Buscar este blog

jueves, 20 de diciembre de 2012

Offline POS skimmers, terminales de pago falsas

 
Es muy interesante el articulo publicado por Brian Krebs en su blog sobre los offline POS skimmers,  de terminales de pago falsas que pueden clonar las tarjetas de crédito.
Este señor se ha introducido en un foro de ciberdelincuentes profesionales para contactar con un vendedor de skimmers que ofrece terminales POS (point of sale) previamente manipulados para clonar las tarjetas al simular una compra.
Trabajan con dos modelos inalámbricos de Verifone, el vx510 y el vx670, y se venden a partir de 2.500 dólares. Este precio no es nada alto ya que puede ofrecer a un delincuente unos ingresos mucho mayores.
Lo que hacen los dispositivos es simular una compra y te generan tickets falsos, y a la vez están robando los datos de nuestra tarjeta y nuestro PIN que los almacenan en una memoria interna que recuperaran por el puerto USB posteriormente. También pueden simular errores de conexión y cualquier tipo de errores que pueda dar un terminal de este tipo.
En el vídeo se puede ver como funciona el terminal falso:



¿Que podemos hacer para  evitar esto?
Nunca debemos perder la tarjeta de vista a la hora de pagar, ya que sino podrían usar un skimmer de bolsillo en cualquier momento o copiarnos los datos visibles de la tarjeta (número, vencimiento, nombre y código de seguridad), datos que son suficientes en muchos casos para realizar compras por internet.

¿Y si tenemos el terminal delante?
  • Ingresar mal el PIN: si lo ponemos mal y la compra se da por buena, algo raro pasa ya que el banco no confirma un PIN equivocado.
  • Ticket extraño: si el ticket que nos dan es distinto al normal también podemos sospechar, o si nos da el ticket inmediatamente después de pasar la tarjeta (no lo está verificando el banco).
  • Estado de cuenta: debemos revisar que las operaciones que hagamos estén reflejadas en el banco, si no es así nos aseguraremos que no nos hayan engañado.
  • Tarjeta secundaria: las entidades bancarias ofrecen tarjetas virtuales para compras por internet, o comprar con tarjetas de débito, o una extenión de tarjeta con límite de saldo.
Pero aun tomando todas estas medidas, puede darse el caso de que un terminal POS manipulado pueda recibir la autorización del banco, confirmar la compra de forma normal y estar clonando la información, como demostraron dos investigadores en la pasada Black Hat USA de Las Vegas.

¿Y esto sucede en latinoamérica?
Estas estafas ocurren en todo el mundo, en Argentina han arrestado a un carder en plena acción mientras manipulaba terminales o simplemente las cambiaba por las falsas haciéndose pasar por un técnico (la prensa no dio muchos detalles del caso).
También en Chile, la policía arrestó a tres personas e incautó tarjetas clonadas, una base de datos con más de mil clientes bancarios y cuatro terminales de pago falsas. Se cree además que formarían parte de una banda que opera en varios países del cono sur:

terminal post policia

No hay comentarios:

Publicar un comentario