lunes, diciembre 30, 2013

Cae red de "Hackers" cibercriminales dedicada al carding

Ayer la noticia del día en todas las cadenas de televisión españolas fue la detención de una banda de cibercriminales - permitidme que evite usar el término hacker en el cuerpo de la noticia a pesar de que en todas las cadenas se alegaba explícitamente a "hackers" y no cibercriminales -. La banda se dedicaba a robar dinero de los cajeros automáticos haciendo carding de tarjetas de crédito VISA y MasterCard.

Figura 1: Vídeo de la noticia en RTVE

No se especificaba exactamente de donde se sacaban los datos de las tarjetas, pero lo más llamativo de todo el proceso era que el "líder" de la banda, un cibercriminal alemán, se encargaba de distribuir los números de las tarjetas de crédito a los miembros de su red de extracción de dinero que se encuentran distribuidos por múltiples países. La estructura de personas distribuida por diferentes países se había montado para sacar el dinero de los cajeros del lugar de dónde es cada tarjeta robada de forma rápida. Es decir, el "líder" decía a la red de personas en España: "Usad esta tarjeta de crédito, que no tiene límite".

Hasta el momento nada había llamado mi atención, pero cuando escuché que decían lo de que el "lider" informaba de que había quitado los límites de la tarjeta, entonces sí que me llamó la atención. Tras indagar un poco más, parece que habían conseguido vulnerar la seguridad de dos empresas dedicadas al procesamiento de tarjetas de crédito, para desde sus sistemas quitar los límites de las tarjetas.

Esto es un ataque dirigido en toda regla que da un paso más en la estructura del carding y el fraude online, ya que no sólo buscaban utilizar personas en las ubicaciones físicas de los dueños de las tarjetas y así evitar los sistemas de seguridad basados en perfiles de localización de uso, sino que lo hacían con tarjetas que preparaban previamente mediante un ataque informático a unos elementos fundamentales del sistema de tarjetas de crédito como son las procesadoras de tarjetas.

Por supuesto, las empresas procesadoras de tarjetas no solo tienen que cumplir la famosa PCI DSS de la que os hablaba el otro día, sino que además están sujetas a muchas más certificaciones de seguridad, y aún así, parece que alguien había dado con un camino para meterse en sus sistemas y cambiar los límites de las tarjetas.

Cuando nosotros creamos Latch pensamos poder añadir una capa de protección en un esquema de ataque a tarjetas de crédito como este, donde el dueño de una tarjeta de crédito pudiera poner OFF su tarjeta cuando no la quiere en uso, y detectar cualquier utilización fraudulenta de la misma recibiendo una alerta, por eso ya estamos trabajando desde hace algún tiempo con varias instituciones bancarias para poner en pruebas este sistema en tarjetas de crédito y hacer del usuario un aliado más poderoso en la lucha contra el carding. Puedes probar el sistema con nuestro banco ficticio "Nevele Bank".

Saludos Malignos!

15 comentarios:

JoseM C.F.S.L dijo...

la pena de todo esto es que no salga un HACKER capaz de quitarle todo el dinero, no a los pobres usuarios de a pie, si no a los que tienen autenticas fortunas conseguidas de forma nada legal. Amasadas en paraisos fiscales. Como molaria ver que le dejan la cuenta en numeros rojos a esa cantidad de individuos Ese seria un robin hack, en fin la imaginacion no tiene limites y parece que la forma de romper la seguridad tampoco.
saludos salud y suerte.

VICTOR SILVA ORDOVAS dijo...

Madre mia lo que son los medios de "comunicación" atentos a la definición de cracker que dan en la última frase del video...

...

Anónimo dijo...

La última frase es correcta. Eso es un cracker.

Anónimo dijo...

Creo que el termino es correcto, aunque hace 15 años cuando empecé a conocer estos mundillos la definicion que se daba de cracker era para quien se dedicaba a la ingenieria inversa (normalmente de esos programillas shareware, para poderderlos registrar sin pasar por caja... o simplemente para practicar si no habia un crackme a mano) ... que tiempos aquellos donde uno se sentia el grande con solo invertir una condición de salto jejeje, cosas de crios.

