Nel novembre del 2015, Will Caput ha lavorato per una società di sicurezza assegnata a un test di penetrazione di una grande catena di ristoranti messicani, perlustrando i suoi siti web per le vulnerabilità hackerabili. Così, quando il quarantenne Caput ha preso una pausa pranzo, aveva in mente fagioli e guacamole. Ha deciso di guidare fino alla filiale locale del ristorante a Chico, in California. Mentre era lì, ancora nella mentalità di testare la sicurezza del ristorante, ha notato un vassoio di carte regalo non attivate seduto sul bancone. Così le ha prese tutte – il cassiere non ci ha badato, dato che i clienti possono caricarle con una carta di credito da casa via web – e si è seduto a un tavolo, esaminando la pila mentre mangiava il suo burrito vegetariano.
Mentre sfogliava le carte regalo, ha notato uno schema. Mentre le ultime quattro cifre delle carte sembravano variare in modo casuale, il resto rimaneva costante tranne una cifra che sembrava aumentare di uno ad ogni carta che esaminava, in modo ordinato come una scala di poker. Quando finì il suo burrito, aveva un piano per frodare il sistema.
The Gift Grift
Dopo anni di esame dell’industria delle carte regalo al dettaglio dopo quella scoperta iniziale, Caput ha intenzione di presentare le sue scoperte alla conferenza hacker Toorcon questo fine settimana. Esse includono trucchi fin troppo semplici che gli hacker possono utilizzare per determinare i numeri delle carte regalo e drenare denaro da esse, anche prima che il legittimo titolare della carta abbia mai la possibilità di usarle. Mentre alcuni di questi metodi sono stati semipubblici per anni, e alcuni rivenditori hanno corretto le loro falle di sicurezza, una frazione inquietante di obiettivi rimane aperta agli schemi di hacking delle carte regalo, dice Caput. E come dimostra l’analisi del mercato del web oscuro AlphaBay, recentemente scomparso, i veri criminali hanno fatto un uso prolifico di questi schemi.
“Stai fondamentalmente rubando il denaro di altre persone attraverso queste carte”, dice Caput, che ora lavora come ricercatore per la società Evolve Security. “Si prende un piccolo campione di carte regalo da ristoranti, grandi magazzini, cinema, anche compagnie aeree, si guarda il modello, si determinano le altre carte che sono state vendute ai clienti e si ruba il valore su di esse.”
William Caput
Per realizzare il trucco, Caput dice che deve ottenere almeno una delle carte regalo della società bersaglio. Le carte non attivate si trovano spesso nei ristoranti e nei negozi, oppure può semplicemente comprarne una. (Non tutte le carte cambiano per un valore di uno, come ha fatto quel primo ristorante messicano. Ma Caput dice che ottenere due o tre carte può aiutare a determinare i modelli di quelle che non lo fanno). Poi visita semplicemente la pagina web che il negozio o il ristorante usa per controllare il valore della carta. Da lì, esegue il software di bruteforcing Burp Intruder per scorrere tutti i 10.000 valori possibili per le quattro cifre casuali alla fine del numero della carta, un processo che richiede circa 10 minuti. Ripetendo il processo e incrementando gli altri numeri prevedibili, il sito confermerà esattamente quali carte hanno quanto valore. “Se si riesce a trovare solo una delle loro carte regalo o buoni, si può bruteforce il sito web”, dice.
Una volta che un ladro ha determinato quei numeri di carta attivati e con valore, lui o lei può usarli sulla pagina ecommerce del rivenditore, o anche di persona; Caput li ha scritti su una carta di plastica bianca con un dispositivo di scrittura a banda magnetica da 120 dollari disponibile su Amazon, e ha scoperto che la maggior parte dei rivenditori accetta le sue carte senza domande. (Caput chiede solo al negozio o al ristorante di controllare il saldo della carta, piuttosto che spendere soldi dalle carte che appartengono alle vittime reali). “È un attacco abbastanza anonimo”, dice Caput. “Posso entrare, ordinare del cibo e uscire. La carta della persona dice che ha 50 dollari, e poi non c’è più.”
