jueves, diciembre 26, 2013

Carding básico: ¡Ojo con dónde metes tu tarjeta de crédito!

Durante este año conocí a un ex-carder en una conferencia de hacking con el que pasé unos minutos muy interesantes hablando de cómo decidió dejar todo aquel mundo y de lo fácil que era volverse un adicto a esa forma de vida en la que se tira de dinero fácil cuando es necesario. El objetivo suyo no era acceder a números y datos de tarjetas de crédito utilizando los habituales skimmers, es decir, los aparatos que se utilizan para clonar las tarjetas que pasan físicamente por cualquier cajero o punto de venta, si no sacarlas de bases de datos de aplicaciones web de tiendas online, o incluso las redes sociales, que ya vimos que hay algunos tan confiados que las publican en su Twitter.

Figura 1: Tarjeta VISA publicada en Twitter

Cuando se compra a través de un sitio de e-commerce, lo habitual es que se utilice una pasarela de cobros de tercero para que el portal de venta no tenga que preocuparse de gestionar las tarjetas de crédito de los clientes. Así, cuando hay que cobrar una operación, se invoca la web de pagos de una entidad bancaria o de Paypal, para que el cliente de toda la información de su tarjeta de crédito a la pasarela y no al e-commerce.

Esto para las tiendas online es lo más cómodo, pues se libra de tener que lidiar con el almacenamiento seguro de los datos de venta de los clientes y tener que cumplir certificaciones como Payment Card Industry Data Security Standard que fuerza a tener unas medidas de seguridad mínimas y a cumplir una serie de auditorías de cumplimiento del estándar periódicas.

El que una empresa cumpla el PCI DSS no tiene porque significar que el sitio sea 100% seguro, y no todos los e-commerce que piden datos de tarjetas de crédito para hacer transacciones económicas cumplen PCI DSS, así que a la hora de entregar los datos de tu tarjeta tienes que tener muy presente si se los estás entregando a una pasarela de cobros de una entidad bancaria o a Paypal, o si por el contrario se los estás entregando a aplicación web que va a meter los datos en una base de datos con más o menos seguridad.

En el último Black Friday - el viernes ese en que en Estados Unidos todas las compras tienen grandes descuentos - se habla de que se han podido robar 40.000.000 de números de tarjetas de crédito que podrían haber sido robadas de la base de datos de 1.500 tiendas minoristas de Target, según cuenta el New York Times, gracias a que se accedió a la base de datos donde se almacenaban.

Figura 2: Topics en un foro de Carding

Si un atacante logra vulnerar la seguridad de una aplicación web que almacena los datos de tarjetas de crédito con un simple SQL Injection, o consigue llegar a ella por un Connection String Parameter Pollution o subiendo una Webshell al servidor que no ha sido fortificado correctamente, se podrá llevar fácilmente un montón de datos de tarjetas de crédito que podrá utilizar por Internet. Si hablamos ya de ataques en clientes, los típicos phishing, los troyanos que se dedican al robo de identidad o el ejemplo del uso fraudulento de Autofill pueden permitir llegar también a los datos de las tarjetas de crédito.

El número de tarjetas de crédito que suelen quedar expuestos de ambas formas, es decir, o bien utilizando las clonadoras de tarjetas de crédito o bien robando los datos de bases de datos, puede ser muy alto, y es fácil encontrar tarjetas de crédito en venta en foros de la Deep Web, en foros de la web dedicados al carding que se anuncian en Internet con total tranquilidad, y hasta en sitios tan monitorizados como Pastebin. Para enseñar a la gente lo fácil que se puede acceder a datos de tarjetas basta con usar LeakedIn que ya tiene un filtro para las tarjetas de crédito y permite acceder a los últimos números filtrados.

Figura 3: A Tina, de Colorado, le han filtrado su VISA como regalo de Navidad

Hay que tener en cuenta que los equipos de seguridad que luchan contra el fraude de tarjetas de crédito están más que bien preparados, y han visto muchas cosas ya a lo largo de los años, así que mucho cuidado con hacer el gracioso que esos números que suelen aparecer en lugares tan mainstream están todos monitorizados por los servicios de ciberseguridad, e incluso muchos están marcados para trazar su uso y ganar inteligencia de uso.

