tale limite. Mastercard, ad esempio, ha un sistema di autenticazione
centralizzato. Pertanto, un criminale può provare solo circa 10 volte con un numero prima che il
sistema centralizzato di Mastercard lo rilevi. Con il sistema di sicurezza di Visa, un criminale
può provare 30 o 40 volte, forse anche di più. E se sceglie il momento giusto della giornata,
quando c’è molto da fare, può provare molte più volte, perché il sistema è di tipo federato
decentralizzato.
Ecco perché più della metà (2.524.142) di tutte le carte di pagamento scoperte erano Visa,
seguite da Mastercard (1.602.248) e American Express (215.971).
Si può fare qualcosa per proteggersi?

Gli utenti possono fare poco per proteggersi da questa minaccia, a parte astenersi totalmente
dall’utilizzo delle carte. La cosa più importante è stare sempre in guardia.
“Rivedere il proprio estratto conto mensile per individuare eventuali attività sospette e
rispondere in modo rapido e serio a qualunque notifica inviata dalla propria banca in cui si
comunica che la propria carta potrebbe essere stata utilizzata senza autorizzazione. Un altro
consiglio è avere un conto in banca separato per scopi diversi e mantenere solo piccole somme
di denaro in quello a cui sono collegate le carte di pagamento. Alcune banche offrono anche
carte virtuali provvisorie che è possibile utilizzare qualora non ci si senta al sicuro durante gli
acquisti online”, sostiene Marijus Briedis.
METODO
Raccolta dei dati: i dati sono stati raccolti in collaborazione con ricercatori indipendenti specializzati nella ricerca sugli incidenti in
ambito di sicurezza informatica. I ricercatori hanno preso in esame un database che conteneva i dati di 4.478.908 carte in totale,
inclusi dettagli sul tipo di carta (credito o debito), sulla banca emittente e sulla possibilità di rimborso. I dati che NordVPN ha ricevuto
dai ricercatori di terze parti non contenevano alcuna informazione relativa a individui identificati o identificabili (come nomi,
informazioni di contatto o altre informazioni personali). Non operiamo con i numeri esatti dei dettagli delle carte di pagamento in
vendita sul dark web, dal momento che NordVPN ha solo analizzato una serie di dati statistici forniti da ricercatori indipendenti.
Analisi: i numeri grezzi descrivono solo una parte della situazione. Le dimensioni della popolazione e l’utilizzo delle carte variano da
paese a paese, e questi sono solo due fattori che possono modificare l’impatto di questi numeri.
INFORMAZIONI SU NORDVPN
NordVPN è il fornitore di servizi VPN più avanzato al mondo, utilizzato da milioni di utenti di
Internet a livello globale. NordVPN offre doppia crittografia VPN e Onion Over VPN e garantisce
privacy senza tracciamento. Una delle caratteristiche principali del prodotto è Threat Protection,
che blocca siti web, malware, tracker e annunci malevoli. NordVPN è molto facile da usare,
offre uno dei prezzi migliori sul mercato e si avvale di più di 5000 server in 60 paesi in tutto il
mondo. Per maggiori informazioni, visita il sito: http://nordvpn.com/it

fonte



Darija Grobova
NordVPN | Relazioni pubbliche