Guardia di Finanza GAT – Nucleo Speciale Frodi Telematiche
MEZZI DI PAGAMENTO ELETTRONICI: LE NUOVE FRONTIERE DEI CRIMINI FINANZIARI. Conoscerli per prevenirli
Roma, 30 Gennaio 2009
relatore:
Ispettore Superiore dott. Antonio D'Onofrio Responsabile CyberCrime Department
Guardia di Finanza GAT – Nucleo Speciale Frodi Telematiche
Funzionamento Della carta di credito La banda magnetica
Tipologie di frodi Phishing Vishing Boxing - Trashing
Home Banking
Prevenzione Frodi Titolare della carta Acquisti OnLine Esercente Card Not Present
Hacking ATM Skimming Spyware Keylogger Skimming Lebanese Loop Sniffing POS Fraud
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
Funzionamento delle carte di credito Analizzando il numero di carta 4123451234567895 La prima cifra indica il circuito di appartenenza 3 – carte settore turistico e del divertimento ( es. American Express o Diners Club) 4 – Visa 5 – Mastercard 6 – Discover Card
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
Funzionamento delle carte di credito
4123451234567895
Dalle seconda alle sesta cifra avremo il numero identificativo della banca che ha emesso la carta (in questo caso Servizi Interbacari). Le carte Visa possono avere numerazioni di 13 o 16 cifre
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
Funzionamento delle carte di credito
4123451234567895
Dalla 7^ alla 12^ cifra o dalla 7^ alla 15^ cifra avremo il numero di conto che identifica la carta in modo univoco L'ultima cifra è detta cifra di controllo.
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
Funzionamento delle carte di credito
Le carte American Express hanno una numerazione strutturata in modo differente , le prime due cifre, proprie del circuito, possono essere 34 (vecchie carte) o 37, la 3^ e la 4^ cifra indicano il tipo e la valuta, dalla 5^ alla 14^ invece si trova il numero di conto e la 15^ cifra è quella di controllo. Nelle carte Mastercard le crifre identificative della banca emittente possono essere, la 2^ e la 3^, dalla 2^ alla 4^ o dalla 2^ alla 5^, poi fino alla 15^ cifra troveremo il numero di conto e infine la cifra di controllo. GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
LA BANDA MAGNETICA
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
Home Banking è un sistema che permette di effettuare operazioni bancarie mediante una connessione remota.
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
Home Banking l'accesso al proprio conto corrente online è legato al riconoscimento del titolare Le proprie credenziali, (UserID e Password) vengono normalmente associate ad un codice generato automaticamente
Tale codice è utilizzabile per una sola connessione al portale dell'istituto di credito (OTP - One Time Password) . GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
PHISHING
acquisizione delle credenziali di accesso (UserId e Password) tramite siti web o email inviate tramite la tecnica dello spamming.
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
PHISHING
Cliccando sul link riprodotto nel corpo della email si aprirà una pagina web clone del sito a cui si pensa di accedere.
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
VISHING evoluzione del phishing. Viene simulata la telefonata da parte di un call center di un istituto bancario o di un circuito di carte di credito. L'operatore/ice, magari con modi molto cortesi, chiede per ragioni diverse (ad es.: "la stiamo contattando perchè ci è pervenuto un addebito sulla sua carta di credito dalla Romania e siccome non ci risulta che lei sia mai stato in qul Paese, volevamo verificare l'attendibilità Dell'addebito.")Dopo aver guadagnato
la fiducia dell'ignaro e potenziale Truffato, chiederà i dati identificativi Per l'accesso alla banca online o della propria carta di credito con una banalissima scusa.
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
BOXING - TRASHING
boxing (o mail not received fraud): Acquisizione dei dati tramite sottrazione dell'estratto conto inviato al titolare o della carta stessa trashing: Molti malviventi vanno alla caccia degli scontrini delle carte di credito che talvolta i possessori gettano via dopo un acquisto I dati vengono successivamente utilizzati per effettuare operazioni attraverso canali remoti, dove non è necessario presentare fisicamente la carta per concludere l'acquisto (internet, ordini telefonici o postali).
