Nuevo libro de @0xWord: "Show me the (e-)money". Hacking a sistemas de pagos digitales. NFC, RFID, MSF y Chips EMV.

Desde hoy mismo tienes a la venta en la web de 0xWord el nuevo libro que hemos publicado, dedicado a la investigación y el hacking de los sistemas de pagos digitales, al que hemos llamado "Show me the (e-)money: Hacking a sistemas de pagos digitales. NFC, RFID, MSF y Chips EMV." donde el investigador Salvador Mendoza, conocido como Netxing, cuenta detalles muy interesantes sobre los límites de las tecnologías que dan soporte a los pagos digitales, algunos errores típicos en implementaciones de estos sistemas, y cómo un investigador puedo auditar un esquema de pagos digitales en una plataforma.

Figura 1: Nuevo libro de 0xWord: "Show me the (e-)money".
Hacking a sistemas de pagos digitales. NFC, RFID, MSF y Chips EMV.

Este libro es una recopilación y combinación de herramientas a nivel de hardware, software y metodologías para la explotación de sistemas de pagos digitales. Los programas para crear relays y algunos para ataques de repetición no han sido publicados en ningún otro medio y mucho menos en español. 

Este libro no es una guía de explotación, es una fuente de información para todo aquel estudiante, profesor, hacker o entusiasta que quiera sumergirse en el mundo de los ataques a los sistemas de pagos actuales. Se explican temas como lo son los ataques de repetición desde la información de banda magnética, MST (Magnetic Secure Transmission) que es la nueva tecnología de Samsung Pay, hasta ataques más complejos de relay a la tecnología NFC (Near Field Communication) usada en plataformas smartphones.

Figura 2: Show me the (e-)money. Hacking a sistemas de pagos digitales
por Salvador Mendoza (Netxing)

En los contenidos hay que decir que existe una explicación amplia en los ejemplos del código, de su funcionamiento y de cómo utilizarse. El libro como tal le da al lector la habilidad de buscar, analizar y crear sus propios proyectos usando como base las metodologías aquí expresadas. Muchos de estos proyectos han sido presentados en investigaciones y talleres alrededor del mundo. Esto da como referencia el tener ejemplos de primera mano, ataques reales y la forma en la que estos se pueden llevar acabo. 

Cabe aclarar que no es una guía paso a paso, se le instruye al lector a leer, comprender e investigar por su propia cuenta terminología, conceptos y métodos de abstracción durante el proceso de aprendizaje. Tienes el índice del libro subido a Slidehare.

Figura 3: Índice del libro: "Show me the (e-)money: Hacking de sistemas de pagos digitales"

Salvador Mendoza es un investigador de seguridad enfocado en procesos de tokenización, información de bandas magnéticas, sistemas de pagos y prototipos especializados. Salvador ha presentado sus investigaciones relacionadas con fallas de seguridad en sistemas de pagos y procesos de tokenización en conferencias internacionales como lo son Black Hat USA, DEF CON, DerbyCon, Troopers, HITB y muchas otras.

Durante sus investigaciones Salvador Mendoza (Netxing) ha diseñado diferentes tipos de herramientas para proteger usuarios o para hacer barridos automatizados en la búsqueda de posibles fallas en sistemas de pagos físicos y digitales, en los cuales se incluyen herramientas como MagSpoofPI, BlueSpoof, NFCopy, NFCopy85 y Hunter Cat entre muchas otras.

A nivel de comunidad sus aportes se hacen visibles en diferentes repositorios importantes; entre el que se encuentra el repositorio de la compañía Adafruit. Donde su aporte para las tarjetas PN532 a sido considerable desde la emulación de tarjetas hasta lectura de múltiples dispositivos NFC simultáneamente, lo cual no había sido documentado anteriormente.

Figura 4: Contactar con Salvador Mendoza (Netxing) en MyPublicInbox

Además, puedes contactar con Salvador Mendoza (Netxing) a través de su cuenta en MyPublicInbox, por si quieres preguntarle algún tema concreto del libro, o por si quieres contactarle para una conferencia o contratarle para alguna investigación especializada en estas temáticas.

