Sommario dell'articolo
Premessa: questo trucco l’ho imparato a mie spese, nella prima (e spero unica) truffa a cui sono stato sottoposto.
Una truffa nemmeno da poco, essendomi ritrovato con la carta di credito clonata e 1800 euro in meno sul conto corrente. Vediamo di farteli risparmiare.
Carta di credito clonata: come evitare la truffa
2012, viaggio a Barcellona. Avevo con me la carta di credito, un po’ (molto) impolverata visto che non la usavo da quando mi ero sposato e avevo fatto le spese folli per mettere su casa. Tuttavia, essendo un viaggio all’estero, mi era sembrata una buona idea portarla con me. Addirittura, avendo fatto il viaggio di nozze negli USA, avevo fatto aumentare il massimale mensile a 3000 euro (di base era 1000), scordandomi poi ti abbassarlo nuovamente. Tanto, chi l’avrebbe più usata?
In un negozio Esprit (se volete vi dico pure dove) in piena zona turistica di Barcellona trovo uno splendido giubbotto pesante, utile visto il clima pungente di inizio febbraio. 80 euro, un affare. Ne avrei pagato almeno il triplo per quella qualità. Non volendo togliermi i contanti, riesumo la carta di credito, la spolvero, pago ed esco soddisfatto per il grande acquisto.
Passano due mesi.
Un sabato mattina, alle 8.30, mi squilla il cellulare. Ovviamente dormivo. All’altro capo una voce tenebrosa, senza alcun altro rumore di sottofondo.
Voce: “Salve, parlo con…titolare del conto…presso la banca…”
Io: “…si…”
Voce: “La chiamavo per un’informazione. Ieri sera, alle 23, ha forse autorizzato un pagamento di 1800 euro verso HAITI?”
Io: “…no…” (Haiti?!)
Voce (in tono neutro, come a dare per scontata la risposta): “Va bene. Allora le hanno clonato la carta di credito. Comunque l’abbiamo bloccata.”
Clonato la carta di credito?! A me?! Ma se nemmeno l’ho usat…Guardo il giubbotto. Dall’altro capo del telefono la voce neutra sentì uno “sbonk! sbonk!”.
Ero io che davo testate al muro.
La spiegazione di ciò che mi è successo (‘tacci loro)
Come chiunque faccia acquisti online sa, ogni carta di credito presenta il cosiddetto CVV2 o CVC2, vale a dire il numero di controllo (Card Verification Value 2, detto altresì Card Security Code, se vogliamo essere precisi) richiesto ogniqualvolta si facciano acquisti, oltre le classiche sedici cifre frontali sulla carta di credito e la data di scadenza della stessa.
Fig. 1 – Notare come Visa/Mastercard e American Express abbiano il CVV2 o CVC2 in posizioni diverse
Per clonare una carta di credito è necessario conoscere tre dati:
1) le 16 cifre frontali della carta di credito
2) la data di scadenza della carta di credito
3) il CVV2 o CVC2, appunto. 3 cifre per Visa/Mastercard, poste sul retro della carta (il secondo gruppo di numeri, per intederci), 4 cifre per l’American Express, poste sulla parte frontale, in alto a destra.
Come hanno fatto dunque in quel negozio a ottenere questi dati? C’è ancora qualcuno che usa il trucco della carta di credito fatta cadere a terra maldestramente dopo averla consegnata per inserirla nel lettore. Il commesso si china per raccoglierla ma prima di spuntare da dietro il bancone la passa attraverso un lettore (detto skimmer) che ne registra i dati. Questo era un vecchio trucco, divenuto di dominio pubblico e quindi rischioso da usare (aggiornamento del 28/2/2016: a quanto pare è ancora auge, leggi l’ultimo paragrafo per maggiori informazioni). Personalmente sto sempre ben attento alla mia carta, quindi non è stato il mio caso.
E allora, come hanno fatto?
