Frode su larga scala contro le carte di credito CartaSi – Autorizzazione Negata CartaSi BLK $NONPROFIT (PEND – SAN DIEGO)

In questi giorni un gran numero di utenti stanno ricevendo un SMS inviato da CartaSi che li notifica di una transazione negata. Il fenomeno interessa tutti i correntisti la cui banca si appoggia a CartaSi per l’emissione della carta di credito sul circuito MasterCard.

Gianluca Pericoli, CTO di ISGroup, azienda specializzata nella Sicurezza Informatica e delle Informazioni, ha fornito la seguente analisi:

• Si tratta sicuramente di un attacco distribuito e su larga scala, che interessa migliaia di correntisti;
• Le banche coinvolte sono molte dato che CartaSi è uno dei gestori di Carte di Credito principali in Italia (*a piè di pagina un elenco delle banche che utilizzano CartaSi);
• Il richiedente “BLK $NONPROFIT (PEND – SAN DIEGO)“, non è necessariamente indicatore di transazioni fraudolente in quanto si tratta di un intermediario utilizzato per molti pagamenti, dai musei agli alberghi, come segnalato sui siti specializzati;
• L’attacco potrebbe essere correlato ad una delle grosse compromissioni avvenute di recente come Target (1 e 2, da 40 a 70 milioni di carte di credito compromesse), Neiman Marcus (1 e 2, circa 1.1 milioni di utenti esposti) e Heartland Payment Systems (1, circa 100 milioni di transazioni intercettate) che hanno portato alla violazione di centinaia di milioni di carte di credito negli ultimi quattro mesi. Questo non spiegherebbe il perché solo gli utenti CartaSi siano affetti anche se è possibile che il gruppo criminale dietro questa frode abbia acquistato nel mercato underground il solo database delle CC Mastercard in un determinato range, quello di CartaSi appunto;
• Potrebbe trattarsi di un nuovo attacco avvenuto sfruttando il bug in OpenSSL conosciuto come Heartbleed (leggi l’articolo su Wired). In questo caso il problema potrebbe riguardare direttamente i sistemi CartaSi e/o MasterCard. Appena divenuto pubblico quasi tutte le banche italiane erano affette dal problema. A questo proposito abbiamo rilasciato un tool per verificare se i propri sistemi sono affetti, chiamato OpenMAGIC – OpenSSL TLS heartbeat read overrun (CVE-2014-0160);
• Il fatto che la sorgente del pagamento sia una non-profit abilita anche lo scenario del Brute Force (attacco a forza bruta), in cui gli attaccanti non sono in possesso del CVV2 in quanto non richiesto ai fini della transazione. Nel caso delle donazioni infatti è più frequente la casistica in cui il codice di sicurezza non è richiesto.

Su Finanza Online una lunga discussione di persone interessate dalla frode segnalano transazioni fallite per importi dai 100 ai 70’000 Euro.

Fino a ieri il centralino CartaSi era completamente intasato, oggi Domenica 13 Aprile, il messaggio di benvenuto è stato modificato col messaggio “Benvenuto al servizio blocchi di CartaSi, se ha ricevuto un SMS per autorizzazione negata presso BLK NONPROFIT PEND SAN DIEGO stia tranquillo, stiamo seguendo sotto controllo la situazione e non e necessario revocare la sua CartaSi.”, probabilmente per evitare un intasamento ulteriore del centralino ed ulteriori perdite economiche. Quali spese? L’attacco ha un costo alto per CartaSi, alcune voci che probabilmente hanno subito un’impennata sono:

• La mobilitazione del servizio antifrode per far fronte alla situazione di emergenza;
• Il costo dell’erogazione del servizio di numero verde (800 15 16 16);
• Il costo del personale del Call Center (un operatore parlava di 400 chiamate simultanee in attesa);
• Il costo della sostituzione (disattivazione della vecchia ed attivazione di una nuova con diverso numero) delle carte di credito.

L’attacco quindi, a prescindere dall’effetto sui correntisti, è un esempio da manuale di Denial of Service (DoS) non prettamente informatico/tecnologico. A fronte di un piccolo impegno di risorse da parte dell’attaccante si ha un grande dispendio di risorse per la vittima, ed in questo caso le risorse non sono solo tempo di elaborazione e memoria di un server ma tempo, persone e costi vivi per l’azienda.

Iniziano anche ad apparire i primi articoli sulla stampa “mainstream” riguardo la frode:

• Tentano di prosciugargli il conto, termolese vittima di una frode internazionale;
• Gli stanno svuotando la carta di credito e si accorge in extremis: termolese vittima di una frode internazionale.

Vuoi aggiungere un commento o fare una segnalazione? Altri utenti ne beneficeranno:

[contact-form-7 id=”927″ title=”Segnalazioni frode CartaSi”]

Come promesso di seguito le banche che utilizzano carte di credito emesse da CartaSi (segnalate nei commenti eventuali errori o omissioni):

• Mediolanum
• Youbanking
• BANCA CASSA RISP SAVIGLIANO SPA
• BANCA C.C.MONTERCORVINO ROVELLA
• BANCA CRED.COOP.BARLASSINA SCRL
• BANCA DI ROMAGNA SPA
• BANCA DI ROMA SPA
• BANCA POPOLARE DI NOVARA
• BANCO CREDITO P. AZZOAGLIO SPA
• BANCO DI SICILIA SPA
• BIVERBANCA CR BIELLA E VERCELLI
• CARISBO SPA
• CASSA RISP DI CESENA SPA
• CASSA RISP DI FOLIGNO SPA
• CASSA RISP DI FOSSANO SPA
• CASSA RISP DI SALUZZO SPA
• CASSA RISP PADOVA E ROVIGO SPA
• CREDITO BERGAMASCO
• C.R. VENEZIA SPA
• FRIULCASSA SPA
• SANPAOLO BANCO DI NAPOLI
• SANPAOLO IMI SPA
• UNIPOL BANCA SPA
• BANCO POP DI VERONA E NOVARA
• BANCA DI ROMA SPA
• EMILBANCA CREDITO COOPERATIVO
• BANCA POP DI BARI SCRL
• BANCA POP DI SONDRIO SCRL
• BANCA AGR POP DI RAGUSA SCRL
• BANCA DI CESENA CRED.COOP.
• BANCO POP DI VERONA E NOVARA
• BANCA AGR POP DI RAGUSA SCRL
• BANCO POP DI VERONA E NOVARA
• BANCA AGR POP DI RAGUSA SCRL
• BANCA DI CESENA CRED.COOP.
• BANCA AGR POP DI RAGUSA SCRL
• BANCO POP DI VERONA E NOVARA
• BANCA POPOLARE DI NOVARA
• CREDITO BERGAMASCO
• BANCA CRED.COOP.ALTA PADOVANA S
• BANCA POP DEL FRUSINATE
• BANCA POP DI SPOLETO SPA
• BANCA POP PUGLIA E BASILICATA S
• EMILBANCA CREDITO COOPERATIVO
• NUOVA BANCA MEDITERRANEA SPA
• SANPAOLO BANCO DI NAPOLI
• BANCA AGR POP DI RAGUSA SCRL
• BANCA POP PROVINCIALE LECCHESE
• BANCA POPOLARE DI NOVARA
• CREDITO BERGAMASCO