Pishing negli NFC

Questa problematica appartiene soltanto al mondo NFC (Near Field Communication) e non deriva dai sistemi RFID. Sappiamo che il tipo URI identifica una risorsa remota, nei record che contengono URI (URI record e Smart Poster record).

Il pishing (pronunicato fiscing), in generale, si basa sul concetto di ingannare l’utente e cercare di portarlo a compiere azioni diverse da quelle. Il termine phishing, infatti, è una variante di fishing (letteralmente “pescare” in lingua inglese), probabilmente influenzato da phreaking e allude all’uso di tecniche sempre più sofisticate per “pescare” dati finanziari e password di un utente.

Questo può essere implementato, nel caso di Smart Poster (dispositivo che funziona in modalità Reader che avvicinandolo ad uno Smart Poster localizzato è possibile ottenere informazioni ad esempio sui prodotti), semplicemente cambiando il Title record contenente il titolo della risorsa in modo che non rispecchi la vera risorsa a cui è riferita. Recentemente alcuni ricercatori hanno scoperto altri metodi per mettere in atto un attacco del genere; questi fanno uso di caratteri speciali, come quelli di tabulazione, che permettono di mostrare ad un utente un URI e in realtà lo collegano ad un altro. Questo tipo di attacco può essere la base per altri tipi di attacchi.

Ad esempio si potrebbe generare un Worm e farlo scaricare all’utente tramite questo meccanismo. La situazione è aggravata dal fatto che i Tag passivi, ovvero quelli più comuni e commerciali, sembrano essere i componenti più esposti a questo tipo di attacco.