Cari lettori di Tecnogalaxy, oggi parleremo di un malware di nome Prilex in circolazione in questo periodo che blocca le transazioni contactless rubando i dati delle carte di credito.

Questo blocco dei pagamenti NFC (Near-Field Communication) sui dispositivi infettati, permette ai cyber criminali di rubare il denaro alle povere vittime.

In generale il settore dei pagamenti digitali è in continua e rapida evoluzione grazie all’innovazione tecnologica avvenuta nell’ultimo decennio. Questa cosa però ha comportato un aumento esponenziale dei tentativi di frode rivolti a diversi sistemi di pagamento (come ad esempio con smartphone, con carta di credito etc…).

Prilex: com’è nato e come funziona

La prima uscita del malware Prilex che ha colpito il settore finanziario risale al lontano 2016, ovviamente adesso come tutti i malware creati, si è evoluto sfruttando l’innovazione tecnologica così da diventare ancora più pericoloso.

Questo tipo di malware come spiegato continua ad evolversi e a diventare sempre più temibile…andiamo a vedere le 5 fasi che utilizzano i metodi di pagamenti contactless…(ormai diventati sempre più popolari) per capire come agiscono i cyber criminali.

  1. Il titolare della carta avvicina la carta al terminale di pagamento abilitato al contactless.
  2. Il terminale invia un segnale RF (a radiofrequenza ) alla carta attivando il chip (RFID incorporato nella carta).
  3. Il chip RFID presente all’interno della carta invia al terminale un numero di identificazione unico (chiamato in gergo tecnico ID) con informaizoni sulla transazione. Queste informazioni non sono riutilizzabili e sono crittografati, se anche un malintenzionat dovesse intercettarli queste informazioni non potranno essere utilizzate per rubare il denaro.
  4. Il terminale a sua volta invia le informazioni sulla transazione alla rete di elaborazione che utilizza la carta per l’autorizzazione.
  5. Quando la transazione viene approvata, il terminale a sua volta invia un messaggio di conferma al titolare della carta e a questo punto il pagamento viene elaborato.

Come abbiamo potuto capire, i dati sulla transazione che vengono trasmessi dal chip (RFID),  non sono utilizzabili dai cyber criminali per sottrarre denaro, ma possono essere utilizzati per bloccare il processo di  transazione de pagamento sul terminale (POS).

In questo caso obbligano il titolare ad inserire fisicamente la propria carta nel terminale, è qui che la tecnica adoperata dai cybercriminali entra in funzione, l’obiettivo è quello di intercettare grazie al malware Prilex il numero di identificazione univoco (legato alla transazione NFC),  per obbligare il titolare della carta ad utilizzare la tecnologia CHIP&PIN al posto di quella contactless.

Secondo un’analisi effettuata dai ricercatori, le regole presenti nel codice sorgente del software, molto semplici in grado di individuare sia la tipologia di pagamento che sta effettuando la vittima, sia la tipologia di carta.

Funzionamento logico di Prilex

Questo è un estratto (trovato sul web), delle regole di Prilex che si riferiscono al blocco NFC, ovviamente in un formato comprensibile per capire il funzionamento:

SE (modalità = “NFC” AND tipologia_di_carta = “Carta di credito”) ALLORA Visualizza_Errore Nel caso in cui si decida di utilizzare la modalità NFC, sul display del POS comparirà il seguente messaggio di errore “Errore Contactless, inserire la carta” che obbligherà l’utente ad inserire fisicamente la carta all’interno del dispositivo per completare il pagamento. L’obiettivo finale dei criminali è quello di costringere la vittima a utilizzare la propria carta fisica inserendola nel lettore del PIN pad, in modo che il malware sia in grado di catturare i dati provenienti dalla transazione utilizzando tecniche sofisticate, come la manipolazione dei crittogrammi e l’esecuzione di un attacco GHOST”, sottolinea Cortese.

Transazioni GHOST

Tutte le informazioni acquisite vengono salvate in un file (che viene crittografato),  collocato in una directory precedentemente impostata dalla configurazione del malware.

Questo file verrà poi inviato grazie alla backdoor e al modulo uploader presente nel malware al server del gestito dal cyber criminale.

Come proteggersi da Prilex?

Come sempre tenere aggiornati i sistemi operativi, installare le patch e non lasciare vulnerabilità senza patch.

Utilizzare PoS che adottano antivirus, evitano che il codice malevolo possa violare le transazioni gestite dai moduli.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

Non dimenticarti di iscriverti al mio canale Youtube.

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.