Semplice: con una telecamera, posta presumibilmente sul pavimento. O quella sul soffitto, anche se ciò mi sembra improbabile, immaginando che tali riprese non siano accessibili al personale interno la negozio. Consegni la tua carta di credito e il truffatore, perdendo quei pochi secondi in attesa di afferrare il lettore di carte, la mostra sia da un lato che dall’altro alla telecamera, poi procede al pagamento. Tu esci senza sospettare nulla, il truffatore ricava i tre dati suddetti e pianifica il da farsi.
Di solito accadono tre cose:
1) c’è un intervallo di tempo tra l’acqusizione dei dati e l’acquisto a spese della vittima da parte del truffatore, nel mio caso un paio di mesi. Ciò per evitare che si possa risalire al colpevole. Peccato che, nel mio caso quella fosse stata l’unica transazione fatta in due anni…
2) gli acquisti a spese della vittima vengono effettuati il venerdì sera (in modo tale che le banche siano chiuse nel weekend e non se ne accorgano. Fortunatamente non è stato il mio caso)
3) gli acquisti partono inizialmente con una spesa irrisoria (1 o 2 euro) per verificare che la carta sia effettivamente attiva, non destando i sospetti per un rifiuto da parte della banca in fase di pagamento, che verrebbe comunque registrato. Nel mio caso, tuttavia, il truffatore partì subito sparando alto e ottenendo il massimo: 1800 euro di merce. E meno male che la banca bloccò la carta, altrimenti sarebbero stati 3000.
La soluzione semplicissima per evitare la clonazione della carta di credito nei negozi fisici
Volete evitare il problema della carta di credito clonata? Un’operazione da trenta secondi può salvarvi il conto in banca. Prendete del nastro isolante nero, ricavatene un rettangolino grande quanto i numeri del CVV2 o CVC2 e incollatelo lì sopra, così da coprirli. Il nastro isolante sarà facile da sollevare nel caso in cui doveste fare (voi) dei pagamenti online, ma renderà immune la carta di credito dalle telecamere. Stando poi attenti che non cada maldestramente dalle mani di qualcuno, potrete stare presumibilmente sereni. Se i numeri CVV sono a rilievo, mettete due strati di nastro ed evitate di premere, così da non renderlo visibile.
Altro consiglio per evitare clonazioni della cara di credito: qualora non la utilizziate di frequente, se non per emergenze, chiedete alla banca a quanto ammonti il massimale prelevabile in un mese e abbassatelo a una cifra ragionevole. In quel caso, potete limitare i danni se dovessero rubarvela…o non seguiste il consiglio di cui sopra.
Aggiornamento: gli skimmer sono ancora in uso
Il gentilissimo Valentino mi ha scritto nei commenti un’integrazione che può risultare molto utile per capire il fenomeno delle carte di credito clonate. Eccolo qui:
[…] Lo skimmer non è passato di moda, bensì viene integrato (manomettendolo) nei pos. Il trucco è abbastanza semplice. Infatti le nuove carte di credito sono dotate, oltre che della solita ma importante banda magnetica, anche del chip, la nuova frontiera dei pagamenti sicuri (ancora per poco), quindi tutti i nuovi pos da 5 anni a questa parte sono dotati di lettori di chip. Il trucco è semplice: il commesso complice prima passa la carta nel lettore di banda (già precedentemente manomesso) che legge i dati della carta), lo schimmer li registra o li rinvia fuori tramite rete bt. A questo punto il sistema di pagamento comunica al commesso di inserire invece la carta nel lettore di chip in quanto trattasi di carta abilitata a questo tipo di pagamento. E poi si procede con il pagamento. I codici letti sono raggruppabili in due tracce alfanumeriche che riportono tutti i dati per effettuare transazioni online oppure per clonare la banda magnetica ma non il chip – cosa fondamentale. Il tempo di riutilizzo dei codici non è arbitrario. Infatti questi vanno a finire in un network di e-commerce di codici di carte di credito acquistabili online (omerta.cm, vendeta.cc, etc) Si acquistano codici di carte anche a 10 euro a pezzo, dipende dalla carta se è una visa oppure uma amex platinum, quindi con un certo platform.
Se ti clonano la carta ma hai attivo il servizio di notifica via sms dei pagamenti dovresti accorgerti subito se vengono utilizzati i dati per fare i pagamenti da qualcun altro, oppure hanno già trovato il modo di aggirare anche questa garanzia ?