Pero bueno incluso entoces tambien se hablaba de crackers para referirse a la gente que usaba sus conocimientos de seguridad con malos fines.

Manuel Jimenez dijo...

lo de latch en las targetas de credito seria la bomba ....

http://www.hackplayers.com/2013/12/latch-una-aplicacion-para-dominarlas.html#more

Kyll wys dijo...

Totalmente de acuerdo con la última definición de cracker, la verdad es que estoy harto de que la palabra hacker siempre se emplee mal, por que si la seguridad se lleva al extremo de lo que no es correcto hacer ya no es hacker sino cibercrimilanes o crackers.

Anónimo dijo...

Si han hallado una forma de colarse en el sistema y modificar los límites de las tarjetas, igual también tienen un método para hacer la pirula a las tarjetas virtuales (monedero o prepago, como se quiera llamar, recargando más dinero o subiendo el límite o lo que sea.

Anónimo dijo...

Siempre estamos con las mismas bobadas de las palabritas.

Yo me dedico a esto y ese tipo alemán a pesar de ser un sinverguena es un hacker con todas las letras. Cumple perfectamente la definición que para mi es ser un hacker: aquella persona que mediante conocimientos técnicos es capaz de vulnerar las medias de seguridad existentes o dar un uso impropio al que fue pensado en un principio a cualquier dispositivo o software.
A mayores de hacker puede ser un sinverguenza, un caradura, un cracker, alérgico al polen o un comunista convencido. Pero eso no quita en ningún momento para que sea un hacker y desde el punto de vista técnico merezca mis respetos y supongo que el respeto de cualquiera que trabaje en este mundillo.

Un saludo

Maligno dijo...

@Anónimo, para mí un hacker y un cibercriminal no es lo mismo.... ni mucho menos.

Saludos!

Anónimo dijo...

@chema @anonimo "el que este libre de pecado tire la primera piedra".....cualquier hacker se a marcao un borderline cuando menos...Otra coas es ser hacker y de profesion criminal....pero no es excluyente ser criminal y aparte hacker..

Anónimo dijo...

@chema es para ti espiar a la gente sin su consentimiento ser un criminal o un hacker??
Un saludo

Maligno dijo...

@anónimo, yo creo que un hacker no haría nunca lo que ha hecho este tipo. Un hacker tiene su propia ética - aunque a veces la legislación de cada país haga que sus actos estén en la grey-line -. Pero ser hacker no tiene nada que ver sólo con saber colarse en un sistema. Hay mucha gente que sabe hacerlo y ni es hacker, ni es un cibercriminal. Este tipo es un cibercriminal que sabe mucho de hacking. Esta es mi opinión.

Saludos!

el usuario Porro de el programa Camfrog Video Chat dijo...

No teneis ni idea de los que publicais noticias sobre este tema, supongo que otros temas será igual, los cibercriminales compran los famosos DUMPS, que son copias de otras tarjetas, de cualquier pais... es decir, hay webs que venden directamente este tipo de copias, a un precio muy bajo, y con una maquina llamada MSR206, clonan la tarjeta con una tarjeta (blanca magnetica). Asi roban estos golfillos. mi web: laboratorio-virtual . c o m ;)

Maligno dijo...

@Porro, en el artículo de Carding básico se explica eso... no te sulfures. Feliz 2014!

agux dijo...

Por favor, corregidme, pero me ha llamado la atención que en el vídeo aquí posteado han utilizado más expresiones como "experto informático" y demás y no me suena haber oído la palabra "hacker". ¿Es así?

Entrada destacada

Joinnovation & KeepCoding Connect: 2 Eventos para DOERS en #Madrid

Ayer fue el día de ver los proyectos de EQUINOX , el hackathon de ElevenPaths donde durante 24 horas se lanzan proyectos que normalmente ...

Entradas populares