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
HACKING
Violazione dei database di chi vende servizi o prodotti via Internet, per accedere ai numeri delle carte di credito immagazzinati
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
SNIFFING
Intercettazione passiva dei dati che transitano in una rete telematica. I prodotti software utilizzati per eseguire queste attività vengono detti sniffer. GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
SPYWARE Carpiscono senza autorizzazione informazioni sul comportamento di un utente quando connesso ad Internet (tempo medio di navigazione, orari di connessione, siti web visitati, indirizzi email e password). Le informazioni raccolte vengono inviate ad un computer remoto che provvede ad inviare pubblicità mirata sulle preferenze ricavate dall'analisi del comportamento di navigazione. Presenza di pop-up, banner nei siti web visitati o nel programma contenente lo spyware o, nei casi più invasivi, posta elettronica non richiesta (spam). A differenza dei virus e dei worm, non hanno la capacità di diffondersi autonomamente. In questo senso sono simili ai trojan. Per l'installazione sfruttano le consuete tecniche di ingegneria sociale GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
KEYLOGGER
Strumenti hardware che servono a carpire tutte le informazioni dell'utente (come per gli spyware)
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
SKIMMING Per mezzo di piccoli strumenti (si nascondono nel palmo di una mano), si riescono a “rubare” tutti i dati presenti sulla banda magnetica della carta di pagamento. i dati, una volta acquisiti con lo skimmer, verranno scaricati in un computer e successivamente utilizzati per clonare le carte di credito. La clonazione avviene con semplici macchine di piccole dimensioni (embossing machine)
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
ATM SKIMMING Apparecchiature atte a carpire i dati della banda magnetica del bancomat con l'aggiunta di microcamere in grado di memorizzare a video il pin digitato o con Pinpad (piccole tastiere sovrapposte a quelle vere dell'ATM
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
LEBANESE LOOP Sullo sportello atm viene applicato un dispositivo che, una volta inserita la carta la trattiene in modo che il distributore non riesca più a restituirla il cliente è confuso, non può completare la transazione nè riavere la carta. A questo punto può intervenire il truffatore che, fingendo di prestare soccorso al cliente davanti allo sportello, lo invita a digitare nuovamente il PIN consentendogli così di memorizzarlo GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
POS FRAUD Manomissioni dei POS (Point Of Sale) All'interno vengono inseriti i circuiti di un telefono cellulare
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
POS FRAUD Con la presenza di un'antenna... ...e di una scheda gsm, è possibile inviare automaticamente un sms ad un altro numero mobile contenente i dati presenti nella banda Magnetica Acquisiti Durante la “strisciata” per il pagamento GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
PREVENZIONI FRODI. Titolare carta non perdere mai di vista la propria carta di credito diffidare di chi non ha il pos a vista o di chi effettua piÚ strisciate (in questo caso trattenere lo scontrino dell'eventuale transazione non andata a buon fine) conservare le copie delle ricevute di pagamento (ci sono in circolazione ancora alcuni pos che scrivono in chiaro sullo scontrino sia il pan (numero carta) che la data di scadenza. Controllare sempre gli estratti conto fare attenzione al regolare ricevimento dell'estratto conto e a buttarlo solo dopo averlo reso illeggibile (trinciacarte) GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
PREVENZIONI FRODI. Titolare carta custodire separatamente il pin dalla carta (evitare di inserire il pin nelle rubriche del telefonino. Ho visto gente che davanti al bancomat leggeva il proprio codice sul telefonino). Coprire la mano mentre si digita il pin presso il bancomat assicurandosi di non essere ossservati. Cercare di prelevare sempre dallo stesso bancomat evitare atm troppo isolati. Controlla il distributore se presenta complementi strani
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
PREVENZIONI FRODI. Titolare carta Evitare di prelevare nei fine settimana non appena ci si accorge di aver smarrito la propria carta telefonare per il blocco. Attivare se è possibile, la notifica di spendita tramite sms e/o email.
