Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/12/2013
Cae red de cibercriminales dedicada al carding
La banda se dedicaba a robar dinero de los cajeros automáticos haciendo carding de tarjetas de crédito VISA y MasterCard.
Ayer la noticia del día en todas las cadenas de televisión españolas fue la detención de una banda de cibercriminales - permitidme que evite usar el término hacker en el cuerpo de la noticia a pesar de que en todas las cadenas se alegaba explícitamente a "hackers" y no cibercriminales -. La banda se dedicaba a robar dinero de los cajeros automáticos haciendo carding de tarjetas de crédito VISA y MasterCard.
http://www.rtve.es/alacarta/videos/telediario/cae-rama-espanola-red-crackers/2269357/
No se especificaba exactamente de donde se sacaban los datos de las tarjetas, pero lo más llamativo de todo el proceso era que el "líder" de la banda, un cibercriminal alemán, se encargaba de distribuir los números de las tarjetas de crédito a los miembros de su red de extracción de dinero que se encuentran distribuidos por múltiples países. La estructura de personas distribuida por diferentes países se había montado para sacar el dinero de los cajeros del lugar de dónde es cada tarjeta robada de forma rápida. Es decir, el "líder" decía a la red de personas en España: "Usad esta tarjeta de crédito, que no tiene límite".
Hasta el momento nada había llamado mi atención, pero cuando escuché que decían lo de que el "lider" informaba de que había quitado los límites de la tarjeta, entonces sí que me llamó la atención. Tras indagar un poco más, parece que habían conseguido vulnerar la seguridad de dos empresas dedicadas al procesamiento de tarjetas de crédito, para desde sus sistemas quitar los límites de las tarjetas.
Esto es un ataque dirigido en toda regla que da un paso más en la estructura del carding y el fraude online, ya que no sólo buscaban utilizar personas en las ubicaciones físicas de los dueños de las tarjetas y así evitar los sistemas de seguridad basados en perfiles de localización de uso, sino que lo hacían con tarjetas que preparaban previamente mediante un ataque informático a unos elementos fundamentales del sistema de tarjetas de crédito como son las procesadoras de tarjetas.Por supuesto, las empresas procesadoras de tarjetas no solo tienen que cumplir la famosa PCI DSS de la que os hablaba el otro día, sino que además están sujetas a muchas más certificaciones de seguridad, y aún así, parece que alguien había dado con un camino para meterse en sus sistemas y cambiar los límites de las tarjetas.
Cuando nosotros creamos Latch pensamos poder añadir una capa de protección en un esquema de ataque a tarjetas de crédito como este, donde el dueño de una tarjeta de crédito pudiera poner OFF su tarjeta cuando no la quiere en uso, y detectar cualquier utilización fraudulenta de la misma recibiendo una alerta, por eso ya estamos trabajando desde hace algún tiempo con varias instituciones bancarias para poner en pruebas este sistema en tarjetas de crédito y hacer del usuario un aliado más poderoso en la lucha contra el carding. Puedes probar el sistema con nuestro banco ficticio "Nevele Bank".
Saludos Malignos!