Ciao Cristina, in teoria è un modo valido ma molti non lo usano perché poi costa…o è fastidioso…Quindi ci provano lo stesso, male che vada è solo una nuova carta bruciata…
Grazie Massimo,
allora mantengo il servizio di notifica.. non uso molto la carta e anche se costa un po’ , mi pare una tutela valida! :)
Comunque in questi casi si hanno mi pare 8 mesi di tempo per aprire presso l’emittente della tua carta un procedura detta di Chargeback e si è praticamente sicuri di recuperare tutti i soldi. Infatti chi ha incassato i soldi non potrà dimostrare di aver fornito beni o servizi al titolare della carta e quindi sarà lui il truffato e non tu, analogamente a quanto avviene a chi accetta in pagamento un assegno che poi risulti rubato.
Nel tuo caso mi sa che non ci sarebbero stati problemi a vincere il chargeback. Peccato.
A me era capitato anni fa una cosa del genere con la Visa di Ing Direct (clonata + acquisto su internet) ed ho avuto tutti i soldi indietro.
Ad esempio su Paypal: https://www.paypal.com/selfhelp/article/FAQ892/3
Molto interessante, Dino! Io alla fine ho recuperato i soldi (ci son voluti tre mesi e intanto mi avevano scalato tutto l’importo) grazie all’assicurazione, però. Il meccanismo del Chargeback non mi era ancora chiaro, grazie per aver integrato l’articolo :)
Io ho acquistato un licenza per un programma che ieri si è rivelato un maledetto virus. QUANDO HO fatto l acquisto on line potrebbero aver raccolto il mio cv e data di scadenza per poi clonarla? Per altro in un secondo momento sono anche riusciti ad avere il mio ip….cosa rischio???
Intanto ho già bloccato la carta e non mi sto mai connettendo….che ne pensi?
grazie mille
Ciao Beppe, l’IP è poca cosa, probabilmente spegnendo e riaccendendo il router te ne ritrovi uno nuovo…Più che altro bisogna capire dove hai inserito quei dati…
Intanto grazie per la tua risposta, che un po’ mi rassicura, visto che non sono certo una “volpe” in informatica.
Ti spiego un attimo la dinamica.
Praticamente il software si presenta in modo più che professionale, legato a Microsoft, con il suo spazio dedicato al pagamento. Dopo averlo acquistato mi è arrivata subito la fattura ed il numero di licenza.
Però inserendo la licenza non partiva.
Quindi ho chiamato quello che doveva essere il “numero verde”, che dava assistenza in remoto.
Ora il tipo che mi ha seguito ha tenuto un comportamento alquanto strano…non entro nei dettagli…. da pollo gli ho dato il numero (IP) per accedere al mio pc. Ha caricato un po’ di programmi, per poi dirmi che il software non andava bene, mi ha spiegato come farmi rimborsare, e poi mi ha proposto un altro software da 120 €.
A quel punto ho sospeso la cosa e mi sono fiondato in un centro assistenza…dove da una prima superficiale occhiata, mi hanno detto che il programma è un virus ben mascherato e che il tecnico telefonico probabilmente un truffatore.
Ho bloccato tutto ed oggi sono stato dalla polizia postale, che prima di raccogliere la denuncia mi ha detto di verificare bene prima se è proprio un virus o simile…
Quindi in settimana sarò in assistenza e quando avrò una risposta, se vuoi ti faccio avere nomi e dettagli sul sito e il programma.
Caspita che storia…certo, tienici aggiornati, potrebbe interessare a tanti.
