logo blog TuttoSemplice.com
cerca

Shimming

immagine glossario
« Back to Glossary Index

Cosa Significa Shimming

Shimming è un termine che, in un contesto tecnologico e di sicurezza informatica, si riferisce a una tecnica di attacco fraudolento che prende di mira i dispositivi di lettura delle carte con chip EMV. In termini semplici, lo shimming consiste nell’inserire un sottile dispositivo illecito, chiamato "shimmer", all’interno del lettore di chip di un terminale POS (Point of Sale), di un ATM Bancomat o di un altro dispositivo di pagamento. Questo shimmer è progettato per intercettare e registrare i dati della carta durante una transazione, consentendo ai criminali di clonare la carta o di effettuare transazioni fraudolente. A differenza dello skimming tradizionale, che si concentra sulla banda magnetica, lo shimming mira specificamente alla vulnerabilità del chip EMV.

Spiegazione Approfondita della Tecnica di Shimming

La tecnica di shimming rappresenta un’evoluzione delle frodi legate alle carte di pagamento, nata come risposta alla crescente diffusione e adozione dello standard EMV, considerato inizialmente molto più sicuro rispetto alle carte a banda magnetica. I criminali, nel tempo, hanno sviluppato metodi sempre più sofisticati per aggirare le protezioni e lo shimming è uno degli esempi più emblematici di questa evoluzione.

Come Funziona uno Shimmer

Uno shimmer è un dispositivo estremamente sottile e flessibile, spesso realizzato con materiali come il mylar o il rame, e di dimensioni tali da poter essere inserito all’interno della fessura del lettore chip senza essere facilmente individuato a occhio nudo. Le caratteristiche principali di uno shimmer includono:

  • dimensioni ridottissime: lo shimmer è progettato per essere il più sottile possibile, in modo da non interferire con l’inserimento della carta e da non essere visibile dall’esterno.
  • connettori elettrici: il dispositivo è dotato di micro-connettori elettrici che si allineano con i contatti del chip della carta una volta inserita nel lettore.
  • memoria interna: uno shimmer più sofisticato può integrare una piccola memoria interna per registrare i dati intercettati.
  • trasmissione dati (opzionale): alcuni shimmer sono dotati di capacità di trasmissione dati wireless (ad esempio Bluetooth o NFC) per inviare le informazioni rubate a distanza al criminale.

Una volta inserito nel lettore di chip, lo shimmer si interpone tra il chip della carta e i contatti del lettore originale. Quando la carta viene inserita per effettuare un pagamento, lo shimmer intercetta i segnali elettrici tra il chip e il terminale, copiando i dati necessari per clonare la carta o per effettuare transazioni fraudolente. In alcuni casi, lo shimmer può anche manipolare la comunicazione tra la carta e il terminale, ad esempio per bypassare la richiesta del PIN o per modificare l’importo della transazione.

Differenza tra Shimming e Skimming Tradizionale

È importante distinguere lo shimming dallo skimming tradizionale, che prende di mira le carte a banda magnetica. Le principali differenze sono:

  • bersaglio: lo skimming tradizionale mira alla banda magnetica, lo shimming al chip EMV.
  • dispositivo: lo skimmer tradizionale è un lettore esterno applicato allo sportello o alla tastiera, lo shimmer è un dispositivo interno inserito nel lettore chip.
  • complessità: lo shimming è generalmente considerato una tecnica più sofisticata e complessa dello skimming tradizionale, richiedendo una maggiore conoscenza tecnica e una maggiore precisione nell’installazione del dispositivo.
  • rilevabilità: gli shimmer, essendo dispositivi interni, possono essere più difficili da individuare rispetto agli skimmer esterni, anche se controlli accurati e dispositivi anti-manomissione possono aiutare a rilevarli.

Contesti di Utilizzo dello Shimming

Sebbene gli ATM Bancomat e i terminali POS siano i bersagli principali dello shimming, questa tecnica può essere potenzialmente utilizzata in qualsiasi dispositivo dotato di lettore di chip EMV, come ad esempio:

  • distributori automatici: per frodare i sistemi di pagamento automatici di distributori di bevande, snack, biglietti, ecc.
  • pompe di benzina self-service: per rubare i dati delle carte utilizzate per il pagamento del carburante.
  • parcometri: per frodare i sistemi di pagamento dei parcheggi.
  • sistemi di controllo accessi: in teoria, lo shimming potrebbe essere utilizzato per intercettare i dati di badge o carte di accesso con chip.

Come Difendersi dallo Shimming

La prevenzione è fondamentale per difendersi dallo shimming. Le contromisure possono essere adottate sia a livello di gestori dei terminali che a livello di utenti:

Per i gestori dei terminali:

  • ispezioni regolari dei lettori di chip: effettuare controlli visivi e tecnici periodici dei lettori di chip per individuare eventuali shimmer installati.
  • dispositivi anti-manomissione: utilizzare terminali dotati di sistemi anti-manomissione che rendano più difficile l’inserimento di dispositivi illeciti e che segnalino eventuali tentativi di manomissione.
  • aggiornamenti software di sicurezza: mantenere i software dei terminali sempre aggiornati con le ultime patch di sicurezza per proteggerli da vulnerabilità che potrebbero essere sfruttate per facilitare l’installazione o l’utilizzo di shimmer.
  • formazione del personale: formare il personale addetto alla manutenzione e alla sicurezza dei terminali per riconoscere i segni di manomissione e per intervenire in caso di sospetta presenza di shimmer.

Per gli utenti:

  • osservare attentamente il lettore di chip: prima di inserire la carta, verificare se ci sono anomalie, sporgenze o segni di manomissione intorno alla fessura del lettore chip.
  • utilizzare il tatto: provare a muovere leggermente il lettore di chip per verificare se è stabile e ben fissato. Un lettore manomesso potrebbe risultare instabile o leggermente allentato.
  • proteggere la digitazione del PIN: coprire sempre la tastiera con la mano durante la digitazione del PIN, anche se si utilizza una carta con chip, per proteggersi anche da eventuali microcamere nascoste o da shoulder surfing.
  • monitorare le transazioni: controllare regolarmente l’estratto conto e i movimenti della carta per individuare tempestivamente eventuali transazioni sospette o non autorizzate.
  • attivare le notifiche della banca: attivare i servizi di notifica via SMS o email per essere avvisati in tempo reale di ogni transazione effettuata con la carta.

In conclusione, lo shimming è una minaccia reale e in evoluzione nel panorama delle frodi con carte di pagamento. La consapevolezza, la vigilanza e l’adozione di misure di sicurezza adeguate, sia da parte dei gestori dei terminali che degli utenti, sono fondamentali per contrastare efficacemente questa tecnica fraudolenta e proteggere i propri dati finanziari.

« Torna all'indice del Glossario

Articoli più rilevanti contenenti il termine Shimming