Furto d'identità Truffe

Carta di credito clonata: come evitare la truffa

truffasi

Premessa: questo trucco l’ho imparato a mie spese, nella prima (e spero unica) truffa a cui sono stato sottoposto.

Una truffa nemmeno da poco, essendomi ritrovato con la carta di credito clonata e 1800 euro in meno sul conto corrente. Vediamo di farteli risparmiare.

[salta la storia, se non ti interessa, ma ricorda che si impara dagli errori altrui]

Carta di credito clonata: come evitare la truffa

La storia

2012, viaggio a Barcellona. Avevo con me la carta di credito, un po’ (molto) impolverata visto che non la usavo da quando mi ero sposato e avevo fatto le spese folli per mettere su casa. Tuttavia, essendo un viaggio all’estero, mi era sembrata una buona idea portarla con me. Addirittura, avendo fatto il viaggio di nozze negli USA, avevo fatto aumentare il massimale mensile a 3000 euro (di base era 1000), scordandomi poi ti abbassarlo nuovamente. Tanto, chi l’avrebbe più usata?

In un negozio Esprit (se volete vi dico pure dove) in piena zona turistica di Barcellona trovo uno splendido giubbotto pesante, utile visto il clima pungente di inizio febbraio. 80 euro, un affare. Ne avrei pagato almeno il triplo per quella qualità. Non volendo togliermi i contanti, riesumo la carta di credito, la spolvero, pago ed esco soddisfatto per il grande acquisto.

Passano due mesi.

Un sabato mattina, alle 8.30, mi squilla il cellulare. Ovviamente dormivo. All’altro capo una voce tenebrosa, senza alcun altro rumore di sottofondo.

Voce: “Salve, parlo con…titolare del conto…presso la banca…”

Io: “…si…”

Voce: “La chiamavo per un’informazione. Ieri sera, alle 23, ha forse autorizzato un pagamento di 1800 euro verso HAITI?”

Io: “…no…” (Haiti?!)

Voce (in tono neutro, come a dare per scontata la risposta): “Va bene. Allora le hanno clonato la carta di credito. Comunque l’abbiamo bloccata.”

Clonato la carta di credito?! A me?! Ma se nemmeno l’ho usat…Guardo il giubbotto. Dall’altro capo del telefono la voce neutra sentì uno “sbonk! sbonk!”.

Ero io che davo testate al muro.

 

La spiegazione

Come chiunque faccia acquisti online sa, ogni carta di credito presenta il cosiddetto CVV2, vale a dire il numero di controllo (Card Verification Value 2, detto altresì Card Security Code, se vogliamo essere precisi) richiesto ogniqualvolta si facciano acquisti, oltre le classiche sedici cifre frontali sulla carta di credito e la data di scadenza della stessa.

ccv

 Fig. 1 – Notare come Visa/Mastercard e American Express abbiano il CVV in posizioni diverse

Per clonare una carta di credito è necessario conoscere tre dati:

1) le 16 cifre frontali della carta di credito

2) la data di scadenza della carta di credito

3) il CVV, appunto. 3 cifre per Visa/Mastercard, poste sul retro della carta (il secondo gruppo di numeri, per intederci), 4 cifre per l’American Express, poste sulla parte frontale, in alto a destra.

Come hanno fatto dunque in quel negozio a ottenere questi dati? C’è ancora qualcuno che usa il trucco della carta di credito fatta cadere a terra maldestramente dopo averla consegnata per inserirla nel lettore. Il commesso si china per raccoglierla ma prima di spuntare da dietro il bancone la passa attraverso un lettore (detto skimmer) che ne registra i dati. Questo era un vecchio trucco, divenuto di dominio pubblico e quindi rischioso da usare (aggiornamento del 28/2/2016: a quanto pare è ancora auge, leggi l’ultimo paragrafo per maggiori informazioni). Personalmente sto sempre ben attento alla mia carta, quindi non è stato il mio caso.

E allora, come hanno fatto?