Habíamos pensado en publicar este libro de 0xWord después del periodo de confinamiento, pero al final, visto que se está alargando mucho más de lo que todos desearíamos, hemos decidido publicarlo ya, y que le aplique el descuento que está activo en 0xWord, así que será la primera vez que una novedad se pueda adquirir el día uno de puesta a la venta con un descuento.

Desde hoy, y durante las próximas dos semanas en @0xWord hemos puesto un descuento de un 10% de descuento con el código YOMEQUEDOENCASA en todos los productos, y hemos rebajado un 5% los VBOOKS (Cursos Virtuales). Por favor, colaboremos con quedarnos todos en casa.

— 0xWORD (@0xWORD) March 16, 2020

Si trabajas auditando la seguridad de empresas que tienen e-commerce, que tienen Terminales Punto de Venta (TPV), en el mundo de la banca, o las finanzas, merece la pena que te leas este texto de cabo a rabo para tener claro por dónde va el mundo de los pagos digitales, qué pueden hacer los cibercriminales, y cómo detectar vulnerabilidades en tus plataformas de pagos.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

"Cuñado, he visto una oferta genial en la web. ¿Compro o es peligroso?"

Hoy os vengo a contar una historia de esas que seguro que os ha pasado alguna vez. Es el momento en el que te preguntas si debes seguir comprando en *esta* página web o no. ¿Es de fiar pagar por un producto que vendrá en el futuro en *esta* web? De eso va el post de hoy, de cómo yo decidí no hacerlo por precaución, sin llegar a saber si el sitio era una estafa o no. Eso os lo dejo a los lectores.

Figura 1: "Cuñado, he visto una oferta genial en la web. ¿Compro o es peligroso?"

La historia comenzó cuando el otro día, un familiar me pidió sugerencia para realizar una compra en una página web. Como os he contado, dudaba de si era segura o no para meter los datos de la tarjeta de crédito y pagar. Su preocupación era que la web fuera insegura y cualquiera haciendo usando alguna de las técnicas de Hacking Web Technologies pudiera llevarse sus datos. O mucho peor, si la web era maliciosa. Para ello, me envió la URL y me encontré varias sorpresas en un primer vistazo que comparto con vosotros.

• La página web no estaba cifrada con SSL. 

• Los precios son en casi todos los productos un 60% más baratos que el propio fabricante. 

• No hay información de ninguna razón social o empresa. 

• El aviso de privacidad esta en ingles mientras que la pagina esta en castellano.

Hasta ese momento eran errores que pueden llegar a estar en webs mal diseñadas - algo que no es extraño. Haciendo un poco de Hacking con Buscadores e indagando en Google encontré más paginas similares en los primeros resultados de la consulta que están utilizando las mismas plantillas, simplemente cambian algo.

Figura 2: Código fuente de una web de venta con descuentos del 81%

A priori, guardando la presunción de inocencia de estos sitios y pensando que son simples errores,  se están utilizando malas prácticas y no se debería comprar en ellas si te preocupa que tengan una brecha de seguridad, o que aparezca un simple SQL Injection que se lleve todos los datos. Este es el listado de algunas de ellas:

• www.sanminer.es
• www.towinbackyourex.com
• www.marjalles.com
• www.treeffestrutture.com
• www.toddandsarahrainey.com
• www.chaletelbosque.es
• www.viajeschavez.es
• www.spiritrhythmband.com
• www.wordsandpublicity.com
• www.compromisoprimarias.es
• www.sosdangereolien.com
• www.abparquitectura.es
• www.city-scout24.es
• www.tallerbicis.es
• www.equipoiseconsulting.com
• www.nosunemontilla.es
• www.equipoiseconsulting.com
• www.mapersonalchef.com

Observando simplemente la descripción del código fuente de unas páginas, no inspira mucha confianza lo que veo. Hay descuentos del 81%, - como de puede ver en la Figura 2 - algo que creo que pocas veces, salvo en liquidaciones de cierre,  suele ser común. Además, en el formulario de compra, aparecen los campos de tarjeta de crédito y el formulario se muestra en una web sin cifrar.