Atto di bilanciamento
Caput ha avvertito i rivenditori e i ristoranti del suo schema da quando lo ha scoperto quasi due anni fa. I potenziali obiettivi, tra cui Trader Joe’s, Macy’s e Taco Bell, hanno tutti risposto o eliminando le loro pagine web di controllo del valore delle carte regalo e richiedendo agli utenti di controllare le loro carte regalo per telefono o aggiungendo s alle loro pagine web di controllo del valore delle carte, progettate per impedire ai programmi automatici di forzare i numeri delle carte regalo.
Ma altri ristoranti, punti vendita e aziende, che Caput ha rifiutato di nominare per la cronaca, non hanno implementato misure di sicurezza contro il suo trucco di frode o hanno aggiunto una difesa che è stato in grado di aggirare. Ha scoperto che molti fornitori di carte regalo ora usano una pagina di controllo del valore della loro carta che lui può rimuovere semplicemente disabilitando gli elementi javascript sulla pagina, utilizzando lo strumento software Burp Proxy. Questo gli ha permesso di effettuare gli stessi attacchi bruteforce, trovare i numeri delle carte attivate e sfruttarli proprio come nel 2015. Altri rivenditori e catene regionali che ha testato non hanno aggiunto s a tutti, o usano semplici numeri incrementati sulle loro carte regalo che non richiedono nemmeno il bruteforcing.
Le carte di alcuni rivenditori usano numeri PIN oltre al numero codificato nella carta. Ma quel PIN è necessario solo per controllare il saldo della carta, non per spendere il suo valore, dice Caput. E se un hacker volesse davvero determinare il valore di una di quelle carte protette da PIN, potrebbe forzarlo con Burp Intruder tanto facilmente quanto il numero della carta stessa.
‘Posso entrare, ordinare cibo e uscire. La carta della persona dice che ha 50 dollari, e poi non c’è più”. -Ricercatore di sicurezza Will Caput
Caput sottolinea che anche i ristoranti e i rivenditori che hanno aggiunto robusto s alle loro pagine di controllo del valore delle carte regalo possono rimanere vulnerabili. Se le carte regalo sono lasciate accessibili, può semplicemente prendere l’intera pila di carte, fotografarne il retro e poi rimetterle nel vassoio. Poi controlla semplicemente quei numeri periodicamente tramite il sito web del ristorante o del rivenditore fino a quando la carta non è stata attivata. Quando lo è, può spendere qualsiasi denaro che è stato aggiunto ad essa.
Le vulnerabilità che Caput ha trovato non sono solo teoriche. A maggio la società di sicurezza Flashpoint ha pubblicato un rapporto in cui la società ha trovato centinaia di discussioni di carte regalo “craccate” sui forum web criminali, con un’impennata nell’estate del 2016 e di nuovo all’inizio del 2017, rispetto a praticamente nessuna prima del 2016. L’analista di Flashpoint Liv Rowley dice che un venditore sul mercato del dark web AlphaBay da solo aveva fatto più di 400.000 dollari di vendite tra novembre 2016 e luglio di quest’anno, quando AlphaBay è stato chiuso dall’FBI, in gran parte vendendo carte regalo rubate per più di una dozzina di marchi, tra cui negozi come OfficeMax e Whole Foods. Quando Flashpoint ha parlato con uno dei rivenditori interessati, i ricercatori della società hanno determinato che il venditore stava effettivamente utilizzando uno strumento automatico per forzare le carte regalo attivate, proprio come ha dimostrato Caput. “Un sacco di carte regalo sono numerate in modo sequenziale, e sembra che lui o lei le stesse controllando così”, dice Rowley.
Tutti i problemi di sicurezza delle carte regalo che Caput evidenzia hanno soluzioni relativamente semplici: Implementare un sistema forte che i cattivi attori non possano aggirare sui siti di controllo del valore delle carte regalo, non lasciare le carte regalo non attivate in palio ai banconi dei negozi, e usare coperture antigraffio sulle carte per evitare che vengano fotografate e poi sostituite nei negozi.
Ma finché i rivenditori e i ristoranti non faranno queste correzioni, i consumatori farebbero bene a pensarci due volte prima di comprare carte regalo che potrebbero potenzialmente avere il loro valore dirottato via dagli hacker. Prima di prendere quella carta incustodita da un banco di vendita al dettaglio, forse considerate chi potrebbe averne presa una per primo – e chi altro potrebbe conoscere i segreti di quella fetta di plastica.