Semplice: con una telecamera, posta presumibilmente sul pavimento. O quella sul soffitto, anche se ciò mi sembra improbabile, immaginando che tali riprese non siano accessibili al personale interno la negozio. Consegni la tua carta di credito e il truffatore, perdendo quei pochi secondi in attesa di afferrare il lettore di carte, la mostra sia da un lato che dall’altro alla telecamera, poi procede al pagamento. Tu esci senza sospettare nulla, il truffatore ricava i tre dati suddetti e pianifica il da farsi.

Di solito accadono tre cose:

1) c’è un intervallo di tempo tra l’acqusizione dei dati e l’acquisto a spese della vittima da parte del truffatore, nel mio caso un paio di mesi. Ciò per evitare che si possa risalire al colpevole. Peccato che, nel mio caso quella fosse stata l’unica transazione fatta in due anni…

2) gli acquisti a spese della vittima vengono effettuati il venerdì sera (in modo tale che le banche siano chiuse nel weekend e non se ne accorgano. Fortunatamente non è stato il mio caso)

3) gli acquisti partono inizialmente con una spesa irrisoria (1 o 2 euro) per verificare che la carta sia effettivamente attiva, non destando i sospetti per un rifiuto da parte della banca in fase di pagamento, che verrebbe comunque registrato. Nel mio caso, tuttavia, il truffatore partì subito sparando alto e ottenendo il massimo: 1800 euro di merce. E meno male che la banca bloccò la carta, altrimenti sarebbero stati 3000.

 

La soluzione

Volete evitare il problema della carta di credito clonata? Un’operazione da trenta secondi può salvarvi il conto in banca. Prendete del nastro isolante nero, ricavatene un rettangolino grande quanto i numeri del CVV e incollatelo lì sopra, così da coprirli. Il nastro isolante sarà facile da sollevare nel caso in cui doveste fare (voi) dei pagamenti online, ma renderà immune la carta di credito dalle telecamere. Stando poi attenti che non cada maldestramente dalle mani di qualcuno, potrete stare presumibilmente sereni. Se i numeri CVV sono a rilievo, mettete due strati di nastro ed evitate di premere, così da non renderlo visibile.

Altro consiglio per evitare clonazioni della cara di credito: qualora non la utilizziate di frequente, se non per emergenze, chiedete alla banca a quanto ammonti il massimale prelevabile in un mese e abbassatelo a una cifra ragionevole. In quel caso, potete limitare i danni se dovessero rubarvela…o non seguiste il consiglio di cui sopra.

 

Tuttavia…

Il gentilissimo Valentino mi ha scritto nei commenti un’integrazione che può risultare molto utile per capire il fenomeno delle carte di credito clonate. Eccolo qui:

[…] Lo skimmer non è passato di moda, bensì viene integrato (manomettendolo) nei pos. Il trucco è abbastanza semplice. Infatti le nuove carte di credito sono dotate, oltre che della solita ma importante banda magnetica, anche del chip, la nuova frontiera dei pagamenti sicuri (ancora per poco), quindi tutti i nuovi pos da 5 anni a questa parte sono dotati di lettori di chip. Il trucco è semplice: il commesso complice prima passa la carta nel lettore di banda (già precedentemente manomesso) che legge i dati della carta), lo schimmer li registra o li rinvia fuori tramite rete bt. A questo punto il sistema di pagamento comunica al commesso di inserire invece la carta nel lettore di chip in quanto trattasi di carta abilitata a questo tipo di pagamento. E poi si procede con il pagamento. I codici letti sono raggruppabili in due tracce alfanumeriche che riportono tutti i dati per effettuare transazioni online oppure per clonare la banda magnetica ma non il chip – cosa fondamentale. Il tempo di riutilizzo dei codici non è arbitrario. Infatti questi vanno a finire in un network di e-commerce di codici di carte di credito acquistabili online (omerta.cm, vendeta.cc, etc) Si acquistano codici di carte anche a 10 euro a pezzo, dipende dalla carta se è una visa oppure uma amex platinum, quindi con un certo platform.

Massimo Cappanera

Uomo. Marito. Padre. Consulente web e marketing per professionisti e piccole aziende. Copywriter per passione e narratore di aneddoti per diletto. Nato senza rete, cresciuto con la rete...ma ancora di pesci nemmeno l'ombra. Forse è per questo che coltivo peperoncini.