Figura 4: Datos del formulario enviados sin cifrar

Observando más en detalle el código fuente del formulario, observamos también que en el método ACTION, la información se envía por HTTP, esto significa que la información de tus tarjetas de crédito van sin cifrar y cualquier persona podría obtener los datos de dicha tarjeta de una forma sencilla. También la información del formulario esta en inglés y la página web supuestamente esta en castellano y vende productos a España como indica la descripción del sitio.

Figura 5: Envío de los datos sin cifrar

Buscando en las páginas el aviso de privacidad, no encontramos información de la empresa que gestiona nuestros datos, y lo que es peor, nos dice que la información va cifrada por SSL y es completamente falso. Y los enlaces a redes sociales, apuntan al índex de la página, así que son falsos.

Figura 6: Aviso de política de privacidad

Consultando el Whois de algunos dominios, encuentro algunas similitudes entre unos y otros. Los correos electrónicos, por ejemplo. Es probable que los nombres del registrante sean falsos, o hechos de forma automática.

Figura 7: Información de dominios similares

Manteniendo la presunción de inocencia de estas páginas, recomendaría a mi "cuñado" después de lo que se ha explicado antes, no comprar nada en estas web. Mis recomendaciones básicas son siempre comprobar que el certificado SSL es válido, leer la política de privacidad y lo que es más importante, ¡¡los precios!!, nadie va a vender un producto más barato que lo que cuesta al vendedor. Os recomiendo el artículo de Chema Alonso de "Carding Básico: ¡Ojo dónde pones tu tarjeta de crédito!". Aún así, puede que la web cumpla todas estas cosas y al final... sea un fraude o sufra una brecha de seguridad, pero si la web de e-commerce es como estas, mejor no arriesgarse.

Autor: David Hurtado

Presto Parking: ¿Un sitio web PCI-Compliant sin HTTPs? #PCI #PCICompliant #HTTPs

Hace unos días decidí ir al centro a hacer unas gestiones, y como tenía que aparcar en zona azul me descargué una app llamada "Presto Parking" que permite el pago telemático de la zona azul a través del móvil para no tener que andar buscando cuál es el poste de pago que corresponde a la calle en la que por fin pueda dejar el coche, para no esperar colas si hay otras personas haciendo lo mismo que yo, y para no tener que lidiar con las monedas, el cambio o esas cosas que tanto tiempo te hacen perder. Una app, y un clic, como debe ser el mundo digital.

Figura 1: Presto Parking ¿un sitio web "PCI-Compliant" sin HTTPs?

Estas ventajas son las que propone "Presto Parking". Ya sabéis que "Presto" en español tiene como acepción semántica la rapidez, la velocidad, la diligencia, la presteza. Sonaba bien, y está disponible en varios municipios de la Comunidad de Madrid, así que a probarla, pensé.

Figura 2: Presto Parking en Google Play

Lo primero que hice fue descargarme la app e intentar registrarme desde el smartphone. Sin embargo, cuando llegó el momento de introducir la tarjeta de crédito me pregunté - cosas que se pregunta uno cuando es su dinero lo que está en riesgo - si la conexión entre la app y el servidor que soporta el backend de la misma, estaría cifrada correctamente. Como en la app no indicaba nada y no tenía muchas ganas de ponerme a decompilar el código, decidí buscar la web del fabricante para ver si me podría registrar desde el navegador.

Registro vía web HTTP

Efectivamente, podía registrarme desde el sitio del fabricante, tal y como podéis ver,  pero para mi sorpresa, la web es insegura y envía todo el tráfico por HTTP. No dispone de un cifrado mínimo y por tanto los datos son visibles para cualquiera que este escuchando la red, para todos los que encaminen el tráfico, para todos los elementos de la red, etcétera.

Figura 3: Proceso de registro en formularios bajo HTTP

A pesar de ver que este proceso inicial de registro era inseguro, decidí seguir adelante pues consideré que mi dirección de correo electrónico y la matricula de mi vehículo me parecieron datos que en un momento dado no afectarían en demasía a mi vida - llámame loco -, con la sana intención de ver qué pasaba cuando la cosa se pusiera seria. Es decir, de ver qué pasaba cuando el sitio llegara a lo que de verdad me podría afectar: La tarjeta de crédito.

