Nello scenario in cui i clienti utilizzano carte di pagamento a banda magnetica e pagano tramite EPOS, un commerciante può mettere sul tavolo un falso EPOS che sembra identico a quelli reali, il cliente usa la sua carta su questo dispositivo e inserisce il suo spillo.
Questo dispositivo registra le informazioni della carta e il pin inserito e dice che non è riuscito a connettersi alla banca o al gateway di pagamento.
Quindi il commerciante dice al cliente di usare un altro EPOS che è autentico e il pagamento ha esito positivo. È come il phishing ma nel mondo reale con dispositivi fisici.
In questo scenario non è possibile per il cliente autenticare questo dispositivo EPOS e assicurarsi che sia il dispositivo reale e connesso alla rete bancaria.
Esistono metodi attualmente in uso per mitigare questo rischio? Quali sono le contromisure da mettere in atto, per non cadere per questo attacco?
(promemoria) questi dispositivi sono resistenti alle manomissioni, il che significa che non è possibile aprirli e manipolare i circuiti, ma lo scenario sopra riportato utilizza un dispositivo totalmente falso che sembra proprio un vero dispositivo EPOS.