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
PREVENZIONI FRODI. Acquisti OnLine verificare l'attendibilitĂ del sito di ecommerce facendo delle ricerche per mezzo dei motori di ricerca (leggere i forum per imparare dalle esperienze degli altri) accertarsi che sulla home page siano presenti tutti i riferimenti dell'azienda (p.iva, indirizzo, telefono ecc.) magari telefonando per verificare l'esistenza della stessa. evitare di salvare i dati della carta sul pc in file non protetti (gli spyware potrebbero riuscire ad aprirli ed inviare il contenuto ai truffatori)
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
PREVENZIONI FRODI. Acquisti OnLine
Assicurasi che la pagina web dell'acquisto presenti l'icona della transazione sicura (foto lucchetto) normalmente posto in basso a sinistra e che sulla barra degli indirizzi sia presente il protocollo HTTPS:// invece di HTTP://
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
PREVENZIONI FRODI. Acquisti OnLine
non rivelare mai a nessuno il codice di tre/quattro cifre riportato sul retro della carta di credito. Questo codice viene richiesto al momento del pagamento e serve a stabilire che l'acquirente è in possesso della carta.
CSC - Card Security Code CVV - Card Verification Value per Visa CVC - Card Validation Code per Mastercard CID - Card Identification per American Express e Discover
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
PREVENZIONI FRODI. Esercente Nelle carte Visa o Mastercard le prime quattro cifre in rilievo devono coincidere con quelle stampate in piccolo sotto. Qualora questo non avvenga la carta può considerarsi falsa. Nelle carte American Express controllate l'esistenza del codice sicurezza stampato a caratteri piccoli sopra i numeri in rilievo ( in questo caso non dovrà coincidere con le prime quattro cifre). Controllate la presenza dei caratteri speciali in rilievo. GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
PREVENZIONI FRODI. Esercente I caratteri speciali MC nel caso di mastercard , e V in Visa sono difficili da copiare in quanto stampati in rilievo con caratteri particolari, spesso i falsari utilizzano il font classico come negli esempi qui sotto.
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
PREVENZIONI FRODI. Esercente Controllate sempre che il numero in rilievo sulla carta coincida con quello sulla ricevuta. I criminali spesso utilizzano carte emesse regolarmente, alterando solo il contenuto della banda magnetica. Controllate che le cifre in rilievo siano chiare e in linea , anche il nome e le date di emissione e scadenza devono essere in rilievo.
Controllate la firma sul retro della carta, la carta è valida solo in presenza della firma che deve essere apposta all'attivazione della carta. GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
TRANSAZIONI “Card not Present” l'autorizzazione concessa dall'emittente non garantisce l'effettivo pagamento. Un'autorizzazione in ambito card not present ci dice soltanto che: la carta è valida;non è stata denunciata smarrita o rubata; ci sono fondi sufficienti per effettuare l'acquisto Il codice CSC che dovrebbe garantire la genuinità di una carta. AVS o Address Verification System è un dispositivo di sicurezza che controlla che l'indirizzo utilizzato dall'utente in fase di ordine coincida con quello associato effettivamente alla carta di credito, così come risulta nel database delle società emittenti. GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
TRANSAZIONI “Card not Present” Richiedere obbligatoriamente un numero di rete fissa, se sospettate una frode o se il cliente acquista per la prima volta controllate che il numero sia intestato al titolare della carta così come indicato nell'ordine, in caso contrario chiamate il cliente e chiedete spiegazioni Porre particolare attenzione agli ordini di valore elevato e gli ordini multipli (ad esempio 10 cellulari dello stesso tipo, 5 lettori dvd etc.) specie se la merce è facilmente rivendibile.
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
TRANSAZIONI “Card not Present”
Esaminate, se possibile, l' indirizzo IP da cui proviene l'ordine, se non corrisponde all'area di destinazione della merce siate diffidenti e chiedete spiegazioni al cliente o eseguite ulteriori controlli.
Utilizzate, se possibile, i nuovi sistemi di sicurezza messi a disposizione da alcuni circuiti o emittenti . Verified by Visa SecureCode di Mastercard Maestro.
GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza Isp. Sup. dott. Antonio D'Onofrio – Responsabile CyberCrime Department
Mezzi di pagamento elettronici: le nuove frontiere dei crimini finanziari. Conoscerli per prevenirli.
Ispettore Superiore dott. Antonio D'Onofrio Nucleo Speciale Frodi T elematiche della Guardia di Finanza Responsabile CyberCrime Department Via M. Boglione, 84 – 00155 – Roma +39.(0)6.22.93.89.06 / 11 / 03 antonio.donofrio@gat.gdf.it
+39.39.39.34.55.61 a.donofrio
http://www.gat.gdf.it sos@gat.gdf.it