Ahora la tarjeta de crédito

Fue en la siguiente pantalla cuando me pidió la forma de pago y donde marqué tarjeta de crédito que es la mas cómoda para mí - y también la mas delicada por lo que supone una forma de pago fuente de muchos fraudes -, para ver si esto va "Presto" o "Cifrado".

Figura 4: Web de Presto Parking para enviar tu tarjeta de crédito sin HTTPS y con el logo de PCI-Compliant

Es en la siguiente pantalla donde el sitio web pide los datos de la tarjeta de crédito. No los datos de la tarjeta de crédito en general, sino los datos de MI tarjeta de crédito. Y aquí es donde decidí que había que parar pues, como se puede ver, la conexión sigue estando sin cifrar con HTTPs. Esto es muy preocupante pues cualquiera que escuche puede ver los datos que estoy enviado por la red.

Figura 5: La tarjeta de crédito, con todos sus datos, enviada en texto claro

Como se puede ver en la imagen probé con unos datos erróneos para ver si conectaba de forma segura con el servidor de alguna manera, pero no, los datos van en texto claro.

¿PCI-Compliant?

Pasado este punto, vi el logotipo de “PCI Compliant Enviroment” y ya me pareció demasiado extraño como para ser verdad. ¿Sin cifrado HTTPs puede una web ser PCI-Compliant? Mira que lo dudo.

Figura 6: Logo de PCI-Compliant Environment

¿Qué significa que una web o un entorno telemático es PCI-Compliant Enviroment? Pues en la web se puede ver pinchando aquí, que hay una buena explicación. Básicamente esta web certifica que, si no he entendido mal y el traductor no me ha traicionado:

“El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un conjunto de normas de seguridad diseñadas para garantizar que TODAS las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantienen un entorno seguro.”

Y aquí es donde algo falla. O esta web no ha pasado la auditoría PCI y está utilizando el sello como el que coge una imagen de Google Images y lo pega en la web, o el que ha hecho la auditoría PCI no la ha hecho correctamente. ¿Qué habrá sido? Yo me he ido a mirar la guía de cumplimiento del sitio PCI Compliance y el cifrado HTTPs es una parte fundamental del procesado seguro de la captura de la tarjeta de crédito. De hecho, cuando salen bugs como Poodle o Beast, dedican artículos a explicar cómo arreglar estos fallos y volver a tener un entorno seguro que cumpla la nuevas normas de la PCI.

¿El backend seguro?

Lo más curioso es que "el entorno seguro" debe aplicarse a toda la infraestructura, también al backend y almacenamiento, para lo que se deben hacer auditorías de seguridad periódicas. Y no hace falta más que pedir un documento que no existe en la web de Presto Parking para ver que no tienen ni el software actualizado ni los errores controlados.

Figura 7: Errores TomCat de versión desactualizada no controlados

De hecho, si miramos la última versión de la rama Apache TomCat 7.0 vemos que, a día de hoy, es la 7.0.77 y esta versión es la 7.0.61, así que hace tiempo que no se actualiza. Además, el panel de administración de Presto Parking está público y sin cifrado HTTPs, así que un robo de credenciales de cualquiera de los administradores y adios toda la base de datos de tarjetas de crédito. ¿Las tendrán bien cifradas? Si son PCI Compliance deberían, y si no, deberían tener cuidado porque son un objetivo del Carding Básico, sí o sí.

Figura 8: Panel de administración sin HTTPs.. ¿tendrá 2FA?

Lo cierto es que hay por ahí entre 50.000 y 100.000 personas que, según Google Play Store, han instalado esta aplicación y la están usando y que han podido enviar su tarjeta de crédito. Y, visto esto, la pregunta es si estará todo bien como para estar tranquilo. ¿Vosotros qué creéis?

Autor: José C. A.