Ciao Massimo, leggo con piacere i tuoi articoli. Purtroppo su questo articolo leggo un po’ di lacune. La proma è che lo skimmer non è vero che sia passato di moda, bensì viene integrato (manomettendolo) nei pos. Il trucco è abbastanza semplice. Infatti le nuove carte di credito sono dotate, oltre che della solita ma importante banda magnetica, anche del chip, la nuova frontiera dei pagamenti sicuri (ancora per poco), quindi tutti i nuovi pos da 5 anni a questa parte sono dotati di lettori di chip. Il trucco è semplice: il commesso complice prima passa la carta nel lettore di banda (già precedentemente manomesso) che legge i dati della carta )lo schimmer li registra o li rinvia fuori tramite rete bt. A questo punto il sistema di pagamento comunica al commesso di inserire invece la carta nel lettore di chip in quanto trattasi di carta abilitata a questo tipo di pagamento. E poi si procede con il pagamento. I codici letti sono raggruppabili in due tracce alfanumeriche che riportono tutti i dati per effettuare transazioni online oppure per clonare la banda magnetica ma non il chip – cosa fondamentale. Il tempo di riutilizzo dei codici non è arbitrario. Infatti questi vanno a finire in un network di e-commerce di codici di carte di credito acquistabili online (omerta.cm, vendeta.cc, etc) Si acquistano codici di carte anche a 10 euro a pezzo, dipende dalla carta se è una visa oppure uma amex platinum, quindi con un certo platform.
Caspita Valentino, mai sono stato così felice di avere lacune :) Grazie per la splendida spiegazione, l’aggiungo subito all’articolo :)
Se un truffatore usa la mia carta di credito per acquisti online lo posso rintracciare?
Difficile…per quanto ne so, almeno. Dovrebbe fare un acquisto nell’ecommerce di un tuo conoscente e questi dovrebbe fornirti un po’ di dati in pura violazione della privacy… :(
Ciao,io personalmente tramite l applicazione della mia banca riesco a disattivare ed attivare i servizi per la compravendita online,posso attivarli e disattivarli a piacimento,forte no?
Buonasera.
Sono vittima di una frode su carta attiva Agos.
Ieri sera alle 22,00 mi arriva un SMS della Agos che mi avvisa che il numero di cellulare e’ stato stato cambiato.Telefono subito e blocco la carta.Oggi chiamo il servizio clienti e mi informano che la mattina c’è’ stata una transazione di 1987,05 euro(2000 euro plafon) e che hanno cambiato sia la mail (tipo….@virgilio) sia il numero di cellulare (tipo 377…).Come e’ stato possibile? Ho l’avviso immediato sul cellulare se entro nella’ area clienti o se eseguo qualche transazione.Sono andato dai Carabinieri per fare la denuncia ma senza la lista movimenti non c’è’ riscontro.Chiedo la lista movimenti per mail ma mi dicono che deve essere contablizzata probabile a fine settembre.Mi dicono di mandare un fax per il disconoscimento della transazione (anche senza denuncia ai carabinieri) che riavro’ comunque la somma.La transazione sembra essere stata fatta da Londra verso banca skrill.Sembra fatto tutto ad arte.Molto sospetta la posizione assunta dalla Agos.Cosa ne pensi?Che consiglio mi puoi dare?
Grazie.Antonello da Cagliari.
31-08-2016
Ciao Antonello, molto strano in effetti. Ricostruire ciò che ha portato a tutto ciò non è facile, specie se usi spesso la carta (quando capitò a me avevo fatto un acquisto in tre anni, per giunta all’estero…quindi era facile capire dove fosse successo :D). Sarebbe stato curioso conoscere la mail e il telefono anche se sarebbero risultati “falsi” pure quelli (o clonati o chissà che)…pure la questione della lista movimenti da contabilizzare non mi sembra abbia molto senso, come fanno a sapere che c’è stato quel movimento e non saperti dire gli altri? Intanto l’obiettivo n°1 è ovviamente recuperare i soldi, quindi segui la trafila suggerita. Il resto è secondario. Poi a tempo “perso” dovresti cercare di capire come sia successo tutto ciò, quantomeno per evitare accada di nuovo :)
Successo una cosa simile con postepay anni fa.
Con i codici da inserire che arrivavano via SMS per fare pagamenti, sta di fatto che qualcuno li ha cambiati ed ha svuotato la carta 500€.
Fatto denuncia presso polizia postale e poste . passati 5 o 6 anni fa .dalle poste neanche una risposta.
Inutile a dire che di Postepay non ne voglio neanche sentir parlare.
E’ una decisione saggia, Fabrizio…
Ciao.Tieni presente che la carta scade a Settembre 2016 e che ero riuscito a recuperare il mio debito con un bonifico di 1500 direttamente dalla mia banca il 16 di agosto.
TUTTO MOLTO INTERESSANTE. GRAZIE
Io credo di avere evitato per tanto così la clonazione della mia carta. Un mese e mezzo fa vado da un tabaccaio della mia zona, nella mia città (Napoli), a chiedere di effettuare una ricarica sulla mia prepagata (CartaLis). Il commesso mi dice che Lottomaticard ha chiuso i battenti per un po’ (non è possibile ricaricare una carta del circuito dal tabacchi, nel periodo del lockdown). Poi mi dice: “dammi la carta, fammi vedere una cosa”. Io non ne so molto di truffe col bancomat ma a istinto non mi va di dargliela. Finisco per farlo comunque, però gli dico: “Mica ci fai qualcosa?” E lui: “Cosa ci dovrei fare?”. Intanto passa la carta (fronte/retro) su un piccolo lettore posizionato accanto alla cassa. Mi dice: “No, niente”. Dopo aver letto questo articolo mi è venuto in mente che poteva trattarsi di clonazione della carta, e che forse sono stata fortunata (la mia carta è relativamente recente e dovrebbe essere dotata del chip che la protegge da questo tipo di truffe). Oppure il caro amico sta aspettando un po’ prima di prelevare. Dopo aver letto questo articolo non sono molto tranquilla, ma cosa potrei fare? Posso denunciarlo, con così pochi dati in mano? Magari avvisare la polizia di fare un piccolo controllo nel suo negozio (vendicandomi così anche del tentato misfatto)… confesso che mi piacerebbe molto farlo.
Giovanna, io eliminerei direttamente la carta, non credo proprio possa aver fatto qualcosa di buono!
Buonasera Massimo,
In questi giorni sto leggendo con interesse, attenzione e divertimento i suoi articoli, post e risposte, da cui c’è sempre molto da imparare, soprattutto in ambito “truffe”.
Complimenti per la chiarezza, l’efficacia e lo humor dei suoi testi!
Riallacciandomi all’argomento delle carte di credito clonate qui trattato, non riesco a capacitarmi di ciò che mi è accaduto tra domenica e lunedì scorso con la Postepay Evolution. Lunedì mattina ho preso atto con sgomento di dieci notifiche via sms sul cellulare associato alla carta, relative ad altrettanti pagamenti (tutti di cifre inferiori ai 30 euro) a Deliveroo, ed effettuati nella serata di domenica con la mia Postepay Evolution. Tra questi sms, un paio proveniva dal servizio antifrode di Poste Italiane e chiedeva di rispondere SÌ o NO per autorizzare i pagamenti (2 su 10… ).
In pratica, si sono pagati una cena luculliana alla faccia mia! 😁
Sgomento perché quella carta non esce mai di casa, né tantomeno viene usata per acquisti online, né è mai stata prestata ad altre persone. Le uniche operazioni effettuate quest’anno sono state un bonifico ad un serramentista a maggio e un accredito RCAuto dalla compagnia di assicurazioni a giugno. Per il resto la uso solo per accredito stipendio e ricaricare (dall’app Postepay) la Postepay standard.
Avrei immaginato che la “gialla” fosse molto più a rischio, dato che la uso spessissimo…
Ho bloccato tutto lunedì mattina e mi sono recata in ufficio postale, ora sto attendendo la lista movimenti per il disconoscimento degli importi e la denuncia ai Carabinieri (per la quale denuncia, tra l’altro, dalla posta mi hanno chiamato per comunicarmi che ora basta anche una autocertificazione…).
Sono molto perplessa… Dato che si è trattato di acquisti online, i truffatori erano in possesso del mio nome, numero carta, data di scadenza e codice CVV.
Può esserci una falla nella app?
Grazie e buona giornata!
A.
Falla nell’app o semplice vendita via dark web dei dati in massa di pacchetti di Postepay…Leggevo che li vendono tipo 1000 per 30 euro o robe del genere. Fossi in te approfondirei in modo serio la faccenda, fosse solo perché Poste Italiane deve darti spiegazioni molto convincenti…