Passa ai contenuti principali

Furti contactless con POS portatile. Limiti tecnici, scenari reali e attacchi evoluti

Negli ultimi anni si è diffusa la voce secondo cui sarebbe possibile subire un furto semplicemente passando accanto a un malintenzionato dotato di POS portatile contactless. Il principio sembra semplice: un terminale NFC viene avvicinato alla tasca o alla borsa della vittima e, grazie alla tecnologia contactless, sottrae una somma di denaro senza bisogno di autorizzazioni visibili. Ma la realtà tecnica di questo scenario è più complessa, e merita un'analisi approfondita.

Il protocollo EMV utilizzato dalle carte contactless integra meccanismi di sicurezza robusti basati su crittografia a chiave pubblica. Ogni transazione genera un cryptogram unico, firmato digitalmente, che rende l'operazione non riutilizzabile e impedisce efficacemente attacchi di replay. In modalità legittima, una transazione contactless prevede l’inserimento di un importo sul terminale, l’attivazione per un breve intervallo (tipicamente inferiore ai 30 secondi), e la comunicazione tra carta e POS a pochi centimetri di distanza, spesso inferiore ai 4 cm reali.

Proprio la necessità di una distanza così ridotta, combinata con il timer attivo e le condizioni ambientali, limita fortemente la fattibilità di un attacco casuale in strada. Inoltre, se nel portafoglio o nella borsa sono presenti più carte, il terminale può ricevere segnali confusi e non completare correttamente l'autenticazione. A questo si aggiunge un ulteriore ostacolo operativo: i limiti sugli importi contactless, generalmente inferiori ai 50 euro per transazione, oltre ai quali è richiesto l'inserimento del PIN o il blocco temporaneo della funzionalità da parte della banca stessa dopo un certo numero di utilizzi consecutivi.

Tuttavia, questo non significa che il rischio sia nullo. Gli scenari più sofisticati, purtroppo già emersi in ambito reale, ruotano attorno al concetto di "relay attack". In questo schema, un attaccante utilizza un lettore NFC nascosto per risvegliare la carta della vittima, anche attraverso la tasca o la borsa, e trasmette in tempo reale il segnale a un dispositivo remoto, collegato in rete o via Bluetooth. Dall'altra parte, un POS compromesso o un dispositivo mobile emula la carta e completa l'acquisto. Il tutto avviene in pochi istanti e sfrutta vulnerabilità già rilevate in ambienti Android, dove un malware come SuperCard X è in grado di automatizzare il processo: dalla ricezione del segnale NFC al completamento della transazione, passando per una manipolazione dei parametri EMV che consente anche pagamenti online o prelievi.

A rendere più preoccupante il panorama è l’emergere di malware specializzati, come Prilex, capaci di attaccare direttamente i terminali POS: inibendo la modalità contactless, costringono l’utente all’inserimento fisico della carta per poi intercettare i dati tramite manomissioni software del terminale. In altri casi ancora più rari, ma documentati da test in laboratorio, si è assistito a buffer overflow nei firmware NFC dei POS o addirittura degli ATM, dove una serie di comandi NFC ben formattati consente esecuzione arbitraria di codice, crash del terminale o alterazione dell’importo della transazione.

Tutte queste tecniche hanno però un aspetto in comune: richiedono un alto livello di preparazione tecnica, conoscenze approfondite dei protocolli EMV, l’accesso a hardware specifico e spesso una catena di strumenti coordinati. Questo le rende difficilmente replicabili da criminali improvvisati o da ladri da strada che sperano di ottenere 20 euro con un POS tascabile.

Va inoltre sottolineato che ogni transazione contactless è tracciata. L’autenticazione avviene tra carta e istituto emittente, e ogni richiesta genera un log conservato per finalità contabili, antifrode e forensi. A differenza del denaro contante, una sottrazione di fondi tramite POS è sempre riconducibile a un terminale identificabile, associato a un intestatario e a un conto. Questo costituisce un ulteriore disincentivo per l’uso massivo di tale tecnica a scopo fraudolento, almeno nella sua forma più rozza.

Il contactless, nonostante l’immaginario comune, rimane una delle tecnologie di pagamento più sicure e resistenti alle frodi. La possibilità di disattivare la funzione via app, di attivare notifiche in tempo reale o di utilizzare portafogli schermati RFID aggiunge ulteriori livelli di difesa. I rischi reali, semmai, emergono dalla convergenza tra vulnerabilità software, dispositivi compromessi e ingegneria sociale, come già avviene per moltissimi altri settori del digitale.
Tag:

Commenti

Posta un commento

Popolari

IPv6, come siamo passati dai camuffamenti (tunnel broker) su IRCNet alle sfide di sicurezza di oggi

All’inizio degli anni 2000, prima che l’IPv6 fosse una realtà comune, per connettersi alla nuova rete servivano i tunnel broker: nodi messi in piedi da appassionati o provider che permettevano di avere un indirizzo IPv6 incapsulato dentro IPv4. In Italia c’erano nomi che oggi sembrano quasi leggendari: NGnet, Zibibbo, e poi, su scala più internazionale, SixXS, che per anni ha fornito tunnel di altissima qualità fino a dichiarare “mission accomplished” e chiudere nel 2017. Erano anni in cui IPv6 era roba da smanettoni, e la comunità IRCNet italiana era uno dei posti dove questo “potere” trovava applicazioni creative. Personalmente lo usavo per camuffare il mio IPv4: mentre con un indirizzo 95.x.x.x il server IRC mostrava il reverse DNS dell’ISP, con IPv6 potevo scegliere il mio indirizzo nel blocco assegnato, evitando di esporre il mio IP reale e cambiandolo a piacere. In quel periodo circolavano anche strumenti curiosi, come ipv6fuck.c dell’autore “schizoid”, un codice C che serviva pe...
Posta un commento
Continua a leggere »

WinRAR sotto attacco, zero-day critica sfruttata da hacker russi

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...
Posta un commento
Continua a leggere »

Nuovo attacco agli ambienti ibridi Microsoft, l’allarme lanciato a Black Hat. Active Directory ed Entra ID sotto esame, la tecnica che sfida MFA e controlli tradizionali

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...
Posta un commento
Continua a leggere »