Malware para cajeros bancarios: Right to the source

Durante años los criminales focalizados en robar dinero a la banca se han estado centrando en robar las credenciales bancarias, hacer esquemas de infección de los terminales móviles para robar el OTP que valida la operación en el móvil, preparar esquemas de ataque de man in the browser cambiando las cuentas bancarias, haciendo carding en los cajeros para robar los números de las tarjetas de crédito, montando cajeros falsos como el que se montón en la DEFCON o robándolas de las webs donde los usuarios las habían introducido. Esquemas de fraude online pensados en robar el dinero al cliente del banco en lugar de directamente al banco.

Figura 1: El camino para robar el banco ya no es la ventanilla

Pero.. ¿por qué no robarla directamente al banco? Hace tiempo el desaparecido Barnaby Jack mostró que era posible, jugando con el cajero, acceder a determinados modos de operación para acceder al dinero que tenía un cajero, así que parece que el camino estaba claro. Aquella charla fue de lo más sonado del momento. Si controlas el sistema operativo del cajero automático, controlas la caja. 

Figura 2: Barnaby Jack en Black Hat USA hackeando un cajero ATM

Eso debió ser lo que pensaron los creadores del malware que ha sido descubierto por Kaspersky, llamado Tyupkin Trojan, instalado en múltiples cajeros automáticos por todo el mundo. Según su informe, han aparecido 31 copias, la mayoría de ellas en Rusia, por lo que parece que el origen del mismo es de allí.

Figura 3: Países en los que se ha localizado Tyupkin Trojan

Los atacantes fueron capaces de tener acceso físico al arranque del sistema operativo de los cajeros, que corre Windows Embedded Edition y correr un malware que desactiva el antivirus del equipo. A partir de ese momento se queda residente y cuando se introduce un determinado código de acceso al mismo, toma el control de la pantalla mostrando un menú de gestión del cajero, tal y como puede verse en el siguiente vídeo.

Figura 4: Vídeo demostración de Tyupkin Trojan

Lo siguiente es gestionar operaciones directamente con el cajero, para poder sacar dinero - hasta un total de 40 billetes por transacción -, desactivar la red para que no molesten los equipos de seguridad mientras están realizando la operación de vaciado del cajero, o forzar un borrado y autodestrucción del malware instalado en la máquina. Al final, un paso más allá en la en el robo de dinero, en lugar de quitárselo a las víctimas, directamente quitárselo a los cajeros automáticos.

Saludos Malignos!

Cae red de "Hackers" cibercriminales dedicada al carding

Ayer la noticia del día en todas las cadenas de televisión españolas fue la detención de una banda de cibercriminales - permitidme que evite usar el término hacker en el cuerpo de la noticia a pesar de que en todas las cadenas se alegaba explícitamente a "hackers" y no cibercriminales -. La banda se dedicaba a robar dinero de los cajeros automáticos haciendo carding de tarjetas de crédito VISA y MasterCard.

Cae la rama española de una red de "crackers"

Figura 1: Vídeo de la noticia en RTVE

No se especificaba exactamente de donde se sacaban los datos de las tarjetas, pero lo más llamativo de todo el proceso era que el "líder" de la banda, un cibercriminal alemán, se encargaba de distribuir los números de las tarjetas de crédito a los miembros de su red de extracción de dinero que se encuentran distribuidos por múltiples países. La estructura de personas distribuida por diferentes países se había montado para sacar el dinero de los cajeros del lugar de dónde es cada tarjeta robada de forma rápida. Es decir, el "líder" decía a la red de personas en España: "Usad esta tarjeta de crédito, que no tiene límite".

Hasta el momento nada había llamado mi atención, pero cuando escuché que decían lo de que el "lider" informaba de que había quitado los límites de la tarjeta, entonces sí que me llamó la atención. Tras indagar un poco más, parece que habían conseguido vulnerar la seguridad de dos empresas dedicadas al procesamiento de tarjetas de crédito, para desde sus sistemas quitar los límites de las tarjetas.

Esto es un ataque dirigido en toda regla que da un paso más en la estructura del carding y el fraude online, ya que no sólo buscaban utilizar personas en las ubicaciones físicas de los dueños de las tarjetas y así evitar los sistemas de seguridad basados en perfiles de localización de uso, sino que lo hacían con tarjetas que preparaban previamente mediante un ataque informático a unos elementos fundamentales del sistema de tarjetas de crédito como son las procesadoras de tarjetas.