A día de hoy, para evitar el uso fraudulento de tarjetas de crédito robadas se pueden utilizar muchas medidas de seguridad, como que las tarjetas tenga un Chip&PIN, que todas tengan un perfil de uso basado en cantidades, tipo de transacciones, localización física de su dueño, límites de compras y lugares habituales en las que son utilizadas. Todo eso ayuda a reducir el fraude con tarjetas de crédito, pero todavía los malos saben dónde quedan rendijas en las que se pueden utilizar.

Desde sitios donde las terminales están desconectados de Internet, límites de transacciones pequeños o compras online en lugares en los que la validación de la transacción para cantidades pequeñas es más relajada, lo que deja lugar a un uso de los datos robados. Especialmente son útiles en los entornos conocidos como Card Not Present, es decir, en aquellos en los que basta con introducir los datos de la tarjeta de crédito en una web de Internet o un terminal punto de venta o en países en los que aún calcan la tarjeta de crédito para rellenar los datos. "Siempre puedes regalar las bebidas para una fiesta a un amigo que necesita recaudar fondos para un proyecto bonito", me decía el ex-carder en una de las charlas más entretenidas que he tenido en tiempo.

En el mundo del Fraude Online los números de tarjetas de crédito siguen siendo un objetivo muy suculento, y es cierto que es común llegar a bases de datos que almacenan esta información, así que estas navidades ten cuidado donde introduces tu tarjeta de crédito o sácate una de esas virtuales para compras por Internet que puedas matar cuando acabes de fundirte tus fondos en regalos.

Saludos Malignos!

11 comentarios:

Anónimo dijo...

Pues dicen las malas lenguas que Amazon vende la información de los datos y códigos bancarios de sus clientes. Y que informa al gobierno USA también de dichos datos.
Si es cierto, hay terceros (mafias puede ser) que ya saben datos/códigos bancarios y contraseñas/PIN, sin tener que tomar el control de algún servidor o torear la web que almacena datos sensibles de los usuarios.

Carlos Solís Salazar dijo...

Lo cumbre es que las personas siguen exponiendo sus datos sin pensarlo

DefToneR dijo...

Tampoco exagerar y salir con "dicen" o "yo alguna ves lei en un blog" y decir que amazon vende datos privados de tarjetas, caramba.

Anónimo dijo...

Si el banco con el que tenemos la tarjeta tiene securizada dicha tarjeta la posiblidad de fraude es mucho menor. Por ejemplo yo con la Caixa, para comprar por internet compras superiores a 10€ pide cordenadas de la tarjeta de seguridad que tengo o me mandan un sms al movil con un codigo que se debe introducir para finalizar la transaccción. Este tipo de medidas las deberian utilizar todos los bancos.

Seguridad Digital e Internet del Futuro dijo...

Menos mal que nos dejaste el source dentro de la ultima captura de pantalla, bueno, ya esta(ra) bloqueada la tarjeta asi que nada ;)

Number: 4414200023985961
EXP: 0115
CVV: 492
Name: Tina Kiernan
Country: United States
State: CO
ZIP: 80504
City: Frederick
Street: 5442 Wolf Street
Bank: ELEVATIONS CREDIT UNION CLASSIC


P.D.: Recaptcha imposible

Anónimo dijo...

Alguien sabe sacar el nip a una tarjeta tengo todos los datos lo que pasa q mi tarjeta se me olvido mi nip

Cokejor dijo...

Casualidades de la vida supongo. Me acab de mandar un sms la caixa diciendome que han bloq mi tarjeta x intento de uso. Hablo con ellos y me dicen que se trata de un robo de datos y que la utilización ha sido en un tal Royal Londge (Hijos de la Gran Bretaña), total las pocas compras realizadas x internet han sido en Amazon. Q esperais que piense...?? ESTOY MUUU MOSCA....

Unknown dijo...

Sabes mucho Anónimo

Unknown dijo...

anónimo dijo como te pudo contactar

Unknown dijo...

JAJAJAJA vendo sábanas con balance de 10k

Unknown dijo...

A ver manda inbox

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares