Questa guida nasce con l'intento di informare la comunità sui problemi più gravi e compromettenti che le principali prepagate presentano: sono sicuro che più gente verrà a conoscenza di questi metodi di truffa, più saranno difficili da attuare per gli scammer che già li sfruttano o li sfrutteranno. Un buon modo per proteggersi sin da subito è utilizzare carte prepagate che rendono più difficile l'utilizzo degli exploit sotto elencati, al momento quella che mi sento di raccomandare è la superflash di intesa san paolo. Buona lettura!
Postepay
Postepay è la carta prepagata più diffusa d'italia, emessa da posteitaliane parecchi anni fa, è diventata popolarissima per la facilità di ottenimento e di ricarica. Non ha canoni mensili o annuali, ma commissioni su ogni transazione fatta (in entrata o in uscita). Come possiamo leggere da wikipedia:
Quote
La carta viene spesso usata per trasferire denaro tramite ricarica. Se il trasferimento però costituisce una transazione, questa procedura è impropria: la mancanza infatti di una causale per la quale si effettua il versamento (che invece esiste, ad esempio, con il vaglia postale, il bonifico o il versamento su conto corrente postale) rende effettivamente l'operazione una semplice ricarica e non un pagamento.
Nonostante l'impossibilità di inserire una causale, postepay è comunque largamente utilizzata per i pagamenti, perché facilmente ricaricabile da tabaccheria/punto sisal; con il tempo, quindi, è stata utilizzata anche dalla moltitudine di trader che comprano e soprattutto vendono bitcoin ogni giorno.
Blocco della carta
Premessa: l'argomento è ancora parecchio incerto ed ogni suggerimento fondato e dimostrabile per migliorare il paragrafo è ben accetto
> Tipo di transazione: Vendita di bitcoin
> Gravità: 6/5
> Funzionamento: Viene ricevuta sulla propria postepay una ricarica da un conto bancoposta impresa online (BPIOL), qualche ora dopo, la carta con i fondi al suo interno viene bloccata. Il servizio clienti delle poste come spiegazione riuscirà solamente a dirvi qualcosa come "tentativo di phising", senza la possibilità di ritirare i soldi presenti. Aprire un reclamo non servirà a molto, dopo svariate esperienze di più utenti con carte bloccate, infatti, si è arrivati alla conclusione che le poste semplicemente se ne fregano dei vostri soldi e non fanno nulla. Attualmente non è mai capitato, ne personalmente, ne a miei conoscenti, di riuscire a sbloccare una carta freezata per ricarica BPIOL
> Come difendersi:
- Tenete pochi soldi sulla carta, prelevando in continuazione, nell'eventualità di minimizzare la perdita in caso di blocco.
- Appena un cliente vi ricarica la carta, controllate dall'interfaccia web il tipo di ricarica che ha effettuato: se risulta fatto da BPIOL correte ad un ATM a ritirare al più presto tutto quello che potete prelevare dalla postepay, è probabile che dopo poco venga bloccata!
- In caso di avvenuto blocco, se non avevate cifre alte buon per voi, quelle briciole rimaste sulla carta hanno scarsissime speranze di essere recuperate. Se invece avete avuto la sfortuna di avere sopra somme forti consiglio di aprire inizialmente un (inutile) reclamo presso poste italiane, dopodiché provare a contattare l'arbitro bancario finanziario e provare a risolvere con lui la controversia
Uso fraudolento (carding)
Il rischio di trovarvi in una situazione del genere aumenta in modo esponenziale se si ha facile accesso ai vostri estremi di ricarica, è sempre bene stare attenti a chi inviare questi dati
> Tipo di transazione: Vendita di bitcoin
> Gravità: 4/5
> Funzionamento: Quando un venditore invia all'acquirente gli estremi della postepay che deve ricaricare, quest'ultimo entra in possesso delle seguenti informazioni: numero della carta, nome dell'intestatario e codice fiscale, sempre dell'intestatario. Quest'ultimo è un dato inutile a fini fraudolenti, mentre i primi due sono essenziali per lo scammer che vuole fare carding con prepagate trovate in questo modo.
Ora, per semplificarsi la vita, lo scammer quasi sempre va a spendere soldi presenti sulla carta del venditore su qualche sito di beni o servizi che non richiede l'inserimento del cvv2 nei campi d'aggiunta di una carta di credito/prepagata (Amazon per esempio, anche se sarebbe stupido da parte dello scammer inserire il suo vero indirizzo di spedizione di un bene perché verrebbe rintracciato). Non gli resta che "indovinare" la data di scadenza della carta, un informazione che, inutile dirlo, non richiede nemmeno un brute force informatico per essere trovata, ma un semplice "andare a tentativi".
E' più dispendioso e rischioso per lo scammer un brute force del cvv2, perché in linea teorica deve richiedere fino a 1000 autorizzazioni di pagamento su un pos online per trovare il codice a 3 cifre necessario per realizzare acquisti dove è richiesto. Spesso brute force su metodi di pagamento online con carte di credito/prepagate equivalgono a blocchi automatici della vostra carta.
> Come difendersi:
- Sicuramente va citato uno dei consigli dati in precedenza: tenete pochi soldi sulla carta, prelevando in continuazione, nell'eventualità di minimizzare la perdita in caso di utilizzo fraudolento da parte di terzi.
Prepagata Paypal
La prepagata Paypal è una ricaricabile da poco creata dall'omonima azienda di pagamenti online e emessa da Lottomatica, apparentemente più comoda visti i limiti di deposito più alti, in realtà favorisce in maniera esponenziale il carding.