Por supuesto, las empresas procesadoras de tarjetas no solo tienen que cumplir la famosa PCI DSS de la que os hablaba el otro día, sino que además están sujetas a muchas más certificaciones de seguridad, y aún así, parece que alguien había dado con un camino para meterse en sus sistemas y cambiar los límites de las tarjetas.

Cuando nosotros creamos Latch pensamos poder añadir una capa de protección en un esquema de ataque a tarjetas de crédito como este, donde el dueño de una tarjeta de crédito pudiera poner OFF su tarjeta cuando no la quiere en uso, y detectar cualquier utilización fraudulenta de la misma recibiendo una alerta, por eso ya estamos trabajando desde hace algún tiempo con varias instituciones bancarias para poner en pruebas este sistema en tarjetas de crédito y hacer del usuario un aliado más poderoso en la lucha contra el carding. Puedes probar el sistema con nuestro banco ficticio "Nevele Bank".

Saludos Malignos!

Carding básico: ¡Ojo con dónde metes tu tarjeta de crédito!

Durante este año conocí a un ex-carder en una conferencia de hacking con el que pasé unos minutos muy interesantes hablando de cómo decidió dejar todo aquel mundo y de lo fácil que era volverse un adicto a esa forma de vida en la que se tira de dinero fácil cuando es necesario. El objetivo suyo no era acceder a números y datos de tarjetas de crédito utilizando los habituales skimmers, es decir, los aparatos que se utilizan para clonar las tarjetas que pasan físicamente por cualquier cajero o punto de venta, si no sacarlas de bases de datos de aplicaciones web de tiendas online, o incluso las redes sociales, que ya vimos que hay algunos tan confiados que las publican en su Twitter.

Figura 1: Tarjeta VISA publicada en Twitter

Cuando se compra a través de un sitio de e-commerce, lo habitual es que se utilice una pasarela de cobros de tercero para que el portal de venta no tenga que preocuparse de gestionar las tarjetas de crédito de los clientes. Así, cuando hay que cobrar una operación, se invoca la web de pagos de una entidad bancaria o de Paypal, para que el cliente de toda la información de su tarjeta de crédito a la pasarela y no al e-commerce.

Esto para las tiendas online es lo más cómodo, pues se libra de tener que lidiar con el almacenamiento seguro de los datos de venta de los clientes y tener que cumplir certificaciones como Payment Card Industry Data Security Standard que fuerza a tener unas medidas de seguridad mínimas y a cumplir una serie de auditorías de cumplimiento del estándar periódicas.

El que una empresa cumpla el PCI DSS no tiene porque significar que el sitio sea 100% seguro, y no todos los e-commerce que piden datos de tarjetas de crédito para hacer transacciones económicas cumplen PCI DSS, así que a la hora de entregar los datos de tu tarjeta tienes que tener muy presente si se los estás entregando a una pasarela de cobros de una entidad bancaria o a Paypal, o si por el contrario se los estás entregando a aplicación web que va a meter los datos en una base de datos con más o menos seguridad.

En el último Black Friday - el viernes ese en que en Estados Unidos todas las compras tienen grandes descuentos - se habla de que se han podido robar 40.000.000 de números de tarjetas de crédito que podrían haber sido robadas de la base de datos de 1.500 tiendas minoristas de Target, según cuenta el New York Times, gracias a que se accedió a la base de datos donde se almacenaban.

Figura 2: Topics en un foro de Carding

Si un atacante logra vulnerar la seguridad de una aplicación web que almacena los datos de tarjetas de crédito con un simple SQL Injection, o consigue llegar a ella por un Connection String Parameter Pollution o subiendo una Webshell al servidor que no ha sido fortificado correctamente, se podrá llevar fácilmente un montón de datos de tarjetas de crédito que podrá utilizar por Internet. Si hablamos ya de ataques en clientes, los típicos phishing, los troyanos que se dedican al robo de identidad o el ejemplo del uso fraudulento de Autofill pueden permitir llegar también a los datos de las tarjetas de crédito.