17 commenti

Clicca qui per commentare

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

  • Se ti clonano la carta ma hai attivo il servizio di notifica via sms dei pagamenti dovresti accorgerti subito se vengono utilizzati i dati per fare i pagamenti da qualcun altro, oppure hanno già trovato il modo di aggirare anche questa garanzia ?

      • Grazie Massimo,
        allora mantengo il servizio di notifica.. non uso molto la carta e anche se costa un po’ , mi pare una tutela valida! :)

  • Comunque in questi casi si hanno mi pare 8 mesi di tempo per aprire presso l’emittente della tua carta un procedura detta di Chargeback e si è praticamente sicuri di recuperare tutti i soldi. Infatti chi ha incassato i soldi non potrà dimostrare di aver fornito beni o servizi al titolare della carta e quindi sarà lui il truffato e non tu, analogamente a quanto avviene a chi accetta in pagamento un assegno che poi risulti rubato.
    Nel tuo caso mi sa che non ci sarebbero stati problemi a vincere il chargeback. Peccato.
    A me era capitato anni fa una cosa del genere con la Visa di Ing Direct (clonata + acquisto su internet) ed ho avuto tutti i soldi indietro.
    Ad esempio su Paypal: https://www.paypal.com/selfhelp/article/FAQ892/3

    • Molto interessante, Dino! Io alla fine ho recuperato i soldi (ci son voluti tre mesi e intanto mi avevano scalato tutto l’importo) grazie all’assicurazione, però. Il meccanismo del Chargeback non mi era ancora chiaro, grazie per aver integrato l’articolo :)

  • Io ho acquistato un licenza per un programma che ieri si è rivelato un maledetto virus. QUANDO HO fatto l acquisto on line potrebbero aver raccolto il mio cv e data di scadenza per poi clonarla? Per altro in un secondo momento sono anche riusciti ad avere il mio ip….cosa rischio???
    Intanto ho già bloccato la carta e non mi sto mai connettendo….che ne pensi?
    grazie mille

      • Intanto grazie per la tua risposta, che un po’ mi rassicura, visto che non sono certo una “volpe” in informatica.
        Ti spiego un attimo la dinamica.
        Praticamente il software si presenta in modo più che professionale, legato a Microsoft, con il suo spazio dedicato al pagamento. Dopo averlo acquistato mi è arrivata subito la fattura ed il numero di licenza.
        Però inserendo la licenza non partiva.
        Quindi ho chiamato quello che doveva essere il “numero verde”, che dava assistenza in remoto.
        Ora il tipo che mi ha seguito ha tenuto un comportamento alquanto strano…non entro nei dettagli…. da pollo gli ho dato il numero (IP) per accedere al mio pc. Ha caricato un po’ di programmi, per poi dirmi che il software non andava bene, mi ha spiegato come farmi rimborsare, e poi mi ha proposto un altro software da 120 €.
        A quel punto ho sospeso la cosa e mi sono fiondato in un centro assistenza…dove da una prima superficiale occhiata, mi hanno detto che il programma è un virus ben mascherato e che il tecnico telefonico probabilmente un truffatore.
        Ho bloccato tutto ed oggi sono stato dalla polizia postale, che prima di raccogliere la denuncia mi ha detto di verificare bene prima se è proprio un virus o simile…
        Quindi in settimana sarò in assistenza e quando avrò una risposta, se vuoi ti faccio avere nomi e dettagli sul sito e il programma.

  • Ciao Massimo, leggo con piacere i tuoi articoli. Purtroppo su questo articolo leggo un po’ di lacune. La proma è che lo skimmer non è vero che sia passato di moda, bensì viene integrato (manomettendolo) nei pos. Il trucco è abbastanza semplice. Infatti le nuove carte di credito sono dotate, oltre che della solita ma importante banda magnetica, anche del chip, la nuova frontiera dei pagamenti sicuri (ancora per poco), quindi tutti i nuovi pos da 5 anni a questa parte sono dotati di lettori di chip. Il trucco è semplice: il commesso complice prima passa la carta nel lettore di banda (già precedentemente manomesso) che legge i dati della carta )lo schimmer li registra o li rinvia fuori tramite rete bt. A questo punto il sistema di pagamento comunica al commesso di inserire invece la carta nel lettore di chip in quanto trattasi di carta abilitata a questo tipo di pagamento. E poi si procede con il pagamento. I codici letti sono raggruppabili in due tracce alfanumeriche che riportono tutti i dati per effettuare transazioni online oppure per clonare la banda magnetica ma non il chip – cosa fondamentale. Il tempo di riutilizzo dei codici non è arbitrario. Infatti questi vanno a finire in un network di e-commerce di codici di carte di credito acquistabili online (omerta.cm, vendeta.cc, etc) Si acquistano codici di carte anche a 10 euro a pezzo, dipende dalla carta se è una visa oppure uma amex platinum, quindi con un certo platform.

    • Difficile…per quanto ne so, almeno. Dovrebbe fare un acquisto nell’ecommerce di un tuo conoscente e questi dovrebbe fornirti un po’ di dati in pura violazione della privacy… :(

  • Ciao,io personalmente tramite l applicazione della mia banca riesco a disattivare ed attivare i servizi per la compravendita online,posso attivarli e disattivarli a piacimento,forte no?

  • Buonasera.
    Sono vittima di una frode su carta attiva Agos.
    Ieri sera alle 22,00 mi arriva un SMS della Agos che mi avvisa che il numero di cellulare e’ stato stato cambiato.Telefono subito e blocco la carta.Oggi chiamo il servizio clienti e mi informano che la mattina c’è’ stata una transazione di 1987,05 euro(2000 euro plafon) e che hanno cambiato sia la mail (tipo….@virgilio) sia il numero di cellulare (tipo 377…).Come e’ stato possibile? Ho l’avviso immediato sul cellulare se entro nella’ area clienti o se eseguo qualche transazione.Sono andato dai Carabinieri per fare la denuncia ma senza la lista movimenti non c’è’ riscontro.Chiedo la lista movimenti per mail ma mi dicono che deve essere contablizzata probabile a fine settembre.Mi dicono di mandare un fax per il disconoscimento della transazione (anche senza denuncia ai carabinieri) che riavro’ comunque la somma.La transazione sembra essere stata fatta da Londra verso banca skrill.Sembra fatto tutto ad arte.Molto sospetta la posizione assunta dalla Agos.Cosa ne pensi?Che consiglio mi puoi dare?
    Grazie.Antonello da Cagliari.
    31-08-2016

    • Ciao Antonello, molto strano in effetti. Ricostruire ciò che ha portato a tutto ciò non è facile, specie se usi spesso la carta (quando capitò a me avevo fatto un acquisto in tre anni, per giunta all’estero…quindi era facile capire dove fosse successo :D). Sarebbe stato curioso conoscere la mail e il telefono anche se sarebbero risultati “falsi” pure quelli (o clonati o chissà che)…pure la questione della lista movimenti da contabilizzare non mi sembra abbia molto senso, come fanno a sapere che c’è stato quel movimento e non saperti dire gli altri? Intanto l’obiettivo n°1 è ovviamente recuperare i soldi, quindi segui la trafila suggerita. Il resto è secondario. Poi a tempo “perso” dovresti cercare di capire come sia successo tutto ciò, quantomeno per evitare accada di nuovo :)

  • Ciao.Tieni presente che la carta scade a Settembre 2016 e che ero riuscito a recuperare il mio debito con un bonifico di 1500 direttamente dalla mia banca il 16 di agosto.

Tweet recenti

Nuovi articoli via email

Se vuoi ricevere via e-mail le notifiche di nuovi articoli...beh, hai la mia stima, dimmi solo dove mandarle. Ti prometto che non ti invierò spam, truffe, proposte galanti, richieste di denaro, catene di S. Antonio e tutto il resto che di solito trovi la mattina al posto di proposte di lavoro. Inoltre potrai annullare l'iscrizione quando vuoi.

Unisciti a 438 altri iscritti

Condivisioni