El número de tarjetas de crédito que suelen quedar expuestos de ambas formas, es decir, o bien utilizando las clonadoras de tarjetas de crédito o bien robando los datos de bases de datos, puede ser muy alto, y es fácil encontrar tarjetas de crédito en venta en foros de la Deep Web, en foros de la web dedicados al carding que se anuncian en Internet con total tranquilidad, y hasta en sitios tan monitorizados como Pastebin. Para enseñar a la gente lo fácil que se puede acceder a datos de tarjetas basta con usar LeakedIn que ya tiene un filtro para las tarjetas de crédito y permite acceder a los últimos números filtrados.

Figura 3: A Tina, de Colorado, le han filtrado su VISA como regalo de Navidad

Hay que tener en cuenta que los equipos de seguridad que luchan contra el fraude de tarjetas de crédito están más que bien preparados, y han visto muchas cosas ya a lo largo de los años, así que mucho cuidado con hacer el gracioso que esos números que suelen aparecer en lugares tan mainstream están todos monitorizados por los servicios de ciberseguridad, e incluso muchos están marcados para trazar su uso y ganar inteligencia de uso.

A día de hoy, para evitar el uso fraudulento de tarjetas de crédito robadas se pueden utilizar muchas medidas de seguridad, como que las tarjetas tenga un Chip&PIN, que todas tengan un perfil de uso basado en cantidades, tipo de transacciones, localización física de su dueño, límites de compras y lugares habituales en las que son utilizadas. Todo eso ayuda a reducir el fraude con tarjetas de crédito, pero todavía los malos saben dónde quedan rendijas en las que se pueden utilizar.

Desde sitios donde las terminales están desconectados de Internet, límites de transacciones pequeños o compras online en lugares en los que la validación de la transacción para cantidades pequeñas es más relajada, lo que deja lugar a un uso de los datos robados. Especialmente son útiles en los entornos conocidos como Card Not Present, es decir, en aquellos en los que basta con introducir los datos de la tarjeta de crédito en una web de Internet o un terminal punto de venta o en países en los que aún calcan la tarjeta de crédito para rellenar los datos. "Siempre puedes regalar las bebidas para una fiesta a un amigo que necesita recaudar fondos para un proyecto bonito", me decía el ex-carder en una de las charlas más entretenidas que he tenido en tiempo.

En el mundo del Fraude Online los números de tarjetas de crédito siguen siendo un objetivo muy suculento, y es cierto que es común llegar a bases de datos que almacenan esta información, así que estas navidades ten cuidado donde introduces tu tarjeta de crédito o sácate una de esas virtuales para compras por Internet que puedas matar cuando acabes de fundirte tus fondos en regalos.

Saludos Malignos!

Cómo ganar 100.000 € con el mundo del cibercrimen

El pasado domingo, el "chico-este-que-sabe-algo-de-seguridad-en-facebook", Javuto (@javutin), al que creo que deberían dar un merecido premio por el vídeo de presentación de la última LaCON 2013 - ya que superó cualquier otra cosa que hubiera visto antes en una conferencia - me envió este vídeo de cómo se puede ganar mucho dinero con el mundo del cibercrimen y el robo de dinero por medio de fraude online, el carding o el robo de credenciales.

Figura 1: Vídeo sobre cómo ganar 100.000 € con el cibercrimen

El vídeo dura unos 7 minutos, y muestra ejemplos de cómo consiguen muleros de forma rápida en la calle, cómo roban las tarjetas de crédito, como por medio de call-centers conseguir dar más veracidad al robo de dinero, etcétera... todo con una estética de película de ciber-criminal y con el objeto del deseo de un deportivo de cuidado.

Figura 2: Ofertas de empleo para cibercriminales

Tal y como lo pintan en ese vídeo, no es de extrañar que algunos quieran "probar suerte" en esa industria, que a día de hoy se ha convertido en un mercado tan competitivo que hasta se buscan los miembros del cibercrimen con ofertas de trabajo en periódicos y las bandas se atacan su malware unas a otras. Merece la pena el visionado.

Saludos Malingos!